Изменение политики безопасности в Firefox 3 привело (http://royal.pingdom.com/?p=339) к нарушению доступа к десяткам тысяч сайтов с просроченными самодельными сертификатами. При открытии такого сайта, Firefox 3 выдает сообщение об ошибке, похожее на вывод стандартной ошибки отображения страницы (например, 404). Для просмотра содержимого пользователь должен пройти 4 уровня подтверждений.Предварительный анализ показал, что 18% сайтов компаний из списка Fortune 1000 имеют просроченные SSL сертификаты.
URL: http://royal.pingdom.com/?p=339
Новость: http://www.opennet.me/opennews/art.shtml?num=17646
туда им и дорога, ssl сертификаты не для того были придуманы, чтобы на них можно было забить на годы.
+стопятьсот
я понимаю, еще ситуацию с самоподписанными сертификатами, не всякой конторе целесообразно
выкидывать бабло на покупку сертификата у доверенного центра, но в этом случае юзер может
установить корневой сертификат в хранилище руками единожды, если это ему действительно надо.
но ситуация с просроченными сертификатами и прочими говносертами у которых хост в CN не совпадает - однозначно сливать, без вопросов.
> я понимаю, еще ситуацию с самоподписанными сертификатамиНа этой планете полно кретинов с самоподписанными и при том просроченными сертификатами - это вообще жесть.Сайт на который все забили называется.Например, у региональных сайтов МТСников такое замечено...
>> я понимаю, еще ситуацию с самоподписанными сертификатами
>
>На этой планете полно кретинов с самоподписанными и при том просроченными сертификатами
>- это вообще жесть.Сайт на который все забили называется.Например, у региональных
>сайтов МТСников такое замечено...У МТСников еще и не то бывает. У "интернет-помощника" ростовского МТС на сайте
замечательно расписано о том, что необходим HTTPS, порт 443 и т. п., но при этом
они совершенно спокойно отправляют пользователей на ничем не защищенный обычный
http://217.74.241.102/selfcare/. Видимо, кто-то у них там на входе коллекционирует
номера телефонов и пароли. ;)
>У МТСников еще и не то бывает. У "интернет-помощника" ростовского МТСНу вот у половины их региональных сайтов выгибон - отсылка смсок через HTTPS.Дык если уж охота вы***уться SSLом и я даже понимаю что платить верисайнам и тафтам всяким жаба давит а еще куча CA (вклчюая и бесплатные) кажутся не спортивными - может тогда хотя-бы ставить на валидность сертификата разумные сроки или уж обновлять его по их истечении?А то браузеры от протухшего сертификата верещат благим матом еще с времен FF2.
Ну не только FF3 так себя ведёт, IE7 тоже очень похоже на стандартную ошибку выдаёт экран и ничего. Чем больше проблем - тем быстрее их исправят!У нас на сервере, после выхода 7 версии IE, для внутреннего портала быстро осознали необходимость покупки сертификата (вместо самоподписанного), а то денег нет, то ещё чего - все правильно.
>У нас на сервере, после выхода 7 версии IE, для внутреннего портала
>быстро осознали необходимость покупки сертификата (вместо самоподписанного), а то денег нет,
>то ещё чего - все правильно.покупать для _внутреннего_? :)
а унитазы у вас не алмазные случаем?
не совсем точно выразился, некоторые контрагенты тоже с ним работают, так что пардон ;)
>> У нас на сервере, после выхода 7 версии IE, для внутреннего портала
>> быстро осознали необходимость покупки сертификата (вместо самоподписанного),
>> а то денег нет, то ещё чего - все правильно.
> покупать для _внутреннего_?29.99 USD / year - разве это много?
>29.99 USD / year - разве это много?килограмм - это тяжело?
>>> У нас на сервере, после выхода 7 версии IE, для внутреннего портала
>>> быстро осознали необходимость покупки сертификата (вместо самоподписанного),
>>> а то денег нет, то ещё чего - все правильно.
>> покупать для _внутреннего_?
>
>29.99 USD / year - разве это много?Для внутренних целей есть самоподписанные сертификаты.
Речь идет о монопольном положении некоторых центров сертификации.
> Речь идет о МОНОПОЛЬНОМ положении НЕКОТОРЫХ центров сертификации.Долго пытался уловить глубокий сакральный смысл этой конструкции...
>Речь идет о монопольном положении некоторых центров сертификации.Это как?У того же фаерфокса в trusted CA вагон и маленькая тележка разных CA по дефолту.Это теперь монополией называется?Кхм...
> покупать для _внутреннего_? :)Не нравится покупать для внутреннего - можно пойти на startssl.com и совершенно бесплатно взять там сертификат, firefox в течении года и слова не пикнет (и никаких подстав, на следующий год продлить тоже бесплатно). Но нет, мыши продолжают жрать свой кактус, ведь проще заставлять пользователей проходить через кричащие им о криворукости админа предупреждения, чем потратить время на заполнение формы и сделать своей компании нормальный сертификат..
Проблема самоподписанного сертификата в том, что он не гарантирует НИ-ЧЕ-ГО. Там может стоять вообще отсутствие шифрования или какой-нибудь 48-битный шифр. А пользователь будет думать, мол https - значит секьюрно. Сертификация от компании тем и отличается, что они заведомо не выдают бредовых сертификатов, и есть некоторая минимальная гарантия, что хоть шифроваться будет нормально.
>Сертификация от компании тем и
>отличается, что они заведомо не выдают бредовых сертификатов, и есть некоторая
>минимальная гарантия, что хоть шифроваться будет нормально.весь массовый софт (свободный и нет),
который пользуют юзера у себя на рабочих станциях, идет с гарантиями "AS IS",
т.е. без оных.
