URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 101344
[ Назад ]

Исходное сообщение
"В Firefox 36 будет прекращена поддержка сертификатов на осно..."
Отправлено opennews , 29-Янв-15 11:24

Разработчики Mozilla сообщили (https://blog.mozilla.org/security/2015/01/28/phase-2-phasing.../) о переходе к второй фазе прекращения поддержки сертификатов на основе 1024-разрядных ключей RSA, безопасность которых в ближайшем будущем находится под вопросом, с учётом роста вычислительной мощности современных компьютерных систем. Начиная с запланированного на 24 февраля выпуска Firefox 36 подобные сертификаты будут исключены из списка заслуживающих доверия корневых сертификатов, а связанные с ними цепочной доверия сайты будут помечены как незащищённые. В частности, будет удалён один корневой сертификат Verizon и четыре сертификата Symantec.

Небезопасными также будут помечены сайты, сертификаты которых основаны на 1024-разрядных ключах RSA. Владельцам подобных сайтов следует пересоздать сертификат с ключом, размером 2048 бит. Проведённое в сентябре прошлого года исследования показало (https://community.rapid7.com/community/infosec/sonar/blog/20...), что в сети находится примерно 30 тысяч сайтов с действующими сертификатами на основе 1024-разрядных ключей RSA. Напомним, что организация NIST объявила устаревшими 1024-разрядные ключи RSA ещё в 2010 году и запретила их применение после 2013 года.

URL: https://blog.mozilla.org/security/2015/01/28/phase-2-phasing.../
Новость: http://www.opennet.me/opennews/art.shtml?num=41563

Содержание

В Firefox 36 будет прекращена поддержка сертификатов на осно...,Аноним, 11:24 , 29-Янв-15
- В Firefox 36 будет прекращена поддержка сертификатов на осно...,Stax, 11:51 , 29-Янв-15
В Firefox 36 будет прекращена поддержка сертификатов на осно...,Аноним, 11:50 , 29-Янв-15
- В Firefox 36 будет прекращена поддержка сертификатов на осно...,Stax, 11:54 , 29-Янв-15
  - В Firefox 36 будет прекращена поддержка сертификатов на осно...,Andrey Mitrofanov, 12:45 , 29-Янв-15
    - В Firefox 36 будет прекращена поддержка сертификатов на осно...,Stax, 12:56 , 29-Янв-15
      - В Firefox 36 будет прекращена поддержка сертификатов на осно...,КО, 13:25 , 29-Янв-15
      - В Firefox 36 будет прекращена поддержка сертификатов на осно...,Аноним, 16:11 , 31-Янв-15
  - В Firefox 36 будет прекращена поддержка сертификатов на осно...,Аноним, 11:56 , 30-Янв-15
В Firefox 36 будет прекращена поддержка сертификатов на осно...,Ilya Indigo, 21:24 , 29-Янв-15
- В Firefox 36 будет прекращена поддержка сертификатов на осно...,twilight, 03:52 , 30-Янв-15
  - В Firefox 36 будет прекращена поддержка сертификатов на осно...,Аноним, 06:48 , 30-Янв-15
    - В Firefox 36 будет прекращена поддержка сертификатов на осно...,Ilya Indigo, 15:47 , 30-Янв-15
      - В Firefox 36 будет прекращена поддержка сертификатов на осно...,Аноним, 19:02 , 01-Фев-15
        
        В Firefox 36 будет прекращена поддержка сертификатов на осно...,Chaser, 01:02 , 16-Фев-15

Сообщения в этом обсуждении

"В Firefox 36 будет прекращена поддержка сертификатов на осно..."
Отправлено Аноним , 29-Янв-15 11:24

> В частности, будет удалён один корневой сертификат Verizon и четыре
> сертификата Symantec.
Спонсор шоу - Verizon и Symantec, которые с удовольствием продадут новые сертификаты своим клиентам :).

"В Firefox 36 будет прекращена поддержка сертификатов на осно..."
Отправлено Stax , 29-Янв-15 11:51

Нормальные конторы (возможно, эти тоже, не проверял) меняют в такой ситуации бесплатно. Например, сертификаты, подписанные sha1 предлагали заменить на подписанные sha256 после того, как гугл и прочие объявили о пометке их как небезопасные в будущем.

"В Firefox 36 будет прекращена поддержка сертификатов на осно..."
Отправлено Аноним , 29-Янв-15 11:50

Если не доверять центрам сертификации (а настоящий параноик им доверять не будет никогда), то все сайты можно считать незащищёнными.
Только certificate pinning спасёт мировую рев^W демократию.

