27 марта в 16:33

Let's Encrypt выдал 14 766 сертификатов для фишинга PayPal



Бесплатные сертификаты Let's Encrypt стали настолько популярными, что этот центр сертификации от Mozilla и EFF уже вошёл в число крупнейших центров сертификации в Интернете. К сожалению, возможностью получить бесплатный сертификат SSL пользуются не только обычные сайты, но и сайты для фишинга. Для них наличие зелёного значка HTTPS — важное свойство, чтобы отличие с настоящим сайтом не бросалось в глаза. Браузеры помечают такие фальшивки как «безопасные сайты».

Специалисты по безопасности ранее обратили внимание, что Let's Encrypt выдаёт слишком много сертификатов со словом “PayPal” в названии домена. Эксперт SSL Store Винсент Линч (Vincent Lynch) даже обращался к центру сертификации с призывом прекратить выдачу таких сертификатов, потому что они с большой долей вероятности будут использоваться для фишинга. Теперь собраны доказательства, что фишинг с использованием сертификатов Let's Encrypt — гораздо более распространённое явление, чем можно было предположить.

Винсент Линч собрал данные с помощью поисковой системы crt.sh (её запустил Comodo) и логов системы Certificate Transparency, куда Let's Encrypt отправляет информацию обо всех выданных сертификатах — скоро так будут делать все центры сертификации. По умолчанию поисковик crt.sh не даёт обработать такой обширный запрос, так что исследователи обратились непосредственно к разработчику crt.sh Робу Стрэдлингу (Rob Stradling), который сделал запрос напрямую к базе данных.

Специалист подсчитал, что между 1 января 2016 года и 6 марта 2017 года Let's Encrypt выдал сертификаты для 15 720 доменов со словом “PayPal” в названии, причём количество таких сертификатов растёт в геометрической прогрессии, каждый месяц увеличиваясь в 1,5-2 раза.

Как видим, фишерам понадобилось определённое время, чтобы освоить Let's Encrypt в качестве основного центра сертификации — но потом процесс пошёл. Let's Encrypt стал постоянным рабочим инструментом мошенников. С декабря 2016 года он ежедневно выдаёт примерно по 100 сертификатов “PayPal”, а в феврале 2017 года — более 180 сертификатов в день.

Консервативное изучение случайной выборки из тысячи сайтов показало, что 96,7% из выданных сертификатов принадлежат доменам, на которых работают фишинговые сайты. Это соответствует 14 766 фишинговым доменам из всей выборки в 15 720 сертификатов. Большинство фишинговых сайтов быстро попадают в фильтры сервисов Safe Browsing и вскоре уходят в офлайн. Как только фишинговый сайт помечен как «опасный» в браузере, он становится бесполезным. Поэтому мошенники используют такое большое количество доменов, постоянно меняющих друг друга. Согласно исследованию CYREN, до пометки в Safe Browsing или ухода в офлайн среднее время жизни сайта составляет всего около двух суток.



За март 2017 года есть пока неполные данные, но этот месяц может стать первым, когда количество выданных сертификатов на домены “PayPal” уменьшится.

Авторы исследования говорят, что изучали ситуацию только с доменами “PayPal”, потому что это самая популярная мишень для фишинга, но такая же ситуация с доменами различных банков, сайтами Bank of America, Apple ID и Google. Например, вот 1963 сертификата с “applid” в названии домена.

Использование сертификатов SSL мошенниками было одним из главных беспокойств в связи с запуском бесплатного центра сертификации в конце 2015 года. В прежние времена с платными сертификатами злоумышленники вряд ли смогли бы себе позволить покупку тысяч сертификатов, тем более выдача каждого из них сопровождалась определённой бюрократической процедурой. Сейчас сертификаты стали бесплатными, а их получение и продление можно автоматизировать.

По оценке специалистов, по нынешней тенденции Let's Encrypt до конца года выдаст ещё 20 000 сертификатов на фишинговые сайты “PayPal”, так что общее число выданных сертификатов достигнет 35 000.

Создатели Let's Encrypt считают, что следить за киберпреступностью и ловить мошенников — не их дело. Они не занимаются модерацией сайтов. Этот проект — одна из нескольких инициатив, направленных на «тотальное шифрование» Интернета. Цель — зашифровать абсолютно всё, и это подразумевает шифрование в том числе «плохих» сайтов, которые тоже переходят на HTTPS.

Специалисты по безопасности годами учили пользователей, что зелёный значок защищённого соединения HTTPS означает безопасность. Ситуация ухудшается тем, что даже некоторые браузеры как Chrome при соединении по HTTPS с фишинговым сайтом выводят зелёную плашку с надписью «Безопасно».



Теперь нужно проводить дополнительную разъяснительную работу и объяснять, что «защищённое соединение» может быть с вредоносным сайтом тоже. Каждому специалисту это прекрасно понятно, а вот среди пользователей не всегда есть такое понимание, чем и пользуются мошенники. Часть вины лежит на разработчиках UI браузеров.

