?

Log in

 
 
17 March 2017 @ 01:32 am
 
Случайно обнаружил, что при заходе на https://wirade.ru с мобильника браузер гневно отвергает SSL-сертификат от StartCom.
Привинтил взамен новый от Let's Encrypt, должен обновляться автоматом каждые три месяца.

Люди с разными нестандартными платформами - мобильными, десктопными - сделайте одолжение, скажите, не выкидывает ли вам браузер предупреждалку на тему SSL, certificates и всё такое при заходе на сайт.

Со Старткомом же произошла пренеприятная история. Это израильский CA был куплен другим CA, китайским WoSign. Это, конечно, может случиться с каждым, но к ним была выдвинута претензия, что о сделке они не сообщили публично. Очевидно, для CA, единственным товаром которого является его репутация, это серьёзное дело. Дальше - хуже, WoSign поймали на том, что какое-то количество сертификатов они подписали более ранним числом, чем когда они были выданы реально - чтобы браузеры не ругались на сайты их клиентов из-за использования устаревшего алгоритма SHA-1. Это, конечно, с подвигами TrustWave ни в какое сравнение не идёт, но тем не менее, и WoSign-у, и Старткому был объявлен интердикт: разом Эппл, Гугл и Мозилла забанили их сертификаты.

К большой моей печали, поскольку как раз эти двое были единственные, кто выдавал долгосрочные SSL-сертификаты забесплатно, то есть даром. Чем я с удовольствием пользовался, а теперь увы.

(Впрочем, обе конторы старательно делают вид, что ничего не происходит, business as usual. Стартком пообещал выкатить новый корневой сертификат, но не выкатил.)

Дополнительно меня напрягает, как именно этот бан был реализован. Не обычным выкидыванием корневого сертификата из доверенных или занесением его в untrusted (что, впрочем, Гуглу было бы проблемно реализовать: Chrome использует хранилища ключей Windows, а Микрософт к отлучению не присоединялся). А следующим образом: сертификаты, выданные до 21.10.2016 признаются легальными. А выданные позже - уже нет.

Это спасает большинство клиентов этих CA, заплативших за свои сертификаты, но это означает, что эта запретительная логика реализована в коде самих браузеров (Firefox 51, Chrome 56) и юзер над ней не властен. То есть хозяин компьютера или айтишник компании не может решить своей волей, что его браузеры будут всё-таки этим CA доверять - за него решение приняли большие компании, и override не предусмотрен. Тенденция эта, на мой взгляд, скверная.
 
 
Current Music: Derek Sherinian - Axis Of Evil
 
 
 
Dizzy: Dizzy-Harudzz on March 17th, 2017 06:11 am (UTC)
> за него решение приняли большие компании, и override не предусмотрен. Тенденция эта, на мой взгляд, скверная.

Скверная, но повсеместная. "Мы лучше знаем, что нужно для вашей безопасности" и "99% пользователей это не требуется".

Отсутствие бесплатных CA расстраивает. Можно было бы залудить на эту тему общественную организацию по типу википедии, но это малореально по массе причин.
Кот Муцийcat_mucius on March 17th, 2017 08:07 am (UTC)
Ну вот появился недавно замечательный LetsEncrypt.org - он бесплатный и широко доверяемый, но сертификаты они выдают всего на 90 дней, и полагаются на процедуру валидации, которую легко автоматизировать лишь в ограниченных условиях (либо програмка типа certbot создаёт временные файлы на сайте, которые LetsEncrypt может скачать для проверки, либо DNS-провайдер позволяет програмно создавать временные записи). А без автоматизации - слишком много мороки.
Mithrilianmithrilian on March 17th, 2017 10:17 am (UTC)
Линукс,декстоп,всё нормально.
Кот Муцийcat_mucius on March 17th, 2017 10:23 am (UTC)
О, спасибо! А что за браузер, Firefox?
Mithrilianmithrilian on March 17th, 2017 10:37 am (UTC)
Проверила и файрфок и вивальди, оба ок.
Кот Муцийcat_mucius on March 17th, 2017 10:40 am (UTC)
вивальди

Вау, я про такой и не слышал. :-)
Отпрыск Оперы, судя по вики.
Mithrilianmithrilian on March 17th, 2017 11:31 am (UTC)
Владимира надо спросить, это его браузер, нам на десктопе удобно быть залогиненными в "своих" браузерах :). Он раньше пользовался Оперой, но больше ее не обновляет почему-то.
vladimir000vladimir000 on March 17th, 2017 12:31 pm (UTC)
Да, причем неплохой, на мой вкус.