26 января в 11:19

Google Chrome перестал доверять сертификатам WoSign и StartCom


Как сообщалось ранее Google Chrome заблокировал сертификаты WoSign и StartCom.


Сегодня вышла новая версия Google Chrome 56, и начиная с нее браузер больше не доверяет сертификатам WoSign и StartCom выпущенным позднее October 21, 2016 00:00:00 UTC.


При посещении сайта с таким сертификатом выдается ошибка:


NET::ERR_CERT_AUTHORITY_INVALID

Хоть сама система считает сертификаты валидными.


Больше информации тут:



Если ваши сервисы до сих пор используют бесплатные сертификаты от WoSign или StartCom, стоит всерьез задуматься над переходом на Let's Encrypt.

kvaps @kvaps
карма
19,0
рейтинг 0,0
Пользователь
Самое читаемое

Комментарии (60)

  • +2
    И Firefox 51 тоже
    • 0
      С 50 версии перестали валидироваться сертификаты от startssl выданные позднее 21 октября 2016 года.
      Отказался в пользу Let's Encrypt, потратил на переход около 3 часов.
      • 0

        У меня в 50 версии все работает.

  • 0
    что за letsencrypt, и главное почему его не заблокируют?
    • +9
      Потому что в спонсорах у них куча крупных компаний, в том числе и Google.
    • +6
      А с чего вдруг надо блокировать letsencrypt?
    • +6
      Потому, что он на замечен в нарушении правил (как сделали WoSign и StartCom)
    • –6
      Банят центры не входящие в юрисдикцию США
      • +2
        При чем здесь юрисдикция США, и не США? Wosign спалилась на том, что генерировала «надежные» сертификаты задним числом на сторонние сайты. Возможно(только предположение!), чтобы помогать в осуществлении взломов. А может быть, это была просто какая-то ошибка, но факт выдачи сертификата зафиксирован.
        • +2
          Да вроде как они генерили сертификаты со SHA1 со старой датой, чтобы обойти предупреждения современных браузеров, и не терять совместимости со всякими IE6, так любимом китайцами.
  • +1
    Ну собственно о чём и говорили большевики.
    Из бесплатных остаётся один-единственный летсенкрипт. И как только он будет скомпрометирован (а он будет, слишком лакомая штука), половина интернета вот прям сразу сделает ой.
  • –1
    Пройдет полгода и Letsencrypt так-же будет в блоке.
    • +1
      Там в главных спонсорах Mozilla и Chrome думаю сами себя они не заблочат. И под благими намерениями все бесплатные сайты пока сводят под один SSL сервис.
      • –9
        Куда они денутся, если допустим злые рюсские хакеры™ по личной команде ВВП упрут приватный ключ и начнут ломать сайты банков налево-направо через митм?
        • +9
          Грош цена тому банку который не может купить сертификат.
          • 0
            Тут вопрос скорее в том, зачем на всяких мелких сайтах нужен скомпрометированный https (со стороны сервера требующий, между прочим, дорогой хостинг с выделенным IP, а со стороны клиента затрудняющий сжимание трафика), если есть простой http? Разве что для SEO.
            • +4
              Сертификат на домен не требует выделенного IP.
              • 0
                Странно. На моём хостинге пишут, что услуга «выделенный IP» необходима для подключения SSL. И тут, вроде, то же самое говорят.
                • +4
                  Стараются зарабатывать больше денег.
                • +2
                  Видимо очень старый хостинг. Такая проблема была лет 10 назад, но давно пофикшена.
                  • 0
                    А, может быть, спасибо за пояснение. Хостинг весьма бюджетный и сравнительно надёжный, но на использование передовых технологий не претендует.
                    Впрочем, комментарий «требует дорогой хостинг» остаётся в силе, ;-). Другое дело, что, возможно нигде, кроме сверхбюджетных хостингов, этой проблемы нет. Ну и остальные проблемы https остаются — непонятно, зачем, если сертификат скомпрометирован.
                    • +3
                      Спросите, поддерживают ли они SNI (Server Name Indication). Если поддерживают — выделенный IP не обязателен.
                      • 0
                        Ага, поинтересуюсь, спасибо.
                • 0
                  Просто хотят больше денег. Выделенный ip действительно не требуется.
                • +1
                  Ну вы бы еще за 90-е нашли инфу).
                  Есть такая штука как SNI, она позволяет на одном IP держать несколько серификатов для разных доменов.
                  • 0
                    У хостера в актуальном прайс-листе так написано. Но вот с чем у них действительно проблемы, так это с внятной документацией. Так что про SNI я в техподдержке спрошу.
              • +2
                В современных браузерах и операционных системах — не требует.
          • 0
            Дело не в банке, у него сертификат будет нормальный.
            Вот только человечек-по-середине между банком и очень невезучим клиентом сможет сделать свой поддельный сертификат при помощи украденного ключа и делать с перехваченным трафиком что угодно — хоть читать, хоть подделывать (например, заменять номер счёта получателя на свой и заодно сумму перевода). И ни хром ни мозилла не ругнутся, так как считают центр сертификации заслуживающим доверия.
            • +1

              HTTP Public Key Pinning сводит вашу задачу к следующей: невезучий клиент должен ни разу не заходить в данном браузере на сайт банка перед тем, как на него будет осуществлён MitM.