Сообщество ИБ раньше задавалось вопросом, действительно ли вредоносные сайты и программное обеспечение широко используют HTTPS. Теперь получен ответ, что в индустрии фишинга это действительно так.
Анатолий Ализар @alizar
карма
667,3
рейтинг 343,9
Редактор
Самое читаемое

Комментарии (110)

  • +21
    Городские службы сообщили о новых защищённых тротуарах. Теперь машины никак не смогут выехать на него и сбить пешеходов. Но вскоре жители города начали жаловаться. Они идут по такому тротуару и при невнимательности попадают не домой/на работу/к знакомым, а в гоп-район, где у них забирают бумажник. Эксперты безопасности пешеходов в срочном порядке требуют прекратить улучшение тротуаров.
    • +2
      Предлагаю ввести единицу оценки добротности материала, например 10 миллимарксов = 1 ализавру. Наличие политики и фэйлов начинать измерять с более высоких значений, начиная с 1 полизавра (1 полизавр = 10 ализаврам). Требуется эталонная, равная 1 миллизавру статья.
    • +1

      Тут проблема в другом.
      Есть тротуар и написано на нем большими буквами БЕЗОПАСНО. Я шел по нему зимой, подскользнулся на льду и свернул шею. Оказывается безопасно значило, что тротуар днем в тени и безопасен для людей с проблемной кожей летом.
      Тут примерно тоже самое. Надпись соединение зашифровано однозначно говорит о том, что соединение зашифровано. Надпись безопасно значит что вся работа с сайтом безопасна. Особенно в ключе Safe Browsing — когда на опасные сайты не пускает. И статья как раз про ошибку в UI, а не Lets Encrypt как сервисе.

  • +16
    Не вижу никакой проблемы Let's Encrypt, если у тебя есть домен, ты подтвердил, что домен твой, ты хочешь получить для него сертификат, ты получаешь для него сертификат. А какое название домена и для каких целей он используется, мне кажется это не совсем проблема компании выдающей сертификаты, их проблема обеспечить владельца домена сертификатом чтоб защитить трафик до клиента.
    • +8
      Проблема не в Let's Encrypt, а в том, что у большинства пользователей при виде зелёного цвета и надписи «Secure» или «Безопасно» складывается впечатление, что сайт надёжный и ему можно доверять.
      • +2

        Никогда такого не было и вот опять.
        Сколько сил и ораторского мастерства было потрачено на то, что бы заставить таки юзера смотреть в адресную строку и хотя бы пытаться осознать, что он там видит и упс. Всё пошло прахом.

        • 0

          Так ведь адресная строка уже не та и вырезано там много.

      • 0
        Ну да. А ещё можно нарисовать надпись secure где угодно на странице.

        Вот, например:



        А если бы поверх этого background была форма ввода пароля?
      • 0
        Особенно в русской локализации, где Secure перевели «Надежный».
    • –4
      Как бы да, но как бы и нет. Аналогия: домен — удостоверение личности, сертификат — спиртное. Если к прилавку подходит личность явно тинэйджерских масштабов, но предъявляет удостоверение на 21 год, то продавец может и засомневаться, какую-нибудь проверку устроить, звонок сделать.

      Т.е. я с вами согласен, сначала нужно ругать тех, кто дает такие имена регистрировать. Но и сертификат давать на явный контрафакт не стоит. Правда, кого и за какие деньги посадить рассматривать все спорные случаи? Сертификаты ведь бесплатны, не клеится что-то концепция.
      • +3
        Так тут ещё проблема, что я допустим разработал какой нибудь плагин для paypal и часть имени моего сайта для этого плагина содержит paypal, это не запрещено. Домен мой, сертификат я могу без проблем на него получить. Не будут же LE работать ещё и службой морали, что фишинговые сайты делать нельзя и мы вам не выдадим сертификат потому что у вас там цветовая гамма как у PayPal.

        Аналогия кстати не самая удачная. И доменное имя регистрировать тоже не проблема, проблема в людях которые не смотрят в адресную строку и думают, что если там написано что-то похожее, значит они там где надо. Центр сертификации не должен брать на себя обязательство суда и решать такие моменты, их задача выдать нужный сертификат нужному человеку, не более.
        • +1
          часть имени моего сайта для этого плагина содержит paypal, это не запрещено
          А может и запрещено. У них в этом строго. Если поискать лого пейпала, то в более старых вариантах постоянно ® и TM стоят. Сейчас уже не ставят, тенденция такая — даже Микрософт перестал ставить. Но смысл-то остался: торговый знак, аккуратно, адвокаты бдят. Но это домыслы, я не в курсе законодательства.

          проблема в людях которые не смотрят в адресную строку
          Безусловно, да. Но еще и в сырых правилах и сыром законодательстве, которые позволяют зарегистрировать рауpal.соm («рау» русское, «pal» английское, «соm» — смесь) и другие юникод-фокусы. Это как-то нездорОво.

          Вот если бы было законодательно установлено (и технически обеспечено), что близкого ничего такого и быть не может, то люди, посмотревшие на зеленый замочек и спокойно ввевшие свой логин-пароль, были бы в безопасности.

          А также проблема в самом этом слове: безопасноть. Таки да: вы безопасно посещаете этот вот фишинговый сайт, никто другой не сможет подсмотреть, что вы там вводите и куда именно утекает ваш пароль. Полная безопасность! Ну бред же. Но так и живем.
          • –1
            Проблема решается значительно проще, при этом особо не задумываясь: автозаполнение паролей из keepass/lastpass и прочих. Плагин автоматически отсеет визуально похожие домены
          • 0
            А может и запрещено.

            Тогда вопросы должны быть к регистратору домена.
            • 0
              Ну регистратор домена тоже не панацея, так как зарегистрировав домен example.com никто не запретит создать paypal.example.com, что я так понимаю и произошло, тут уже DNS записи, не более. Так что найти крайнего сложно, да и по хорошему крайнего нету, домен зарегистрирован согласно правил, сертификат получен так же согласно процедуре. Проблема в контенте, он фишинговый и крайний только создатель. Ну и конечно невнимательный пользователь сам себе виноват, ведь при подключении к интернету никто не обещал защищать пользователя от угроз в интернете, ну а мошенничество это в полицию, только по факту.
  • 0
    В оригинале речь как бы о том, что было выдано 15270 (опечатка) сертификатов:
    Between January 1st, 2016 and March 6th, 2017, Let’s Encrypt has issued a total of 15,270 SSL certificates containing the word “PayPal.”

