OpenForum RSS: OpenNews: Firefox 3 мешает работе сайтов с просроченными SSL сертификатами https://www.opennet.me/openforum/vsluhforumID3/43585.html Изменение политики безопасности в Firefox 3 привело (http://royal.pingdom.com/?p=339) к нарушению доступа к десяткам тысяч сайтов с просроченными самодельными сертификатами. При открытии такого сайта, Firefox 3 выдает сообщение об ошибке, похожее на вывод стандартной ошибки отображения страницы (например, 404). Для просмотра содержимого пользователь должен пройти 4 уровня подтверждений.<br><br>Предварительный анализ показал, что 18% сайтов компаний из списка Fortune 1000 имеют просроченные SSL сертификаты.<br><br>URL: http://royal.pingdom.com/?p=339<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=17646<br> Firefox 3 мешает работе сайтов с просроченными SSL сертификатами (Аноним) https://www.opennet.me/openforum/vsluhforumID3/43585.html#35 Tue, 23 Dec 2008 18:09:02 GMT Хваленный startssl.com неизвестен браузеру IE7 и Opera, его признает только Firefox!<br> Firefox 3 мешает работе сайтов с просроченными SSL сертифика... (dry) https://www.opennet.me/openforum/vsluhforumID3/43585.html#34 Sun, 07 Sep 2008 08:58:35 GMT &gt;Cуть в том чтобы получить себе корневой сертификат, подписанный одним из валидных <br>&gt;центров. <br>&gt;А далее все как обычно - на основе своего CA можно сделать <br>&gt;сертификаты и для web и для S/MIME. <br><br>Может заодно скажете где и за почем выписывают сертификаты <br>с KU keyCertSign &#124; cRLSign ?<br>А то мы все ищем, да никак не найдем, так чтобы штаны еще при этом не спали.<br> Firefox 3 мешает работе сайтов с просроченными SSL сертифика... (rlynx) https://www.opennet.me/openforum/vsluhforumID3/43585.html#33 Wed, 03 Sep 2008 12:17:56 GMT &gt;Cуть в том чтобы получить себе корневой сертификат, подписанный одним из валидных <br>&gt;центров. <br>&gt;А далее все как обычно - на основе своего CA можно сделать <br>&gt;сертификаты и для web и для S/MIME. <br><br>Да-да! Именно это я и хотел сказать, только умных слов сложить не мог вместе :)<br> Firefox 3 мешает работе сайтов с просроченными SSL сертифика... (Осторожный) https://www.opennet.me/openforum/vsluhforumID3/43585.html#32 Wed, 03 Sep 2008 11:52:57 GMT &gt;Корневой сертификат принадлежит им, как вы хотите его у них взять? И <br>&gt;что потом - выдавать непонятно что непонятно кому и вам должны <br>&gt;верить, что это типа по прежнему starcom? ;) <br>&gt;<br>&gt;Создайте свой корневой сертификат и используйте его. Внесите его как доверенный во <br>&gt;все ваши браузеры, после этого всем выдаваемым им сертификатам автоматически будет <br>&gt;доверие. <br><br>Cуть в том чтобы получить себе корневой сертификат, подписанный одним из валидных центров.<br>А далее все как обычно - на основе своего CA можно сделать сертификаты и для web и для S/MIME.<br> Firefox 3 мешает работе сайтов с просроченными SSL сертифика... (User294) https://www.opennet.me/openforum/vsluhforumID3/43585.html#31 Mon, 01 Sep 2008 19:33:55 GMT &gt;Ээ... А как нибудь его можно прикрутить к виндовому контроллеру домена? <br><br>При чем тут контроллер домена?Подписыванием сертификатов занимается CA (Certification Authority).Ее корневой сертификат вы можете и сами сгенерить но если его публичная часть не установлена у юзеров в браузере - браузеры будут вопить что сертификаты подписало какое-то autority которое они за доверяемое не считают.По дефолту у браузеров установлены сертификаты (ессно только публичная часть ключа) кучи CA которым браузер доверяет.Эти CA могут своим сертификатом подписать чей-то еще, удостоверив что вон тот человек - не какая-то левая редиска а и правда Вася Пупкин, Инк.<br> Firefox 3 мешает работе сайтов с просроченными SSL сертифика... (User294) https://www.opennet.me/openforum/vsluhforumID3/43585.html#30 Mon, 01 Sep 2008 19:04:03 GMT &gt;идет с гарантиями "AS IS", <br><br>А долбоклювы которые дату сертификата выбирают по методу от балды и по наступлении часа Х не обновляют их - по какой гарантии? :)<br> Firefox 3 мешает работе сайтов с просроченными SSL сертифика... (User294) https://www.opennet.me/openforum/vsluhforumID3/43585.html#29 Mon, 01 Sep 2008 16:25:05 GMT &gt;У МТСников еще и не то бывает. У "интернет-помощника" ростовского МТС <br><br>Ну вот у половины их региональных сайтов выгибон - отсылка смсок через HTTPS.Дык если уж охота вы***уться SSLом и я даже понимаю что платить верисайнам и тафтам всяким жаба давит а еще куча CA (вклчюая и бесплатные) кажутся не спортивными - может тогда хотя-бы ставить на валидность сертификата разумные сроки или уж обновлять его по их истечении?А то браузеры от протухшего сертификата верещат благим матом еще с времен FF2.<br> Firefox 3 мешает работе сайтов с просроченными SSL сертифика... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/43585.html#28 Mon, 01 Sep 2008 13:18:55 GMT Корневой сертификат принадлежит им, как вы хотите его у них взять? И что потом - выдавать непонятно что непонятно кому и вам должны верить, что это типа по прежнему starcom? ;)<br><br>Создайте свой корневой сертификат и используйте его. Внесите его как доверенный во все ваши браузеры, после этого всем выдаваемым им сертификатам автоматически будет доверие.<br> Firefox 3 мешает работе сайтов с просроченными SSL сертифика... (Littleendian) https://www.opennet.me/openforum/vsluhforumID3/43585.html#27 Mon, 01 Sep 2008 13:11:13 GMT &gt;&gt; я понимаю, еще ситуацию с самоподписанными сертификатами<br>&gt;<br>&gt;На этой планете полно кретинов с самоподписанными и при том просроченными сертификатами <br>&gt;- это вообще жесть.Сайт на который все забили называется.Например, у региональных <br>&gt;сайтов МТСников такое замечено... <br><br>У МТСников еще и не то бывает. У "интернет-помощника" ростовского МТС на сайте<br>замечательно расписано о том, что необходим HTTPS, порт 443 и т. п., но при этом<br>они совершенно спокойно отправляют пользователей на ничем не защищенный обычный<br>http://217.74.241.102/selfcare/. Видимо, кто-то у них там на входе коллекционирует<br>номера телефонов и пароли. ;)<br>