Comments 22
Как минимум, им стоит проверить все сертификаты, выданные сайтам, чьи регистраторы доменных имён позволяют посторонним лицам создавать и использовать поддомены на вашем домене. Например, freedns.afraid.org
А как максимум — поры бы отозвать CA WoSign, уж слишком много фейлов с их стороны.
Такие просчеты у многих могут случится и не один центр публиковать свои косяки не будут. Не нравится не используйте. Меня вполне устраивает данный удостоверяющий центр, так как на халяву получить для своего маленького сайта на 3 года сертификат мне нравится. У кого есть возможность те покупают у других.
Дело не в том, что он мне «не нравится». Дело в том, что единственное, чем оперирует CA — это своим доверием. Ибо сертификаты этого CA включены во все (ну почти) браузеры и другие приложения, которые работают с ssl. Т.е. этим сертификатам доверяет весь мир. Но WoSign регулярно фейлит — то выдаёт бесплатные (sic!) сертификаты на левые домены, то вот вдруг владения поддоменом достаточно для подтверждения владения доменом… Это дискредитирует CA, т.е. он утрачивает своё доверие, следовательно я считаю, что CA WoSign должны быть удалены из списка доверенных.
Если вы так печётесь о бесплатных сертификатах — то посмотрите в сторону let's encrypt, настроить серврис апдейта сертификатов на раз в месяц — не такая уж и сложная задача.
Если вы так печётесь о бесплатных сертификатах — то посмотрите в сторону let's encrypt, настроить серврис апдейта сертификатов на раз в месяц — не такая уж и сложная задача.
Шифрование транспортного уровня к доверию никакого отношения не имеет. Доверие в данном случае — это маркетинговая лапша от продавцов воздуха. И WoSign тут конечно им портит всю малину — вместо 200 баксов в год в былые времена теперь выдают бесплатные сертификаты, да еще на три года.
MiTM даже при наличии сертификата на чужой домен осуществить довольно сложно, если конечно речь не о спецслужбах. Ну а если вами заинтересовались они, то https вам врядли поможет, особенно против терморектального криптоанализа
А Доверие, о котором говорят эти жулики, теперь называется EV сертификатом, и вот сюрприз, стоит как сертификат у Verisign 15 лет назад — 200-300 баксов
MiTM даже при наличии сертификата на чужой домен осуществить довольно сложно, если конечно речь не о спецслужбах. Ну а если вами заинтересовались они, то https вам врядли поможет, особенно против терморектального криптоанализа
А Доверие, о котором говорят эти жулики, теперь называется EV сертификатом, и вот сюрприз, стоит как сертификат у Verisign 15 лет назад — 200-300 баксов
Само шифрование — нет конечно, доверие нужно для подтверждения, что клиент связывается с легитимным сервером. Без третьей стороны тут не обойтись.
У нас может быть вполне себе секурное шифрование с злоумышленником — именно эту проблему решает CA.
У нас может быть вполне себе секурное шифрование с злоумышленником — именно эту проблему решает CA.
Для подтверждения легитимности используются сертификаты Extended Validation («зелененькие»), с предоставлением документов о компании-владельце домена. Вот тот самый гитхаб, про который речь шла, как раз такой сертификат использует.
А у простых сертификатов проверяется то, что запрашивающий их либо
— может читать почту postmaster@ webmaster@ и пр на домене
— его е-мэйл явно указан в whois домена
— он может редактировать записи в ДНСах домена
— он может размещать файлы на веб-сайте домена
Это по-вашему гарантия легитимности? Такие сертификаты запрашивают не владельцы домена, а технический персонал, а уж доступ к одному из способов верификации может получить в общем случае еще большее количество людей.
И повторюсь — HTTPS используется не для доверия, а для невозможности перехвата паролей открытым текстом на уровне провайдера, или еще где по дороге. Для здравомыслящих людей серый замочек — не повод вводить данные кредитной карты.
А у простых сертификатов проверяется то, что запрашивающий их либо
— может читать почту postmaster@ webmaster@ и пр на домене
— его е-мэйл явно указан в whois домена
— он может редактировать записи в ДНСах домена
— он может размещать файлы на веб-сайте домена
Это по-вашему гарантия легитимности? Такие сертификаты запрашивают не владельцы домена, а технический персонал, а уж доступ к одному из способов верификации может получить в общем случае еще большее количество людей.
И повторюсь — HTTPS используется не для доверия, а для невозможности перехвата паролей открытым текстом на уровне провайдера, или еще где по дороге. Для здравомыслящих людей серый замочек — не повод вводить данные кредитной карты.
Letsencrypt дает нахаляву навсегда, настроить — полчаса.
Вообще-то, почти все CA публикуют все свои сертификаты на certificate transparency-серверы, чтобы, в случае, если администраторы CA что-то не досмотрели, и злоумышленники подписали себе сертификат на какой-то серьезный домен, им не принадлежащий, это мог заметить сторонний наблюдатель.
Очень странно, но на один из моих старых доменов, кроме WoSign, который запрашивал я — 2 сертификата, Comodo выдало ещё 26 сертификатов, в том числе для поддоменов, по запросу cloudflaressl.com. Я пользовался некоторое время сервисом «CloudFlare», но как можно выдавать сертификаты не подтверждая статус владельца домена, ещё и параллельно действующему.