    а не сертификатов для 15270 доменов:
    Специалист подсчитал, что между 1 января 2016 года и 6 марта 2017 года Let's Encrypt выдал сертификаты для 15 720 доменов со словом “PayPal” в названии

    Скорее всего, не учитывается и тот факт. что сертификаты выдаются сроком на три месяца. То есть реальное количество доменов в ~5 раз меньше заявленного.
    • 0
      В данном случае нет. Если сайт стал «небезопасный» через 2 дня, то продление сертификата маловероятно.

      В этом смысле ваше уточнение про сертификаты верно, а про 5 раз — выдумано и скорее всего ложно.
      • 0
        а про 5 раз — выдумано и скорее всего ложно

        Я прикинул так: «6 марта 2017» — «1 января 2016 года» = «15 месяцев».
        Сертификаты действительны 3 месяца. Исходя из этого, 15 / 3 = 5 сертификатов на домен (без учета появления новых доменов и исчезновения старых за этот период).
        • +1
          там в статье был график по времени
    • +1
      Я думаю, редкий фишинговый сайт долетит три месяца проживет.
  • +2
    Проблема решается элементарно на уровне браузеров:
    — незащищенные соединения обозначать желтым и текстом (не опасно, но будьте внимательны)
    — защищенные — серым (обычное соединение)
    — защищенные с подтвержденным владельцем — зеленым (в случае чего, известно кого привлекать к ответственности).

    Сертификаты центров, доверие к которым подорвано (случаи недостоверности владельца) — серым независимо от типа сертификата.
    • 0
      Вот из-за наличия подобных людей в политике и возникают проблемы.
      • 0
        Можно подробнее?
        Мозила уже сейчас в полях формы, которая будет передана по незащищенному соединению показывает предупреждение о том, что передача данных не безопасна.
      • 0
        Может слишком радикально? ОК, как вам такое решение #comment_9967672
    • 0
      Простите, а каким образом http over vpn является незащищённым? И не надо мне рассказывать, что это редкий случай. Если безопасность вынесена на транспортный уровень, она от этого не становится меньше.
      • +2
        Простите, а каким образом http over vpn является незащищённым?

        Полным. По пути от VPN до сервера ваши данные всё равно уязвимы, если вы конечно не подключаетесь напрямую к серверу.
        И не надо мне рассказывать, что это редкий случай.

        Ну да, это дичайше редкий случай.
        • –3
          Разумеется, напрямую к серверу. Два loopback'а как-нибудь про безопасность договорятся.

          «Ну да, это дичайше редкий случай. „
          Хорошо настроенная система работает из дефолтов даже в “дичайших случаях». Именно потому все *S/sec протоколы — не от мира сего. Вместо того, чтобы предоставлять механизм, они начинают форсить полиси.

          Я vpn'у с http доверяю больше, чем ssl'ю с сертификатом от CA, потому что этому CA надо доверять, а кому он там чего понавыписывает — я этого контролировать не могу. И сам CA иногда тоже.
        • 0
          Полным. По пути от VPN до сервера ваши данные всё равно уязвимы, если вы конечно не подключаетесь напрямую к серверу.

          Только вот VPN все же изначально для доступа в корпоративную или еще какую сеть а не для обхода цензуры.
          Моя домашняя сеть например. 2 внешних IP, несколько серверов внутри сети. К части — нужен доступ посторонних (сервисов и людей), в том числе и по https. настроен nginx в режиме reverse proxy и Let's Encrypt для всех сразу имен. К части серверов (работающих по http) доступ посторонних не нужен а заставить их работать нормально с https и reverse proxy либо затруднительно, хотя и возможно либо просто не возможно. Только вот нужен доступ с мобильных устройств в том числе и при работе через сотовый интернет. Самым простым решением оказалось таки настроить всем кому этот доступ нужен — VPN на мобильных устройствах.
    • +3
      Сегодня Яндекс'ы отписались:
      • +1
        О чем я и писал выше. Это не проблема бесплатных автоматически выдаваемых сертификатов, которые лишь позволяют любому желающему использовать https, и таким образом защитить посетителей своего сайта от перехвата передаваемых данных. Это проблема того, как браузеры трактуют наличие сертификата. Должно быть две линии обороны (или даже больше) — «защищено от перехвата» и «этому сайту можно доверять».
        • 0
          Малограмотных людей это все равно не спасет, а для более менее подкованных есть плашка с подтвержденным названием компании рядом с адресом.
  • +3

    Просто надо DV-сертификаты подсвечивать жёлтым, как когда-то давно любое шифрованное соединение, а зелёный оставить для EV.

    • +1
      Хорошая попытка. Вы не в компании, продающей сертификаты работаете, случайно? :)
    • –9
      просто нужно закончить эти игры с автоматически генерируемыми сертификатами однодневками и вернуть поддержку startssl. смех только, 90 дней срок действия.
      • +9

        Ололо, сами занимайтесь сексом со startssl.


        смех только, 90 дней срок действия.

        А какая разница, сколько срок действия, если их скрипт по крону обновляет?

        • –4
          как раз в идее отказаться от крона (ну или сделать его опциональным, а не единственным вариантом)
        • 0
          Далеко не везде есть крон. Мне не хваватает авторизации не по файлу на сайте, ну нет сайта с файлами, а вот сертификат нужен.
          • +1

            DNS Challenge уже давно работает, acmetool точно умеет, некоторые другие клиенты тоже, насчёт официального хз.

