| 1.1, eRIC (ok), 13:37, 14/03/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Читал недавно на HN, хочу подчеркнуть что проблема не в EJBCA, а в неправильной настройки и эксплуатации данного продукта:
EJBCA can be configured to generate certificate serial numbers (positive integers) from 32 to 160 bits.
| | |
| |
| 2.29, Moomintroll (ok), 20:32, 14/03/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > хочу подчеркнуть что проблема не в EJBCA
Точно? А это о чём?
> Использование 63 бит вместо 64 обусловлено тем, что при генерации серийного номера пакетом EJBCA не было учтено приведение значения к положительному целому числу. | | |
| |
| 3.32, eRIC (ok), 22:00, 14/03/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>> Использование 63 бит вместо 64 обусловлено тем, что при генерации серийного номера пакетом EJBCA не было учтено приведение значения к положительному целому числу.
ну и дальше по тексту читайте, что вы кусок из контекста вырываете:
Чтобы избежать появления отрицательных значений и для соответствия требованиям спецификации в формируемом числе принудительно очищается старший бит, что должно учитываться при настройке пакета EJBCA, который поддерживает генерацию серийных номеров в диапазоне от 32 до 160 бит. Получение 64-битового значения без учёта описанной особенности (фактическое поведение при настройках по умолчанию отличается от ожидаемого) привело к тому, что значение одного бита оказалось изначально известным
| | |
| |
| 4.42, Moomintroll (ok), 11:47, 15/03/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> принудительно очищается старший бит, что должно учитываться при настройке пакета EJBCA
Т.е. по Вашему, это нормально, что "принудительно очищается старший бит" при "приведении значения к положительному целому числу" и потому надо указывать в настройках 65 бит, вместо 64? Ну возможно... Но тогда эта "особенность" должна быть указана в документации.
"Документированный баг — это фича" ©
| | |
|
|
|
| 1.2, A.Stahl (ok), 13:48, 14/03/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +20 +/– |
 Но как же так? Ябблы всякие и прочие Google ведь деньги берут, там работают супер-пупер спецы. Это не какой-то там хипстерский Let'sEncrypt. Как так?
А вот так.
| | |
| |
| 2.3, Аноним (3), 14:01, 14/03/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
"When Ballot 164 was passed, we confirmed that the CA Software was already configured for 64-bit serial numbers, but did not realize the serial number generation algorithm resulted in 63 bits of entropy.
In addition to the CA Software, a validator (similar to linting tools) checks each issued certificate for compliance with SSL Baseline Requirements. Alerts were generated that the serial numbers were insufficient, however; because the checks were performed against individual certificates and not collections of certificates, the alerts were mistakenly determined to be incorrect and were suppressed."
| | |
| |
| 3.6, Аноним (6), 14:55, 14/03/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
«Мы увидели ошибку, но, такие, да наверняка же фигня, и выключили её, ибо нефиг, да и деньги от АНБ то не лишние».
| | |
|
| 2.7, mickvav (?), 15:03, 14/03/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
Ну так они берут деньги как раз за то, что в случае подобной фигни у них есть, кому связаться с владельцем проблемного сертификата.
| | |
| |
| 3.22, Аноним (22), 19:28, 14/03/2019 [^] [^^] [^^^] [ответить]
| +/– | |
Обычно сертификаты от таких компаний берутся на пару лет чтобы поставить руками и на долго забыть про настройки. Связаться можно но не факт что пользователь будет быстро все менять. Не раз бывали новости что какая-то крупная компания вовремя не обновляла истекший сертификат. А тут уже не просто конкретную дату истечения помнить а следить за тем не отозван ли сертификат.
С LE сертификат через пару месяцев истечет и тут можно даже ничего не отзывать при подобных проблемах так как за такое время найти коллизию скорее всего просто не успеют. И тут обычно у всех будет настроено автоматическое обновление сертификатов.
| | |
|
| 2.9, пох (?), 15:17, 14/03/2019 [^] [^^] [^^^] [ответить]
| –8 +/– | |
а вот так, да - приходят владельцы хипстерского лентсшиткрипт - и объявляют их сертификаты превращенными в тыкву.
что расшифровать зашифрованное тем сертификатом не владея ресурсами АНБ у тебя не получится (а анб не нужно) - их не колебет, их задача - старательно уничтожать любые бизнесы, кроме своего.
| | |
| |
| 3.15, Аноним (15), 16:05, 14/03/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
АНБ всё делает правильно. ;-) Их "бизнес" живёт за счёт налогов тех, кого они душат.
| | |
|
| 2.39, Gannet (ok), 05:37, 15/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
 Вот тебе как раз яркий пример того, что Let's Encrypt как раз не хипстерский, а очень даже нормуль.
| | |
|
| 1.4, Аноним (4), 14:02, 14/03/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Наибольшее число проблемных сертификатов было создано компанией Apple - около 878 тысяч TLS-сертификатов
А куда они столько выдали? Вроде не побличный ЦА типа тавте и не хостер типа амазона/клаудфларе. На каждый свой ай-телефон? Если да, то отозвать сертификаты во всех телефонах за неделю.. ? (ну и да, оно так важно, что ахтунг, за неделю!! а не "не торопясь", за пол года?)
| | |
| |
| |
| 3.14, Аноним (4), 16:03, 14/03/2019 [^] [^^] [^^^] [ответить]
| +/– | |
Ну тогда наверное не реселеры, реселеры своего ЦА не имели бы.. ну в общем вопрос терминологии.