Включенный CloudFare "владеет доменом" в контексте того что он может манипулировать зоной и всем траффиком. Это достаточно, что бы получить сертификат (даже вот в LE). А вы ему сами это разрешили.
CloudFlare не активен на этом домене уже 2 года. Домен старый и на нем завязана только почта через другой dns-хостинг.
По факту: последний сертификат на CloudFlare получен 30.06 2016, доменом управляет dns-хостинг mail.ru и зарегистрирован он — GoDaddy. Но CloudFlare исправно получает сертификаты на него и поддомены.
По факту: последний сертификат на CloudFlare получен 30.06 2016, доменом управляет dns-хостинг mail.ru и зарегистрирован он — GoDaddy. Но CloudFlare исправно получает сертификаты на него и поддомены.
А вот так это уже звучит странно, согласен. Пните саппорт CF для интереса? или Comodo?
Провели проверку. Разобрались в чем дело. Проблема была в GoDaddy.
1. Он упорно отказывается принимать в первичный и вторичный ns серверы mail.ru. Хотя при изменении он пишет, что их только 2 (от mail.ru), но после обновления страницы отображает предыдущие, а эти пишет ниже.
2. Доверились GoDaddy и не удалили сайт с CloudFlare. Хотя сайт и стоял там в статусе «Active», но в настройках был включен «Обход серверов CloudFlare» (открывать напрямую).
Сбросили настройки ns-зоны GoDaddy по-умолчанию и дописали туда mail-серверы, удалили сайт с CloudFlare.
Судя по записям о получении сертификатов домена — проблема началась в июле 2015 года, т.к. до этого было всего два запроса от CloudFlare на получение в 2014 году, но с указанного периода каждые 3 месяца, а иногда и 2-3 раза в месяц. Доменом не пользовались с 2014 года. Оставили только из-за необходимости поддержки клиентов и регистрации на некоторых сервисах, настроив переадресацию почты на новый домен. Домен в этом году истекает, продлевать не будем, т.к. обходится он дорого теперь ($up) и нет необходимости, но информацию примем к сведению, что такое возможно.
1. Он упорно отказывается принимать в первичный и вторичный ns серверы mail.ru. Хотя при изменении он пишет, что их только 2 (от mail.ru), но после обновления страницы отображает предыдущие, а эти пишет ниже.
2. Доверились GoDaddy и не удалили сайт с CloudFlare. Хотя сайт и стоял там в статусе «Active», но в настройках был включен «Обход серверов CloudFlare» (открывать напрямую).
Сбросили настройки ns-зоны GoDaddy по-умолчанию и дописали туда mail-серверы, удалили сайт с CloudFlare.
Судя по записям о получении сертификатов домена — проблема началась в июле 2015 года, т.к. до этого было всего два запроса от CloudFlare на получение в 2014 году, но с указанного периода каждые 3 месяца, а иногда и 2-3 раза в месяц. Доменом не пользовались с 2014 года. Оставили только из-за необходимости поддержки клиентов и регистрации на некоторых сервисах, настроив переадресацию почты на новый домен. Домен в этом году истекает, продлевать не будем, т.к. обходится он дорого теперь ($up) и нет необходимости, но информацию примем к сведению, что такое возможно.
В Firefox: Preferences -> Advanced -> Certificates -> View Certificates -> Удаляем все WoSign сертификаты.
Пусть лучше показывается окно с ошибкой сертификата, чем вот так китайцы будут подкладывать нам свинью.
Пусть лучше показывается окно с ошибкой сертификата, чем вот так китайцы будут подкладывать нам свинью.
Полез в Хром, а у меня его уже и нет. То ли Гугл, то ли Касперыч подсуетился.
Неправильно. Удаление сертификата не гарантирует недоверие ему, особенно в случае WoSign, т.к. его Intermediate CA подписаны еще и StartCom (это называется кросс-подпись), и вполне может получиться так, что ваш браузер будет валидировать цепочку через StartCom.
Нужно вручную добавить сертификат в список недоверия. В Firefox, например, это делается путем снятия всех «This certificate can…» галок.
И вообще, похоже, WoSign купил StartCom по-тихому, где-то в 2015 году. Всего несколько дней назад работал сайт https://www.letsphish.org/, пытающийся объяснить ситуацию с точки зрения бывшего работника StartCom, но сейчас информация на нем убрана под угрозой судебного преследования. Есть копия: https://archive.is/8bSp6
Основная проблема в том, что WoSign не хочет отзывать эти сертификаты (для github.com/io и azure), и говорит, что компании должны написать им письмо, что, мол, не мы заказывали выпуск этих сертификатов.
Нужно вручную добавить сертификат в список недоверия. В Firefox, например, это делается путем снятия всех «This certificate can…» галок.
И вообще, похоже, WoSign купил StartCom по-тихому, где-то в 2015 году. Всего несколько дней назад работал сайт https://www.letsphish.org/, пытающийся объяснить ситуацию с точки зрения бывшего работника StartCom, но сейчас информация на нем убрана под угрозой судебного преследования. Есть копия: https://archive.is/8bSp6
Основная проблема в том, что WoSign не хочет отзывать эти сертификаты (для github.com/io и azure), и говорит, что компании должны написать им письмо, что, мол, не мы заказывали выпуск этих сертификатов.
Sign up to leave a comment.
Удостоверяющий центр из Китая по ошибке выдал пользователю SSL-сертификат для домена GitHub