      • 0

        Так если не хотите — не играйте. На Let's Encrypt свет клином не сошёлся, любые прежние службы сертификации вам с удовольствием что-нибудь продадут под ваши цели.

        • 0
          Очевидно не любые, даже более того, обещали не трогать, но подрезали. пока я вижу старательный форсинг LE, в том числе и тут. Одновременно с этим на днях видел на сайте платныйопрос.ру истекший вчерашним днем LE сертификат. То ли хваленое автоматическое продление не сработало, то ли что-то еще пошло не так…
          • 0

            "Подрезали" — вы про это https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html, что ли? Так там, вроде, всё по существу написано.


            Форсинг — ну так почему бы не пофорсить классный ресурс, подходящий под нужды 95% людей? А если ваши вкусы специфичны ваши задачи не закрываются предложением LE — на рынке куча других предложений.


            Я с месяц назад тоже столкнулся с ситуацией, когда на одном из сайтов не продлился сертификат LE. Криворукость админов, забывших добавить задачу в крон, никто не отменял. На моих серверах всё отлично продлевается с первой попытки.

            • 0
              Давайте конкретизируем: есть сервер kerio connect (mail), то есть необходимо юзать сертификат не только на 443, но и на кучу других портов. Я уверен, есть еще с полсотни всевозможных продуктов, появившихся задолго до LE и его не учитывающих.
              Что мы имеем? Вместо того, чтобы просто отрекламировать LE, режут конкурентов. Ну не вижу я варианта nginx'ом проксировать почту. Вообще вижу лишь один вариант, cloudflare, но если честно, не вызывает доверия эта ненадежность…
              • 0

                Вы то ли комментарием ошиблись, то ли у вас просто фантазия богатая. WoSign и StartCom заблокировали бы, даже если бы не было никакого Let's Encrypt. И это всё ещё не мешает вам купить сертификат у адекватного поставщика.


                Ваши голословные утверждения про Cloudflare вообще не комментирую :)

                • 0
                  Я думаю, что обошлось бы, во всяком случае тех, кто регистрировал до указанной даты. Так официально и объявили. Но позже передумали, как показала практика. Особо никто не возмущается, раз есть LE.
                  Что касается «голословных» утверждений, мне пришлось потратить около получаса, чтобы найти и поменять все пароли после их последнего мелкого косячка на сайтах, которые через них работают. Еще хорошо, что я новости тут читаю. Мог быть и не в курсе. Так что лишний ненадежный элемент тоже заставляет задуматься. Или такие факторы, как косяки хостеров/интеграторов можно не брать в расчет?
                  • 0

                    "In subsequent Chrome releases, these exceptions will be reduced and ultimately removed, culminating in the full distrust of these CAs." — не "позже передумали", а "сразу написали".


                    По Cloudflare: с вами связались, сказали, что вас это задело? Вроде как они писали, что именно так и поступят. Или вы просто раздули из мухи слона?

                    • 0
                      Странно, я читал именно в том ключе, что старые пусть живут. В общем гугл опять со своими инициативами все портит.
                      По cloudflare: я их использую только в качестве dns. Так что нет, не задело (как владельца сайтов), но задело, как пользователя крупных проектов, которые гонят через них траф, там и пришлось менять пароли. Мелочь? Но я мог бы об этом не узнать или быть в роуминге в другой стране
    • 0
      Желтый для сертификата — слишком настораживает, и получается, что это более опасно, чем нейтральный серый при его отсутствии. Лучше синим.
    • 0
      Всё это уже было в симпсонах
      Скрытый текст
      Opera
  • –5
    Просто показывать серый замочек для сертификатов от Let's Encrypt и прочих непроверенных.
  • +37
    Secure изменить на Encrypted и всё.
    • +5
      Самый здравый комментарий с начала треда.
    • 0
      Encrypted сайт даже с самоподписанным сертификатом, здесь ещё и удостоверенный.
  • –1
    С этим форсингом LE (безусловно, сам по себе проект неплох) доходит до смешного: есть сайт, где стоит старый startssl сертификат) выпущенный до всей этой истории, однако в последней версии хрома адрес красный. При этом ошибка якобы в том, что недействительный центр сертификации. Я очень рад за тех недальновидных разработчиков браузера, которые сделали одинаково выглядящей mitm атаку со стороны хакера, выпустившего сертификат на коленке, и корректную работу устраивающего всех сертификата. Как теперь догадаться о том, все ли ок с сайтом? Правильно, никак…

    Для тех, кто считает, что самый умный и предложит перейти на Lets Encypt: к сожалению в текущем случае это невозможно, так как указанный сервер не использует nginx и apache, там проприетарное решение, сертификаты в который загружать можно исключительно руками через вебморду. Использовать nginx для проксирования тоже смысла мало, так как сертификат используется и для почты тоже.

    Безусловно, идея о переходе на ssl правильная, но такое внедрение ее дискредитирует, мы теряем в безопасности, так как с точки зрения неподготовленного пользователя действительный сертификат и поддельный выглядят одинаково
    • +1
      При этом ошибка якобы в том, что недействительный центр сертификации.

      Потому что он и в самом деле недействительный, доверие к данному центру сертификации прекращено в связи с нарушением утверждённых сообществом правил выпуска сертификатов.


      там проприетарное решение, сертификаты в который загружать можно исключительно руками через вебморду.

      Купили проприетарное решение с загрузкой через задницу? Теперь купите и проприетарный сертификат, ибо любитель проприетарщины должен страдать.