Они конечным пользователям продают (перепродают) сертификаты или всетаки своим устройствам и своей инфраструктуре навыдавали?
| | |
|
| 2.10, пох (?), 15:18, 14/03/2019 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> ну и да, оно так важно, что ахтунг, за неделю!!
гуглю очень важно чтоб именно так, да.
| | |
|
| 1.12, бублички (?), 15:34, 14/03/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
определённо клиентам этих компаний стоит нанять хороших адвокатов - неплохая возможность настричь бабла. гарантия безопасности сертификатов (compromise warranty) к примеру у того-же GoDaddy - от $100,000 до $1,000,000
| | |
| |
| 2.13, пох (?), 15:47, 14/03/2019 [^] [^^] [^^^] [ответить]
| –4 +/– | |
для этого сначала надо подделать сертификат - приступайте, приступайте.
| | |
| |
| |
| 4.19, пох (?), 18:20, 14/03/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> адвокаты в любом случае настригут.
с нанимателя уж точно ;-)
| | |
|
|
|
| 1.20, YetAnotherOnanym (ok), 18:23, 14/03/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 То есть, необходимое время подбора сократилось со 100500 миллиардов лет до 9000 миллиардов лет работы всех компьютеров Земли?
| | |
| |
| 2.24, пох (?), 19:46, 14/03/2019 [^] [^^] [^^^] [ответить]
| +/– | |
вы таки не понимаете - нашли "страшную и опасную уязвимость", позволяющую еще на шажок пропихнуть летсшиткрипт - гугель для этого даже пожертвовал собственными сертификатами (один хрен генеримыми и выдаваемыми автоматом)
| | |
|
| 1.23, Ivan_83 (ok), 19:38, 14/03/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Фигня какая то.
Ну выдали, ну меньше там немножко энтропии, но отзывать то зачем!?
Они и сами успеют просрочится раньше чем это станет проблемой.
| | |
| |
| 2.25, пох (?), 19:48, 14/03/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
вот именно поэтому и надо отозвать - чтобы это таки стало проблемой для пользователей "неправильных" CA.
"а не будут отзывать - отключим" (c)гугель
| | |
| 2.27, Аноним (27), 20:07, 14/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
так модно щас. тут пацаны писали что ИТ динамически развивается и все такое... короче придумают гемор на ровном месте, лишь бы люди меньше времени жили реалом/отдыхали.
| | |
| 2.33, Annual (?), 22:16, 14/03/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Фигня какая то.
> Ну выдали, ну меньше там немножко энтропии, но отзывать то зачем!?
> Они и сами успеют просрочится раньше чем это станет проблемой.
Действительно фигня.
Serial Number: Used to uniquely identify the certificate within a CA's systems.
При чём здесь вообще "надёжность"??
Он по ходу вообще должен бы последовательно меняться. Номер сертификата. Чтобы его идентифицировать по номеру. Дeбилы решили задействовать rnd? Ну тогда и правда возникает риск коллизий... Но опять-таки проблема решается пересмотром базы сертификатов и выявлением совпадений, если есть...
| | |
| 2.38, Парень что надо (?), 01:43, 15/03/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> ну меньше там немножко энтропии, но отзывать то зачем!?
Ну как зачем - впихнуть новые дыры. А заодно отсеять тех, кто не заплатил.
Неужели вы и правда подумали, что ИХ беспокоит ВАША безопасность?
| | |
|
| 1.26, Аноним (26), 19:57, 14/03/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
Задолбали со своими сертификатами, куда не глянь, везде напихали свое бесполезное шифрование, еще и заставляют активно переходить на него
| | |
| |
| 2.28, Аноним (27), 20:17, 14/03/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
ну да, толку-то от него. шифрование все прикрутили, а сотни миллионов учеток каждый год утекают из-за дырявях сервисов. админы этих сервисов наверное думали, что шифрование защищает от взломов :D
| | |
| |
| 3.40, пох (?), 07:23, 15/03/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> аноним, выступающий против шифрования? Серьезно?
человек, на открытом форуме на сайте размещенном в подконтрольном товарищмайору ящике, после того как предъявил свой паспорт провайдеру для оформления подключения, что-то там топит за "шифрование"? Серьезней некуда, это, скорее всего, неизлечимо.
| | |
|
| 2.37, Нононо (?), 01:41, 15/03/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
А самое главное - железо-то всё дырявое в закладках майора,
думают они о безопасности пользователей, ага, верю.
| | |
|
| 1.35, Аноним (35), 23:09, 14/03/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– | |
>разница около 9 квинтиллионов
Не школо 9 квинтиллионов, а ровно вдвое. То есть несущественная.
| | |
| |
| 2.46, xapienz (ok), 12:40, 16/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
 Между 18 квинтиллионами и 9 квинтиллионами разница 9 квинтиллионов :)
| | |
|
|