"В Firefox 36 будет прекращена поддержка сертификатов на осно..."
Отправлено Stax , 29-Янв-15 11:54

> Если не доверять центрам сертификации (а настоящий параноик им доверять не будет
> никогда), то все сайты можно считать незащищёнными.
> Только certificate pinning спасёт мировую рев^W демократию.
Да не, web of trust решает. Встретиться вживую, попить пивка, обменяться сертификатами доверенных центров...

"В Firefox 36 будет прекращена поддержка сертификатов на осно..."
Отправлено Andrey Mitrofanov , 29-Янв-15 12:45

>web of trust решает.
>обменяться сертификатами доверенных центров...
Параграфы противоречат. Не?

"В Firefox 36 будет прекращена поддержка сертификатов на осно..."
Отправлено Stax , 29-Янв-15 12:56

Не!
Например, я заявляю: "отныне я выдаю настоящие сертификаты! проверяю клиентов лично! Качество гарантирую! Я доверенный центр X - довереннее некуда!".
Выдал компании Y сертификат. К ней заходит клиент Z и видит - сертификат выписан лично X. Задумывается - а можно ли X доверять, вообще? Звонит мне. Я говорю - "не вопрос, приходи, расскажу что и как, пиво не забудь.". Клиент Z приходит ко мне, мы пьем пиво, беседуем, он видит меня - доверенный центр - лично, убеждается что я это я, что я весь такой доверенный и клиентов проверяю, он доволен, я дарю ему отпечаток своего ключа на память.
Он вносит его в список доверенных центров и теперь с уверенностью доверяет сертификату компании Y.
А если я выдам еще сертификат компании Y', то он будет уверен, что кому попало я сертификат не выдал бы, и ему тоже можно доверять. Он же мне доверяет. Мы же с ним пиво пили!

"В Firefox 36 будет прекращена поддержка сертификатов на осно..."
Отправлено КО , 29-Янв-15 13:25

На самом деле все доверяют X не из-за того, что с ним пиво пили, а потому, что Y заплатил X за то, что X порекомендует Y, ну и x, наверное, поделился деньгами с тем, кто рекомендавал X Вам. :)

"В Firefox 36 будет прекращена поддержка сертификатов на осно..."
Отправлено Аноним , 31-Янв-15 16:11

Если каждый клиент, открывающий по https посещаемый сайт будет пить с тобой пиво, у тебя печень выдержит?

"В Firefox 36 будет прекращена поддержка сертификатов на осно..."
Отправлено Аноним , 30-Янв-15 11:56

BPWoT (Beer Powered Web of Trust).

"В Firefox 36 будет прекращена поддержка сертификатов на осно..."
Отправлено Ilya Indigo , 29-Янв-15 21:24

>Владельцам подобных сайтов следует пересоздать сертификат с ключом, размером 2048 бит.
Почему сразу не 4096 бит?

"В Firefox 36 будет прекращена поддержка сертификатов на осно..."
Отправлено twilight , 30-Янв-15 03:52

однако экспортные ограничения.

"В Firefox 36 будет прекращена поддержка сертификатов на осно..."
Отправлено Аноним , 30-Янв-15 06:48

Экспортные ограничения и так сильно ниже, чем любые современные способы шифрования.
4096 не применяется по той простой причине, что 2048 в большинстве случаев достаточно.

"В Firefox 36 будет прекращена поддержка сертификатов на осно..."
Отправлено Ilya Indigo , 30-Янв-15 15:47

> Экспортные ограничения и так сильно ниже, чем любые современные способы шифрования.
> 4096 не применяется по той простой причине, что 2048 в большинстве случаев
> достаточно.
1024 в те времена тоже считали достаточным.
А как же рассчитывается критерий достаточности?

"В Firefox 36 будет прекращена поддержка сертификатов на осно..."
Отправлено Аноним , 01-Фев-15 19:02

>> Экспортные ограничения и так сильно ниже, чем любые современные способы шифрования.
>> 4096 не применяется по той простой причине, что 2048 в большинстве случаев
>> достаточно.
> 1024 в те времена тоже считали достаточным.
> А как же рассчитывается критерий достаточности?
В связи с существованием SSL Bump и SNI весь HTTPS можно целиком считать незащищенным, вне зависимости от разрядности ключей и используемых пар Диффи-Хеллмана.

"В Firefox 36 будет прекращена поддержка сертификатов на осно..."
Отправлено Chaser , 16-Фев-15 01:02

> SSL Bump
Что в нём особенного? Типичный MitM. Если у организатора self-signed сертификат, то юзер увидит. Если же CA в браузере юзера - то нет, но это фундаментальная проблема доверия CA.
> SNI
Что в этом плохого?