      • –1
        Потому что он и в самом деле недействительный, доверие к данному центру сертификации прекращено в связи с нарушением утверждённых сообществом правил выпуска сертификатов.

        Что вы таки говорите? На лисе вполне действительный, в грозоптице и стоковом клиенте андроид-тоже. К тому же речь шла о том, что сертификаты, выданные до определенной даты, будут работать. В результате обманули
        Купили проприетарное решение с загрузкой через задницу?

        Сертификаты, оплату, прописывание ключей/токенов можно делать и руками. В некоторых случаях лучше делать и руками. И нет, совсем не сложно раз в год загрузить файл, это делается очень быстро и просто, хоть с телефона.
        ибо любитель проприетарщины должен страдать.

        То есть любитель Lets Encrypt не страдает? Если для вас являются нормой следующие моменты, то вы знаете о страдании все:
        1. перезапуск для применения нового сертификата
        2. непонятная мутота в кроне с рутовыми правами на боевом сервере
        3. вообще зависимость работоспособности своего сайта от того, удастся ли этому крону получить сертификат по независящим от нас причинам
        4. в случае, если процесс пошел не так, нужно вешать оповещение, подрываться и получать самому

        Нравится автоматизация? Ради бога, но сделайте ее нормально совместимой со всеми решениями, как у Cloudflare, не умеете-сделайте нормальный срок действия и не осложняйте жизнь другим.

        пы.сы. дикая проприетарщина выбрана за функционал, который может быть заменен или другой проприетарщиной, или сторонними облачными решениями, котором особо почту доверять не хочется.
        • 0
          непонятная мутота в кроне с рутовыми правами

          Спецификации протокола открыты, клиенты тоже, идёте на гитхаб и читаете исходники перед применением, или пишете своё, если паранойя замучала. Можете даже написать свой клиент (или обёртку для существующего), который будет автоматически логиниться в вебморду проприетарщины и обновлять там сертификаты.


          в случае, если процесс пошел не так, нужно вешать оповещение

          Не нужно, оповещение об истекающем сроке действия сертификатов приходит на почту, указанную при регистрации аккаунта при первом запуске клиента.

        • +2
          перезапуск для применения нового сертификата

          Nginx достаточно reload.
          непонятная мутота в кроне с рутовыми правами на боевом сервере

          Ставьте понятную прозрачность, тысячи их.
          вообще зависимость работоспособности своего сайта от того, удастся ли этому крону получить сертификат по независящим от нас причинам

          Работоспособность сайта сейчас зависит от многих вещей, увы.
          • –3
            Nginx достаточно reload.

            Увы, все разнообразие серверов (и не только web) не исчерпываются nginx
            Ставьте понятную прозрачность, тысячи их.

            Я называю это костылями, левые сущности для достижения той же цели
            Работоспособность сайта сейчас зависит от многих вещей, увы.

            Длинное ttl в dns, отсутствие внешних ресурсов, дублирующие инстансы — вот уже и нет большей части проблем. Но вот если сертификат скачивается с ресурса, который могут задосить/сломать/заблокировать/сам он глюкнет, это все очень грустно. Помню проблему с jquery и знаю, что делаю правильно, используя все локально.

            С другой стороны использование стороннего сервиса типо CF так же создает новую сущность, которая, как показывает практика, может глюкнуть.
            • 0
              Увы, все разнообразие серверов (и не только web) не исчерпываются nginx

              Конечно. Но использовать отсталый сервер, который не умеет в горячую перезагрузку сертификатов, одновременно поддерживая старые соединения- не есть хорошо.
              А Nginx можно поставить перед всеми этими серверами как прокси, и шифровать всё в одной точке.
              Я называю это костылями, левые сущности для достижения той же цели

              Автоматизация- это костыль? Даже раз в год- это всё равно ручная работа, совершенно ненужная при возможности её автоматизировать.
              Длинное ttl в dns

              Что будет мешать быстрому перенаправлению на другой хост при проблеме с текущим, например, когда ддос соседей валит весь датацентр или канал к нему (а такое случается).
              Но вот если сертификат скачивается с ресурса, который могут задосить/сломать/заблокировать/сам он глюкнет, это все очень грустно.

              На решение проблемы у вас, кажется, есть недели две, так как сертификаты обновляются немного заранее. Разве за две недели вы не сможете купить сертификат?
              • 0

                Бот LE начинает слать уведомления, по-моему, за месяц.

            • 0
              Вы можете термиировать SSL, и проксировать трафик дальше, и использовать для этого тот же ngnix, если ваш сервер требует перезагрузки для смены сертификата и она, при этом, не допустима. Кстати, smtp он тоже умеет. Но на почте перезагрузка и не проблема, в общем-то.

              По поводу надёжности и локальности — у вас очень много времени на то, чтобы перевыпустить сертификат. Если даже сутки/двое/трое будет лежать LE, никакой проблемы не будет, если не пытаться выпустить сертификат в последние минуты срока действия предыдущего. Это не стоит сравнивать с доступностью CDN какого-то jQuery — сертификат у вас, как раз, локален…
              • 0
                nginx будет проксировать соединения pop/imap/smtp и по другим не web портам?
                в этом и сложность решения, поставить для вебморды можно, но нет смысла возиться, если для остального это не поможет
                • 0
                  nginx будет проксировать соединения pop/imap/smtp и по другим не web портам?

                  Без проблем.
                  • 0
                    то есть достаточно указать, что порт другой, так же добавить proxy_pass и все? там же совсем не тот формат данных… это на него можно вообще что угодно завернуть, хоть впн?
                    //я не стебусь, мне на самом деле это интересно, так как способно решить поставленную задачу относительно малой кровью.
        • 0
          перезапуск для применения нового сертификата

          Раз в три месяца? Не проблема.

          непонятная мутота в кроне с рутовыми правами на боевом сервере

          Запускайте под chroot или вовсе под виртуальной машиной.

          удастся ли этому крону получить сертификат

          Скрипт пытается получить сертификат каждый день за месяц до истечения срока.

          в случае, если процесс пошел не так

          Если процесс «идет не так» две недели подряд, то стоит посмотреть, почему он «идет не так». Предположу, что LE тут ни при чем.

          не умеете-сделайте нормальный срок действия

          Это пожелание вы можете написать на форумах Let's Encrypt, где регулярно отмечаются разработчики.
        • 0
          > непонятная мутота в кроне с рутовыми правами на боевом сервере

          Уже давно нет. Для корректной работы certbot достаточно запускать его под самым урезанным юзером, который должен иметь права на запись в единственную папку (как правило называется .well-known) в document_root. Проставить симлинки на сертификаты или запилить тупой скрипт копирования по крону можно и руками единоразово.
  • 0
    Специалисты по безопасности годами учили пользователей, что зелёный значок защищённого соединения HTTPS означает безопасность.
    Это какие-то некомпетентные специалисты. Зелёный замочек означал и означает ровно одно — что соединение между пользователем и сайтом защищено от прослушивания. Подлинность того, кто там сидит на той стороне, он не подтверждает — для этого существуют EV-сертификаты.
    • +1
      Полностью согласен. Учить народ условному рефлексу на зелёный замочек, а потом массово пропихивать всеобщее шифрование интернета было не дальновидно.

      А вообще надо народ не устойчивым стойкам на разные цвета и изображения учить, а собраться всем экспертам гуртом и выработать наконец инструмент, который однозначно классифицирует ресурс как безопасный и инфраструктуру к нему. Пока мы видим только вялое внедрение странных вещей в основном в инициативном порядке.
      • 0
        Для начала можно было бы просто собрать базу из пары тысяч сайтов (крупных международных + из региона пользователя) банков, магазинов, платёжных систем и писать что-то вроде «Вы на сайте <название организации>».
        Если пользователь привыкнет при входе в личный кабинет банка видеть надпись, что всё в порядке, то отсутствие таковой его обеспокоит с куда большей вероятностью, чем лишние буквы в url.
        У меня так антивирус делал раньше (360TS), но китайскому поделию доверия всяко меньше.
        • 0
          Захожу на Альфа-Клик — вижу AO Alfa-Bank, захожу на сайт ТКС — вижу Tinkoff Bank AO, в хроме еще и дописывается [RU] в обоих случаях. Захожу на github с paypal'ом — вижу Github, Inc и PayPal, Inc.
          Чем это не подходит? Тем что не показывается «Вы на сайте »?
          • 0
            Захожу на aliexpress, perfectmoney, ЯД, advcash, любую из своих почтовых служб — стандартная зелёная плашка, как и у любого сайта с бесплатным сертификатом.
            • 0
              А вот тут можно сказать спасибо:
              • Тем кто не хочет покупать Extended Validation SSL, да — там достаточно серьезные требования
              • Тем, кто придумал в браузерах показывать одинаково Domain Validated SSL (то что выдает Let's Encrypt бесплатно и некоторые другие — платно, надо доказать что есть контроль над доменом и все) и Organization Validated SSL (надо не только контроль над доменом но и данные об организации (или частном лице — так тоже можно у Comodo например). Можно было и показывать данные об организации из OV SSL (пусть с каким то другим цветом), все равно они проверены, пусть менее надежно.
              • 0
                Ну допустим, кто виноват — понятно. Остаётся вопрос — что делать. Иными словами — кто теперь позаботиться о пользователях?
                • 0
                  Никто и все понемногу. В том смысле, что это проблема пользователей. Но ради привлечения большей аудитории постепенно все крупные компании получат EV. Меня вот куда больше напрягает, что письма от Aliexpress не шифруются. Во-первых, потому что они содержат приватные данные, а во-вторых, это показывает насколько Ali плевать на пользователей вообще.
                  • 0
                    Эту случится не раньше, чем значимое количество пользователей начнёт обращать на эту деталь внимание. А это в свою очередь произойдёт не ранее, чем подобную технологию внедрят большинство сайтов. Замкнутый круг.
                    Если только кто-то вроде гугла не вмешается в ситуацию кардинально, например, начав ранжировать сайты использующие EV-сертификаты выше прочих.
                    • 0
                      Если только кто-то вроде гугла не вмешается в ситуацию кардинально, например, начав ранжировать сайты использующие EV-сертификаты выше прочих.

                      Может не нужно? Это даёт преимущество тем, у кого много денег, а простой пользователь в принципе не может получить EV-сертификат.
                  • 0
                    А как можно письма шифровать? — нет же массово-поддерживаемого стандарта на этот счёт.
                    • 0
                      Меня вполне устроит TLS.
                      • 0
                        При чём здесь AliExpress? — почему вы уверены, что он не использует TLS при отправке почты?
        • 0
          Для начала можно было бы просто собрать базу из пары тысяч сайтов

          То есть остальным безопасность не нужна? Кто будет контролировать включение в этот список и где гарантии, что его не будут использовать как инструмент нечестной конкурентной борьбы, не давая некотором быть включённым в список, что снизит доверие к ним и уменьшит поток пользователей?
          Спасибо, но сертификаты с валидацией организации уже есть и их достаточно.
          • 0
            Имелась в виду валидация на уровне браузера. Как списки фишинговых сайтов, только наоборот.
            Спасибо, но сертификаты с валидацией организации уже есть и их достаточно.

