Google Chrome перестал доверять сертификатам WoSign и StartCom


    Как сообщалось ранее Google Chrome заблокировал сертификаты WoSign и StartCom.


    Сегодня вышла новая версия Google Chrome 56, и начиная с нее браузер больше не доверяет сертификатам WoSign и StartCom выпущенным позднее October 21, 2016 00:00:00 UTC.


    При посещении сайта с таким сертификатом выдается ошибка:


    NET::ERR_CERT_AUTHORITY_INVALID

    Хоть сама система считает сертификаты валидными.


    Больше информации тут:



    Если ваши сервисы до сих пор используют бесплатные сертификаты от WoSign или StartCom, стоит всерьез задуматься над переходом на Let's Encrypt.

    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 60
    • +2
      И Firefox 51 тоже
      • 0
        С 50 версии перестали валидироваться сертификаты от startssl выданные позднее 21 октября 2016 года.
        Отказался в пользу Let's Encrypt, потратил на переход около 3 часов.
        • 0

          У меня в 50 версии все работает.

      • 0
        что за letsencrypt, и главное почему его не заблокируют?
        • +9
          Потому что в спонсорах у них куча крупных компаний, в том числе и Google.
          • +6
            А с чего вдруг надо блокировать letsencrypt?
            • +6
              Потому, что он на замечен в нарушении правил (как сделали WoSign и StartCom)
              • –6
                Банят центры не входящие в юрисдикцию США
                • +2
                  При чем здесь юрисдикция США, и не США? Wosign спалилась на том, что генерировала «надежные» сертификаты задним числом на сторонние сайты. Возможно(только предположение!), чтобы помогать в осуществлении взломов. А может быть, это была просто какая-то ошибка, но факт выдачи сертификата зафиксирован.
                  • +2
                    Да вроде как они генерили сертификаты со SHA1 со старой датой, чтобы обойти предупреждения современных браузеров, и не терять совместимости со всякими IE6, так любимом китайцами.
              • +1
                Ну собственно о чём и говорили большевики.
                Из бесплатных остаётся один-единственный летсенкрипт. И как только он будет скомпрометирован (а он будет, слишком лакомая штука), половина интернета вот прям сразу сделает ой.
                • –1
                  Пройдет полгода и Letsencrypt так-же будет в блоке.
                  • +1
                    Там в главных спонсорах Mozilla и Chrome думаю сами себя они не заблочат. И под благими намерениями все бесплатные сайты пока сводят под один SSL сервис.
                    • –9
                      Куда они денутся, если допустим злые рюсские хакеры™ по личной команде ВВП упрут приватный ключ и начнут ломать сайты банков налево-направо через митм?
                      • +9
                        Грош цена тому банку который не может купить сертификат.
                        • 0
                          Тут вопрос скорее в том, зачем на всяких мелких сайтах нужен скомпрометированный https (со стороны сервера требующий, между прочим, дорогой хостинг с выделенным IP, а со стороны клиента затрудняющий сжимание трафика), если есть простой http? Разве что для SEO.
                          • +4
                            Сертификат на домен не требует выделенного IP.
                            • 0
                              Странно. На моём хостинге пишут, что услуга «выделенный IP» необходима для подключения SSL. И тут, вроде, то же самое говорят.
                              • +4
                                Стараются зарабатывать больше денег.
                                • +2
                                  Видимо очень старый хостинг. Такая проблема была лет 10 назад, но давно пофикшена.
                                  • 0
                                    А, может быть, спасибо за пояснение. Хостинг весьма бюджетный и сравнительно надёжный, но на использование передовых технологий не претендует.
                                    Впрочем, комментарий «требует дорогой хостинг» остаётся в силе, ;-). Другое дело, что, возможно нигде, кроме сверхбюджетных хостингов, этой проблемы нет. Ну и остальные проблемы https остаются — непонятно, зачем, если сертификат скомпрометирован.
                                    • +3
                                      Спросите, поддерживают ли они SNI (Server Name Indication). Если поддерживают — выделенный IP не обязателен.
                                      • 0
                                        Ага, поинтересуюсь, спасибо.
                                  • 0
                                    Просто хотят больше денег. Выделенный ip действительно не требуется.
                                    • +1
                                      Ну вы бы еще за 90-е нашли инфу).
                                      Есть такая штука как SNI, она позволяет на одном IP держать несколько серификатов для разных доменов.
                                      • 0
                                        У хостера в актуальном прайс-листе так написано. Но вот с чем у них действительно проблемы, так это с внятной документацией. Так что про SNI я в техподдержке спрошу.
                                    • +2
                                      В современных браузерах и операционных системах — не требует.
                                  • 0
                                    Дело не в банке, у него сертификат будет нормальный.
                                    Вот только человечек-по-середине между банком и очень невезучим клиентом сможет сделать свой поддельный сертификат при помощи украденного ключа и делать с перехваченным трафиком что угодно — хоть читать, хоть подделывать (например, заменять номер счёта получателя на свой и заодно сумму перевода). И ни хром ни мозилла не ругнутся, так как считают центр сертификации заслуживающим доверия.
                                    • +1

                                      HTTP Public Key Pinning сводит вашу задачу к следующей: невезучий клиент должен ни разу не заходить в данном браузере на сайт банка перед тем, как на него будет осуществлён MitM.

                                      • +2
                                        Let's Encrypt с пиннингом не слишком совместим из-за частой смены сертификата.
                                        • 0
                                          Опять таки автоматикой это можно решить. Правда и защита тут будет не более чем на 3 месяца с даты последнего захода. А так как у них в планах сократить срок действия сертификата, то HPKP вообще потеряет смысл.
                                          • +2
                                            Что-то по профильным тикетам certbot'а застой уже с полгода наблюдается, но в целом они согласны с тем, что не всегда обязательно для каждого продления сертификата генерировать новый приватный ключ, и хотят добавить опцию сохранения текущего ключа.

                                            Сейчас это можно делать, создав собственный CSR и используя его в запросах.

                                            У сторонних клиентов тоже должны быть соответствующие опции, по идее.
                                • 0
                                  А это им решать куда они денутся. Скажут что ничего такого не было и доказательств нет. И что ты сделаешь? А потом под шумок сделают новый ключ ещё безопасней прежнего и все довольны.
                                  PS. Про банки ниже правильно написали, им на бесплатных работать как то не комильфо.
                                  • 0

                                    а какая разница платный или бесплатный? я вот про компроментацию платных сервисов слышал, а про компроментацию летсэнкрипта — нет. так что я больше доверяю инженерам летсэнкрипта, чем непонятно кому выдающему платные сертификаты

                                    • –1
                                      Инженеры летсэнкрипта такие же непонятные как и все остальные.
                                      А разница между платным и бесплатным как минимум в сложности получения, которая зачастую связана с проверками тех кому этот сертификат выдают.
                                      • +5

                                        ага, я бы тоже в это верил если бы не столкнулся. я без проблем купил сертификат на сабдомен одного из украинских банков(если что я там работаю), все что меня спросили — "Вы точно сотрудник?" — "Крест на пузе". И выписали, он и сейчас валидный и бьется зеленым во всех браузерах. Я не буду говорить через кого я выписывал и на какой банк, но это были реселлеры одного из крупнейших CA в мире, банк из топ-5. Вот такая вот сложность и защита, да

                                        • 0
                                          «Я не буду говорить через кого я выписывал и на какой банк»  — почему не будете? Это же здорово, предостеречь против некачественного поставщика услуг.
                                          • +2

                                            да ради бога, ev сертификат, реселлер ssl.com.ua, тот который мне выписали — thawte, в списке у них несколько контор которые реселлят

                                            • –1
                                              Thawte отозвали сертификат и изменили процедуру выдачи по результатам вашего эксперимента?
                                  • 0

                                    Сменят ключ?

                                    • 0
                                      Притом сертификаты там на 3 месяца всего, и у большинства использующих LetsEncrypt настроено автопродление, так что они даже не заметят смены главного ключа.
                              • 0
                                Самое время правительствам начать выдавать бесплатные SSL-сертификаты для своих граждан.
                                • 0
                                  Да, однако это противоречит целям правительства :)
                                  • 0
                                    Да ладно, каким например?
                                    На порносайт только по паспорту — это ли не мечта жандарма?
                                    • 0
                                      Действительно, что ж это я — подумал только про безопасность (непрослушиваемость) соединения :]
                                      • 0
                                        Мелко мыслите :)
                                        sarcasm
                                        мы же сделаем сервис, очень удобный, для чайников. зачем какой-то закрытый ключ и все остальное.
                                        Мы все сами сделаем, только надо подтвердить принадлежность к РФ.
                                        /sarcasm
                                      • 0
                                        Ну по умолчанию приватный ключ не покидает сервер где происходит генерация
                                  • +2
                                    Блин, а я только обрадовался, что получил свежий сертификат от StartCom на 3 года.
                                    • +1
                                      Такая же ситуация, получал в ноябре. Вчера зарегился на cloudflare.com, добавил сайт. Перевел на их DNS и теперь для клиентских машин виден сертификат от Comodo, а StartCom так и остался использовать между cloudflare балансером (или как он у них называется) и непосредственно сервером (валидность сертификата в этом месте цепочки не проверяется. Да и вообще, для этого места можно использовать самоподписанные сертификаты, для чего там в админке даже тулза есть).
                                    • 0
                                      Если хоститесь в AWS то можно бесплатно получить и использовать их сертификаты

                                      https://aws.amazon.com/certificate-manager/
                                    • +1

                                      Врёте же прямо в заголовке. "Заблокировал" — это если бы старые сертификаты тоже перестали работать. А так — просто перестал доверять новым сертификатам с даты Х.

                                      • +1

                                        Спасибо, исправил.

                                      • 0

                                        Разве это случилось вчера? Уже куча новостей за октябрь-декабрь, что вначале мозилла поставила бан, затем прислушались из Apple.

                                        • 0
                                          У StartCom есть и платные сертификаты — они так же заблокированы ??
                                          • +1
                                            отвечу сам себе:
                                            All certificates are affected. (с) StartCom Support Team
                                            • +1
                                              и в догонку:
                                              К сожалению хороших новостей нету. Мы работаем над проблемой. У нас будет больше информаций в конце Февраля. (с) StartCom Support Team
                                            • 0
                                              Новостей нет?)
                                              Разрешат, не разрешат?

                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.