Корневой сертификат Let's Encrypt принят в список доверия Mozilla

06.08.2016 08:11

Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, сообщил о включении корневого сертификата проекта в список заслуживающих доверия сертификатов Mozilla. Обновлённый список корневых сертификатов станет доступен пользователям, начиная с Firefox 50.

Кроме Mozilla, заявки на включение в хранилище корневых сертификатов также ранее были отправлены компаниям Google, Microsoft и Apple, контролирующим разработку web-браузеров Chrome, IE/Edge и Safari, а также Oracle и Blackberry, в продуктах которых используются собственные списки доверительных сертификатов. После включения информации о корневом сертификате Let's Encrypt во все списки доверия, Let's Encrypt займёт место полноценного независимого удостоверяющего центра. Прогнозируется, что на создание и продвижение обособленного корневого сертификата может уйти от 3 до 6 лет.

До сих пор доверие к сертификатам Let's Encrypt обеспечивалось благодаря перекрёстному утверждению промежуточного сертификата Let's Encrypt сертификатом удостоверяющего центра IdenTrust, но сам корневой сертификат Let's Encrypt не входил в списки доверия. Включение корневого сертификата Let's Encrypt в списки доверия браузеров позволит избавиться от зависимости от стороннего удостоверяющего центра и снизить риски (например, в случае инцидента с безопасностью или закрытия компании, доверие к IdenTrust может быть прекращено).

исправить +28 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/44924-letsencrypt

Ключевые слова: letsencrypt, cert, crypt, ssl

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (15)

1.1, X2asd (ok), 08:57, 06/08/2016 [ответить] [﹢﹢﹢] [ · · · ]	–6 +/–
> До сих пор доверие к сертификатам Let's Encrypt обеспечивалось благодаря перекрёстному утверждению промежуточного сертификата Let's Encrypt сертификатом удостоверяющего центра IdenTrust, но сам корневой сертификат Let's Encrypt не входил в списки доверия Отличный бизнес! компании которые помогали появлению Letsencrypt -- теперь можно убрать с доски :-)

2.3, YetAnotherOnanym (ok), 11:25, 06/08/2016 [^] [^^] [^^^] [ответить]	+7 +/–
Их все можно было убрать с доски после первого же инцидента с компрометацией корневого сертификата у любого из них.

3.10, Аноним (-), 04:35, 07/08/2016 [^] [^^] [^^^] [ответить]	+3 +/–
В этом смысле удивляет живучесть Комоды. Боюсь себе представить, сколько анусов они вылизали, чтобы остаться в бизнесе после такого провала.

1.2, rm_ (ok), 10:12, 06/08/2016 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Всё норм, у WoSign так же с их бесплатными https://buy.wosign.com/free/ раньше они доверялись через StartCom, а в достаточно новых системах и браузерах добавили и их собственный корневой серт.

1.4, pavlikvk (?), 11:41, 06/08/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> доверие к IdenTrust может быть прекращено А есть доверие к удостоверяющему центру, который в принципе готов такие промежуточные сертификаты выпускать? Может их спецслужбы нагнут, либо кто-то отавилит деньжат они сделают дяде еще один такой сертификатик и будет дяде выпускать валидные сертификаты для google.com

2.5, Andrey Mitrofanov (?), 12:06, 06/08/2016 [^] [^^] [^^^] [ответить]

+1 +/–

>> доверие к IdenTrust может быть прекращено
> А есть доверие к удостоверяющему центру, который в принципе

Не, вот смотри:

"Кроме Mozilla, заявки на включение в хранилище корневых сертификатов также ранее были отправлены компаниям Google, Microsoft и Apple, [...] , а также Oracle и Blackberry."

-- кристальнейшие же "люди"!! Мы не можем сомневаться в этой Системе.

>Может их спецслужбы нагнут, либо кто-то отавилит деньжат они сделают дяде еще один такой

1.6, Аноним (-), 13:42, 06/08/2016 [ответить] [﹢﹢﹢] [ · · · ]	–4 +/–
теперь что бы получить сертификат на чужой домен - достаточно хакнуть его, получил себе сертификат и устраивай атаку man in the middle..

2.7, Max (??), 13:52, 06/08/2016 [^] [^^] [^^^] [ответить]	+15 +/–
Эм... Если сервак уже хакнут, нахрена париться с man in the middle?

3.8, анананоним (?), 14:36, 06/08/2016 [^] [^^] [^^^] [ответить]	+5 +/–
Ну как же. Чтобы избавиться от тараканов, надо поймать каждого и насыпать соли ему на хвост.

3.14, Анонимный Алкоголик (??), 19:08, 08/08/2016 [^] [^^] [^^^] [ответить]	+/–
> Эм... Если сервак уже хакнут, нахрена париться с man in the middle? Ну скажем для удовольствия иметь заверение своих левых сертификатов Удостоверяющим Центром. Которые центры удостоверяют, что сертификаты не есть левые, и которые центры сами и должны нести ответственность по этому поводу того что они удостоверяют. (примечание: крякнута может быть линия от сервера, не сам сервер).

2.9, Аноним (-), 04:13, 07/08/2016 [^] [^^] [^^^] [ответить]	+4 +/–
"теперь" :) а раньше, типа, приватные ключи не на сервере лежали

3.13, 1 (??), 15:10, 08/08/2016 [^] [^^] [^^^] [ответить]	+/–
сервер != домен

4.15, opss.. (?), 10:24, 11/08/2016 [^] [^^] [^^^] [ответить]	+/–
Кстати, отличный кейс, любопыно был ли у них на форуме, надо проверить что ли, а то и предложить запатчить и заапдейтить, введя например механизм блокировки через какую нибудь запись TXT в DNS :)

1.11, Кирилл72 (?), 06:21, 07/08/2016 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Отличная новость.

1.12, Аноним (-), 09:05, 08/08/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
отлично, теперь в очереди https://bugzilla.mozilla.org/show_bug.cgi?id=647959

Добавить комментарий

Текст: