Google Chrome перестал доверять сертификатам WoSign и StartCom


    Как сообщалось ранее Google Chrome заблокировал сертификаты WoSign и StartCom.


    Сегодня вышла новая версия Google Chrome 56, и начиная с нее браузер больше не доверяет сертификатам WoSign и StartCom выпущенным позднее October 21, 2016 00:00:00 UTC.


    При посещении сайта с таким сертификатом выдается ошибка:


    NET::ERR_CERT_AUTHORITY_INVALID

    Хоть сама система считает сертификаты валидными.


    Больше информации тут:



    Если ваши сервисы до сих пор используют бесплатные сертификаты от WoSign или StartCom, стоит всерьез задуматься над переходом на Let's Encrypt.

    Метки:
    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 60
    • +2
      И Firefox 51 тоже
      • 0
        С 50 версии перестали валидироваться сертификаты от startssl выданные позднее 21 октября 2016 года.
        Отказался в пользу Let's Encrypt, потратил на переход около 3 часов.
        • 0

          У меня в 50 версии все работает.

      • 0
        что за letsencrypt, и главное почему его не заблокируют?
        • +9
          Потому что в спонсорах у них куча крупных компаний, в том числе и Google.
          • +6
            А с чего вдруг надо блокировать letsencrypt?
            • +6
              Потому, что он на замечен в нарушении правил (как сделали WoSign и StartCom)
              • –6
                Банят центры не входящие в юрисдикцию США
                • +2
                  При чем здесь юрисдикция США, и не США? Wosign спалилась на том, что генерировала «надежные» сертификаты задним числом на сторонние сайты. Возможно(только предположение!), чтобы помогать в осуществлении взломов. А может быть, это была просто какая-то ошибка, но факт выдачи сертификата зафиксирован.
                  • +2
                    Да вроде как они генерили сертификаты со SHA1 со старой датой, чтобы обойти предупреждения современных браузеров, и не терять совместимости со всякими IE6, так любимом китайцами.
              • +1
                Ну собственно о чём и говорили большевики.
                Из бесплатных остаётся один-единственный летсенкрипт. И как только он будет скомпрометирован (а он будет, слишком лакомая штука), половина интернета вот прям сразу сделает ой.
                • –1
                  Пройдет полгода и Letsencrypt так-же будет в блоке.
                  • +1
                    Там в главных спонсорах Mozilla и Chrome думаю сами себя они не заблочат. И под благими намерениями все бесплатные сайты пока сводят под один SSL сервис.
                    • –9
                      Куда они денутся, если допустим злые рюсские хакеры™ по личной команде ВВП упрут приватный ключ и начнут ломать сайты банков налево-направо через митм?
                      • +9
                        Грош цена тому банку который не может купить сертификат.
                        • 0
                          Тут вопрос скорее в том, зачем на всяких мелких сайтах нужен скомпрометированный https (со стороны сервера требующий, между прочим, дорогой хостинг с выделенным IP, а со стороны клиента затрудняющий сжимание трафика), если есть простой http? Разве что для SEO.
                          • +4
                            Сертификат на домен не требует выделенного IP.
                            • 0
                              Странно. На моём хостинге пишут, что услуга «выделенный IP» необходима для подключения SSL. И тут, вроде, то же самое говорят.
                              • +4
                                Стараются зарабатывать больше денег.
                                • +2
                                  Видимо очень старый хостинг. Такая проблема была лет 10 назад, но давно пофикшена.
                                  • 0
                                    А, может быть, спасибо за пояснение. Хостинг весьма бюджетный и сравнительно надёжный, но на использование передовых технологий не претендует.
                                    Впрочем, комментарий «требует дорогой хостинг» остаётся в силе, ;-). Другое дело, что, возможно нигде, кроме сверхбюджетных хостингов, этой проблемы нет. Ну и остальные проблемы https остаются — непонятно, зачем, если сертификат скомпрометирован.
                                    • +3
                                      Спросите, поддерживают ли они SNI (Server Name Indication). Если поддерживают — выделенный IP не обязателен.
                                      • 0
                                        Ага, поинтересуюсь, спасибо.
                                  • 0
                                    Просто хотят больше денег. Выделенный ip действительно не требуется.
                                    • +1
                                      Ну вы бы еще за 90-е нашли инфу).
                                      Есть такая штука как SNI, она позволяет на одном IP держать несколько серификатов для разных доменов.
                                      • 0
                                        У хостера в актуальном прайс-листе так написано. Но вот с чем у них действительно проблемы, так это с внятной документацией. Так что про SNI я в техподдержке спрошу.
                                    • +2
                                      В современных браузерах и операционных системах — не требует.
                                  • 0
                                    Дело не в банке, у него сертификат будет нормальный.
                                    Вот только человечек-по-середине между банком и очень невезучим клиентом сможет сделать свой поддельный сертификат при помощи украденного ключа и делать с перехваченным трафиком что угодно — хоть читать, хоть подделывать (например, заменять номер счёта получателя на свой и заодно сумму перевода). И ни хром ни мозилла не ругнутся, так как считают центр сертификации заслуживающим доверия.
                                    • +1

                                      HTTP Public Key Pinning сводит вашу задачу к следующей: невезучий клиент должен ни разу не заходить в данном браузере на сайт банка перед тем, как на него будет осуществлён MitM.

                                      • +2
                                        Let's Encrypt с пиннингом не слишком совместим из-за частой смены сертификата.
                                        • 0
                                          Опять таки автоматикой это можно решить. Правда и защита тут будет не более чем на 3 месяца с даты последнего захода. А так как у них в планах сократить срок действия сертификата, то HPKP вообще потеряет смысл.
                                          • +2
                                            Что-то по профильным тикетам certbot'а застой уже с полгода наблюдается, но в целом они согласны с тем, что не всегда обязательно для каждого продления сертификата генерировать новый приватный ключ, и хотят добавить опцию сохранения текущего ключа.

                                            Сейчас это можно делать, создав собственный CSR и используя его в запросах.

                                            У сторонних клиентов тоже должны быть соответствующие опции, по идее.
                                • 0
                                  А это им решать куда они денутся. Скажут что ничего такого не было и доказательств нет. И что ты сделаешь? А потом под шумок сделают новый ключ ещё безопасней прежнего и все довольны.
                                  PS. Про банки ниже правильно написали, им на бесплатных работать как то не комильфо.
                                  • 0

                                    а какая разница платный или бесплатный? я вот про компроментацию платных сервисов слышал, а про компроментацию летсэнкрипта — нет. так что я больше доверяю инженерам летсэнкрипта, чем непонятно кому выдающему платные сертификаты

                                    • –1
                                      Инженеры летсэнкрипта такие же непонятные как и все остальные.
                                      А разница между платным и бесплатным как минимум в сложности получения, которая зачастую связана с проверками тех кому этот сертификат выдают.
                                      • +5

                                        ага, я бы тоже в это верил если бы не столкнулся. я без проблем купил сертификат на сабдомен одного из украинских банков(если что я там работаю), все что меня спросили — "Вы точно сотрудник?" — "Крест на пузе". И выписали, он и сейчас валидный и бьется зеленым во всех браузерах. Я не буду говорить через кого я выписывал и на какой банк, но это были реселлеры одного из крупнейших CA в мире, банк из топ-5. Вот такая вот сложность и защита, да

                                        • 0
                                          «Я не буду говорить через кого я выписывал и на какой банк»  — почему не будете? Это же здорово, предостеречь против некачественного поставщика услуг.
                                          • +2

                                            да ради бога, ev сертификат, реселлер ssl.com.ua, тот который мне выписали — thawte, в списке у них несколько контор которые реселлят

                                            • –1
                                              Thawte отозвали сертификат и изменили процедуру выдачи по результатам вашего эксперимента?
                                  • 0

                                    Сменят ключ?

                                    • 0
                                      Притом сертификаты там на 3 месяца всего, и у большинства использующих LetsEncrypt настроено автопродление, так что они даже не заметят смены главного ключа.
                              • 0
                                Самое время правительствам начать выдавать бесплатные SSL-сертификаты для своих граждан.
                                • 0
                                  Да, однако это противоречит целям правительства :)
                                  • 0
                                    Да ладно, каким например?
                                    На порносайт только по паспорту — это ли не мечта жандарма?
                                    • 0
                                      Действительно, что ж это я — подумал только про безопасность (непрослушиваемость) соединения :]
                                      • 0
                                        Мелко мыслите :)
                                        sarcasm
                                        мы же сделаем сервис, очень удобный, для чайников. зачем какой-то закрытый ключ и все остальное.
                                        Мы все сами сделаем, только надо подтвердить принадлежность к РФ.
                                        /sarcasm
                                      • 0
                                        Ну по умолчанию приватный ключ не покидает сервер где происходит генерация
                                  • +2
                                    Блин, а я только обрадовался, что получил свежий сертификат от StartCom на 3 года.
                                    • +1
                                      Такая же ситуация, получал в ноябре. Вчера зарегился на cloudflare.com, добавил сайт. Перевел на их DNS и теперь для клиентских машин виден сертификат от Comodo, а StartCom так и остался использовать между cloudflare балансером (или как он у них называется) и непосредственно сервером (валидность сертификата в этом месте цепочки не проверяется. Да и вообще, для этого места можно использовать самоподписанные сертификаты, для чего там в админке даже тулза есть).
                                    • 0
                                      Если хоститесь в AWS то можно бесплатно получить и использовать их сертификаты

                                      https://aws.amazon.com/certificate-manager/
                                    • +1

                                      Врёте же прямо в заголовке. "Заблокировал" — это если бы старые сертификаты тоже перестали работать. А так — просто перестал доверять новым сертификатам с даты Х.

                                      • +1

                                        Спасибо, исправил.

                                      • 0

                                        Разве это случилось вчера? Уже куча новостей за октябрь-декабрь, что вначале мозилла поставила бан, затем прислушались из Apple.

                                        • 0
                                          У StartCom есть и платные сертификаты — они так же заблокированы ??
                                          • +1
                                            отвечу сам себе:
                                            All certificates are affected. (с) StartCom Support Team
                                            • +1
                                              и в догонку:
                                              К сожалению хороших новостей нету. Мы работаем над проблемой. У нас будет больше информаций в конце Февраля. (с) StartCom Support Team
                                            • 0
                                              Новостей нет?)
                                              Разрешат, не разрешат?

                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.