            Видимо недостаточно, раз проблема имеет место быть.
            • 0
              Имелась в виду валидация на уровне браузера. Как списки фишинговых сайтов, только наоборот.

              И я про что. Тут или контроль с возможностью злонамеренных манипуляций, или добавление всех подряд, включая те же фишинговые сайты.
              • 0
                Да-да, я помню про народ выбирающий между свободой и безопасностью. Но меня, как пользователя, всё же несколько больше беспокоят злонамеренные манипуляции хакеров в отношении меня, нежели таковые между какими-то сторонними компаниями.
                Тем более что я не особо верю, что на выбор пользователя так легко повлиять. Грубо говоря — разве сейчас много людей, которые выбираю банк и почтовый клиент по тому, как выглядит полоска слева от адреса? Существует миллион куда более значимых факторов. Оттого и не спешат все поголовно получать соответствующие сертификаты.
                • 0
                  Но меня, как пользователя, всё же несколько больше беспокоят злонамеренные манипуляции хакеров в отношении меня

                  Надеюсь, вы знаете, куда нужно смотреть при посещении банка. И свою маму научите, и может даже бабушку, чтобы они читали адрес до первой косой черты и звонили в случае, если он вдруг стал отличатся.
                  Так что проблема не в браузерах и не в технологиях, а в людях.
  • 0

    del

    • 0
      Согласитесь, проще раз в год закинуть сертификат руками. дел на 1 минуту ровно?
      Открытые исходники ни разу не признак безопасности, доказано на примере openssl, а я все же скорее администратор, нежели гуру разработки, так что найти баг или закладку вряд ли смогу
      • +5
        дел на 1 минуту ровно?

        StartSSL:


        • Залезть на сайт
        • Протыкать кучу формочек
        • Дождаться прихода письма на почту из хуиза
        • Вбить полученные одноразовые токены в очередную формочку
        • Дождаться, пока сервер раздуплится и признает, что домен таки подтверждён
        • Повторить предыдущие 4 пункта для каждого домена 2 уровня
        • Сгенерить ручками CSR (мы ведь не будем доверять чужому серверу генерить нам приватный ключ?)
        • Протыкать ещё кучу формочек для того, чтоб засунуть в них этот CSR и получить на него сертификат
        • Залить полученный сертификат на сервер
        • Повторить предыдущие 3 пункта для каждого поддомена, ибо больше одного alt name на сертификат startssl не даёт, а wildcard только за деньги
        • Вспомнить об этом через год

        Let's Encrypt:


        • sudo acmetool want <список доменов через пробел>
        • Дождаться автоматической проверки
        • Забыть, потому что задача для крона уже создана автоматически и будет перевыпускать сертификаты, пока не надоест.
        • 0
          Startssl купил проверку организации за 120$
          Получил серт на 3 года(с вайлдкардом и на любое количество доменов) Плюс подпись приложений.

          Аналогов нету(
  • +2

    Да вот виноваты больше браузеры, чем сертификаты. Как так можно, пушистому юзверю показывать знак "Всё, ок, секьюре"?


    Я бы вообще эту информацию убрал куда-то к попапу в техническую информацию о соединении. Люди привыкли к зеленому — зеленый свет == "выход, путь свободен, езжай, иди, травка — жуй". А здесь зеленый, но не безопасно. Спросите обычного пользователя (маму/папу/деда), что такое сертификат, что такое ssl. Думаю мало кто внятно ответит. А вот зеленый свет в баре — это и ежу понятно.

    • +2
      Вы когда дорогу переходите на зеленый «пешеходный» по сторонам не смотрите?
      • +1

        Представьте, что на перекрестке установлен зеленый светофор с человечком, но включается он, когда машины едут с разрешенной скоростью(выполняется одно из правил пдд). А глядя по сторонам Вы как не профессиональный водитель не можете определить, едет машина или стоит на месте(Факт наличия машины видно, но вот понять ее динамику невозможно).


        Тоже самое и в сети для простого смертного — канал защищен, т.е. одно из условий безопасной работы. В адресной строке где-то есть название интересующего сайта, но где оно расположено и как влияет на работу, неспециалисту понять трудно.


        А значок всегда лукаво кричит "Да не парься бро, всё секьюред! Ты в безопасности. А иначе зачем бы мы раскрашивали замочек в зелененький" :)


        ps: лично на меня комбинация иконки замка, надписи и зеленого цвета именно так влияет.

    • 0
      Вы спросите некоторых пользователей habrahabr, что такое «сертификат» и «SSL». Лично я пару лет назад об этом имел очень небольшие знания, только эти уведомления Хрома о том, что «эта форма небезопасна» мотивировала как-то изучить тему и настроить LE
  • +5
    еще бы адресную строку развернуть, чтобы
    https://www.paypal.notification.bla-bla-bla.fishing.com/ выглядел как
    https://com.fishing.bla-bla-bla.notification.paypal.www/

    тогда львиная доля фишинговый сайтов сразу превращается в «тыкву»
    • +1
      Всё куда проще, достаточно пользователю при первом заходе на сайт в браузере добавить его в «доверенные».
      При открытии доверенного сайта адресная строка браузера должна иметь другой цвет. После этого на конкретном устройстве проблема подмены адреса будет решена.
      • 0
        Вы сейчас описали почти то, что происходит у нас в браузере. Это помогает, но этого мало.

        https://habrastorage.org/files/f80/511/b53/f80511b5319b4c0e93c8f9989e718202.png
      • 0
        Мне и вам проще, так как мы обладаем квалификацией и знаниями.
        Более того, обладая этими знаниями, нам (мне) становится это не нужно, так как зная об этом, проверяю ссылки, когда ввожу критичную информацию вроде паролей, кредитной карты или паспортных данных.