А вы тут вещаете о гарантиях на другом конце сети :)
Все эти сертификаты - простое надувание щек большими конторами, дабы рубить все
то же, что и остальные.
Сертификат - это механизм, подразумевающий механизм обратной проверки, вплоть до корневого удостоверяющего центра, вот что подразумевает сертификат от центров, входящих в список корневых доверенных центров сертификации. Надувание щёк тут не причём, не занимайтесь ребячеством, это чисто технический вопрос.
>идет с гарантиями "AS IS",А долбоклювы которые дату сертификата выбирают по методу от балды и по наступлении часа Х не обновляют их - по какой гарантии? :)
>> покупать для _внутреннего_? :)
>
>Не нравится покупать для внутреннего - можно пойти на startssl.com и совершенно
>бесплатно взять там сертификат, firefox в течении года и слова не
>пикнет (и никаких подстав, на следующий год продлить тоже бесплатно). Но
>нет, мыши продолжают жрать свой кактус, ведь проще заставлять пользователей проходить
>через кричащие им о криворукости админа предупреждения, чем потратить время на
>заполнение формы и сделать своей компании нормальный сертификат..Ээ... А как нибудь его можно прикрутить к виндовому контроллеру домена? Что бы можно было потом им раздавать клиентские сертификаты, а так же создавать сертификаты для веб-серверов?
>[оверквотинг удален]
>>Не нравится покупать для внутреннего - можно пойти на startssl.com и совершенно
>>бесплатно взять там сертификат, firefox в течении года и слова не
>>пикнет (и никаких подстав, на следующий год продлить тоже бесплатно). Но
>>нет, мыши продолжают жрать свой кактус, ведь проще заставлять пользователей проходить
>>через кричащие им о криворукости админа предупреждения, чем потратить время на
>>заполнение формы и сделать своей компании нормальный сертификат..
>
>Ээ... А как нибудь его можно прикрутить к виндовому контроллеру домена? Что
>бы можно было потом им раздавать клиентские сертификаты, а так же
>создавать сертификаты для веб-серверов?А чем не устраивает виндовый CA? Или Вам в интранет ходить не мелкомягкими продуктами нужно?
> Ээ... А как нибудь его можно прикрутить к виндовому контроллеру домена? Что бы можно было потом им раздавать клиентские сертификаты, а так же создавать сертификаты для веб-серверов?Не знаю, то ли это, но почитайте http://www.startssl.com/?app=22
>> Ээ... А как нибудь его можно прикрутить к виндовому контроллеру домена? Что бы можно было потом им раздавать клиентские сертификаты, а так же создавать сертификаты для веб-серверов?
>
>Не знаю, то ли это, но почитайте http://www.startssl.com/?app=22Не совсем то... Нужен как раз корневой сертификат... Что бы потом самому на его основе генерить сертификаты для веб-серверов и для клиентов что бы их туда пускало.
P.S.: у нас апач... Но и там для апач не то.
Корневой сертификат принадлежит им, как вы хотите его у них взять? И что потом - выдавать непонятно что непонятно кому и вам должны верить, что это типа по прежнему starcom? ;)Создайте свой корневой сертификат и используйте его. Внесите его как доверенный во все ваши браузеры, после этого всем выдаваемым им сертификатам автоматически будет доверие.
>Корневой сертификат принадлежит им, как вы хотите его у них взять? И
>что потом - выдавать непонятно что непонятно кому и вам должны
>верить, что это типа по прежнему starcom? ;)
>
>Создайте свой корневой сертификат и используйте его. Внесите его как доверенный во
>все ваши браузеры, после этого всем выдаваемым им сертификатам автоматически будет
>доверие.Cуть в том чтобы получить себе корневой сертификат, подписанный одним из валидных центров.
А далее все как обычно - на основе своего CA можно сделать сертификаты и для web и для S/MIME.
>Cуть в том чтобы получить себе корневой сертификат, подписанный одним из валидных
>центров.
>А далее все как обычно - на основе своего CA можно сделать
>сертификаты и для web и для S/MIME.Да-да! Именно это я и хотел сказать, только умных слов сложить не мог вместе :)
>Cуть в том чтобы получить себе корневой сертификат, подписанный одним из валидных
>центров.
>А далее все как обычно - на основе своего CA можно сделать
>сертификаты и для web и для S/MIME.Может заодно скажете где и за почем выписывают сертификаты
с KU keyCertSign | cRLSign ?
А то мы все ищем, да никак не найдем, так чтобы штаны еще при этом не спали.
>Ээ... А как нибудь его можно прикрутить к виндовому контроллеру домена?При чем тут контроллер домена?Подписыванием сертификатов занимается CA (Certification Authority).Ее корневой сертификат вы можете и сами сгенерить но если его публичная часть не установлена у юзеров в браузере - браузеры будут вопить что сертификаты подписало какое-то autority которое они за доверяемое не считают.По дефолту у браузеров установлены сертификаты (ессно только публичная часть ключа) кучи CA которым браузер доверяет.Эти CA могут своим сертификатом подписать чей-то еще, удостоверив что вон тот человек - не какая-то левая редиска а и правда Вася Пупкин, Инк.
Может наконец начнут серьезно относиться к сертификатам?
> Firefox 3 мешает работе сайтов с просроченными SSL сертификатамиFirefox заботится о настоящей безопасности, а вся статья - бред сивой кобылы. Если фирму не колышит продление сертификатов безопасности, нафиг она вообще в сети присутсвует?
Гугл и Фаерфокс меняют мир к лучшему :)
Хваленный startssl.com неизвестен браузеру IE7 и Opera, его признает только Firefox!