              • +2
                Let's Encrypt с пиннингом не слишком совместим из-за частой смены сертификата.
                • 0
                  Опять таки автоматикой это можно решить. Правда и защита тут будет не более чем на 3 месяца с даты последнего захода. А так как у них в планах сократить срок действия сертификата, то HPKP вообще потеряет смысл.
                  • +2
                    Что-то по профильным тикетам certbot'а застой уже с полгода наблюдается, но в целом они согласны с тем, что не всегда обязательно для каждого продления сертификата генерировать новый приватный ключ, и хотят добавить опцию сохранения текущего ключа.

                    Сейчас это можно делать, создав собственный CSR и используя его в запросах.

                    У сторонних клиентов тоже должны быть соответствующие опции, по идее.
        • 0
          А это им решать куда они денутся. Скажут что ничего такого не было и доказательств нет. И что ты сделаешь? А потом под шумок сделают новый ключ ещё безопасней прежнего и все довольны.
          PS. Про банки ниже правильно написали, им на бесплатных работать как то не комильфо.
          • 0

            а какая разница платный или бесплатный? я вот про компроментацию платных сервисов слышал, а про компроментацию летсэнкрипта — нет. так что я больше доверяю инженерам летсэнкрипта, чем непонятно кому выдающему платные сертификаты

            • –1
              Инженеры летсэнкрипта такие же непонятные как и все остальные.
              А разница между платным и бесплатным как минимум в сложности получения, которая зачастую связана с проверками тех кому этот сертификат выдают.
              • +5

                ага, я бы тоже в это верил если бы не столкнулся. я без проблем купил сертификат на сабдомен одного из украинских банков(если что я там работаю), все что меня спросили — "Вы точно сотрудник?" — "Крест на пузе". И выписали, он и сейчас валидный и бьется зеленым во всех браузерах. Я не буду говорить через кого я выписывал и на какой банк, но это были реселлеры одного из крупнейших CA в мире, банк из топ-5. Вот такая вот сложность и защита, да

                • 0
                  «Я не буду говорить через кого я выписывал и на какой банк»  — почему не будете? Это же здорово, предостеречь против некачественного поставщика услуг.
                  • +2

                    да ради бога, ev сертификат, реселлер ssl.com.ua, тот который мне выписали — thawte, в списке у них несколько контор которые реселлят

                    • –1
                      Thawte отозвали сертификат и изменили процедуру выдачи по результатам вашего эксперимента?
        • 0

          Сменят ключ?

          • 0
            Притом сертификаты там на 3 месяца всего, и у большинства использующих LetsEncrypt настроено автопродление, так что они даже не заметят смены главного ключа.
  • 0
    Самое время правительствам начать выдавать бесплатные SSL-сертификаты для своих граждан.
    • 0
      Да, однако это противоречит целям правительства :)
      • 0
        Да ладно, каким например?
        На порносайт только по паспорту — это ли не мечта жандарма?
        • 0
          Действительно, что ж это я — подумал только про безопасность (непрослушиваемость) соединения :]
          • 0
            Мелко мыслите :)
            sarcasm
            мы же сделаем сервис, очень удобный, для чайников. зачем какой-то закрытый ключ и все остальное.
            Мы все сами сделаем, только надо подтвердить принадлежность к РФ.
            /sarcasm
        • 0
          Ну по умолчанию приватный ключ не покидает сервер где происходит генерация
  • +2
    Блин, а я только обрадовался, что получил свежий сертификат от StartCom на 3 года.
    • +1
      Такая же ситуация, получал в ноябре. Вчера зарегился на cloudflare.com, добавил сайт. Перевел на их DNS и теперь для клиентских машин виден сертификат от Comodo, а StartCom так и остался использовать между cloudflare балансером (или как он у них называется) и непосредственно сервером (валидность сертификата в этом месте цепочки не проверяется. Да и вообще, для этого места можно использовать самоподписанные сертификаты, для чего там в админке даже тулза есть).
  • 0
    Если хоститесь в AWS то можно бесплатно получить и использовать их сертификаты

    https://aws.amazon.com/certificate-manager/
    • 0
      Правильно ли я понимаю, что использовать сертификаты AWS Certificate Manager можно только используя Elastic Load Balancing или Amazon CloudFront?

      https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html
      • +1
        да, на данный момент только с ними

        https://aws.amazon.com/certificate-manager/faqs/#services_used
  • +1

    Врёте же прямо в заголовке. "Заблокировал" — это если бы старые сертификаты тоже перестали работать. А так — просто перестал доверять новым сертификатам с даты Х.

    • +1

      Спасибо, исправил.

  • 0

    Разве это случилось вчера? Уже куча новостей за октябрь-декабрь, что вначале мозилла поставила бан, затем прислушались из Apple.

  • 0
    У StartCom есть и платные сертификаты — они так же заблокированы ??
    • +1
      отвечу сам себе:
      All certificates are affected. (с) StartCom Support Team
    • +1
      и в догонку:
      К сожалению хороших новостей нету. Мы работаем над проблемой. У нас будет больше информаций в конце Февраля. (с) StartCom Support Team
  • 0
    Новостей нет?)
    Разрешат, не разрешат?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.