        Для «домохозяек» это не проще и не очевидно, и не понятно. Пользователи ориентируются на простые вербальные знаки в интерфейсе.

        Разработчики знают и понимают проблему (в данном случае фишинга), имеют инструменты, чтобы на нее повлиять. И могут сделать, чтобы пользователям было понятнее и чуть безопаснее, при условии, что смогут договорится о форматах, протоколах и интерфейсах(

        Традиция писать адрес в том порядке, который есть сейчас восходит к заре интернета, которая в свою очередь опирается на западную модель написания адресов на конвертах.

        На конвертах (в материальном мире) это работает, в информационной среде это тоже работает, но люди научились эксплуатировать это в своих корыстных целях.
        А ломать устоявшуюся традицию сложно(
    • 0
      Хорошая идея для плагина фокса или хрома.
    • 0
      В опере (по крайней мере раньше), хроме и огнелисе самый верхний уровень домена подсвечен, в адресной строке видно fishing.com, а остальное серым. Но это не спасает от сайтов типа paypai.tk или подобного. Можно на обычные шифрованые сайты показывать значок замка (монохром, НЕ зеленым), а именные сертификаты галочкой, типа владелец подтвержден. Злоумышленники могут, конечно, и именной сертификат получить, но вряд ли они будут это делать. База доверенных сайтов — идея хорошая, но затратная
      • 0

        Нарисуют на некоего Васю, выложившего в интернет свой паспорт 100500 проверенных сертификатов… Или купят в виде услуги у некоего Пети, который за 1 дозу наркотика (еды, водки) готов душу продать.

      • 0
        Но это не спасает от сайтов типа paypai.tk или подобного.


        Почему не спасает? Если человек не способен отличить paypai.tk от paypal.com — то это, все же, проблема его зрения.

        Вообще, чтобы чем-то пользоваться, нужно это что-то понимать. Ни Paypal, ни LE, ни еще кто-то не виноват, если человек зашел на сайт, похожий на известный, и ввел там свои учетные данные от этого, известного сайта.

        Кстати, хранение пароля в браузере (под мастер-паролем, конечно) — помогает. Пароль не будет авто-вписан на сайте с левого домена, что также должно насторожить. По идее.

        Но с дураком, как известно, бороться бесполезно.
      • 0
        Мне тоже нравится, что хром и огнелис подсвечивают домен верхнего уровня.
        Это действительно хорошая практика.
        В своем комментарии я лишь отметил, что разворот адреса мог бы решить львиную долю проблемы, но не решить ее полностью.
        Согласитесь, что проще спутать paypai.tk с paypal.com, чем tk.paypai c com.paypal
        При этом доменов, сходных до смешения с com.paypal остаются считанные единица (paypal при желании может выкупить их все), в отличии от того ада, что дают домены 3-4 уровня в схеме www.paypal.notification.bla-bla-bla.fishing.com

  • +2
    Говорим о безопасности тех, кто не в состоянии освоить простейшие правила? Окей, но только кому это нужнее? Компании, которая занимается выдачей сертификатов безопасности, или производителям бразуеров? Тот же яндекс давно внедрил https://yandex.ru/support/yabrowser/security/protection.xml?lang=ru целый комплекс решений. Так пусть в браузере и реализуется защитный функционал, пусть браузер сам говорит, что «вот этот вот paypal поддельный, вы хотите продолжить?»
  • +1
    Поделюсь своим методом отсеивания фишинга: Браузер Хром оригинал от Гугла, синхронизация включена, автозаполнение и сохранение паролей включено. Регистрируюсь в платёжной системе, сохраняю пароль. После входа меняю пароль, но браузеру актуализировать его не разрешаю. Теперь, при переходе на сайт платёжной системы браузер распознаёт, что сайт соответствует сохранённым данным, те есть является оригинальным, и заполняет поля с использованием старого неправильного пароля. Я ввожу правильный пароль, отказываюсь от попоытки браузера его актуализировать, пользуюсь системой, выхожу. Неправильный сохранённый пароль, сохраннный в браузере — дополнительная защита. Если какой-то сайт пытается выдать себя за данную платёжную систему, браузер его не опознает как оригинальный, и поля логина заполнять не будет. Фишинг детекед, все счастливы. Если этот метод — глупость, рад буду узнать, почему.
    • 0
      Браузер так и так не распознает его как оригинальный, ну. Ваш метод похож на глупость сущую.
      • 0
        Видимо, я недоататочно понятно выразился: Идея в том, что браузер, не заполняя формы, показывает мне, что сайт не оригинальный, а фейковый. То есть, это не какя-то автоматическая защита, а что-то типа сигнализации.
        • 0
          А зачем тогда фейковый пароль в хранилище браузера?
          • 0
            Честно говоря, не знаю. Но, блин, чувствую, что так оно лучше :)
            • 0
              Глупо опираться на ощущения в вопросах безопасности.
  • 0
    Ждем блока летсэнкрипта в новом хроме…
  • 0
    С фишингом не https сертификаты должны бороться, а некий web of trust. Когда пользователь может скачать у крупных поставщиков список доверенных и недоверенных доменов (удостоверение стоит денег), ну или, конечно, вручную указать степень доверия конкретному сайту.

    +1 за предложение развернуть доменные имена в естественном порядке.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.