The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

29.07.2017 09:19  В Chrome и Firefox будет прекращено доверие к удостоверяющему центру Symantec

Компания Google приняла решение прекратить доверие к сертификатам удостоверяющего центра Symantec в браузерах Chrome и Chromium в связи с проблемами в организации работы инфраструктуры, нарушениями при подготовке отчётности и злоупотреблениями, которые привели к выдаче сертификатов уровня EV (Extended Validation) без требуемых проверок. В настоящее время Mozilla также рассматривает вопрос утраты доверия к Symantec, но решение ещё не принято.

Напомним, что Symantec в 2010 году за 1.28 млрд долларов приобрёл бизнес аутентификации у компании VeriSign и стал одним из крупнейших удостоверяющих центров (около 14% всех сертификатов в мире). Для того, чтобы сгладить последствия прекращения доверия к сертификатам Symantec и предоставить пользователям время обновить свои сертификаты, разработчики Chrome пошли на компромисс и согласились провести процесс поэтапно, дав Symantec возможность перестроить свои организационные процессы, устранить проблемы в инфраструктуре и перейти на новые корневые сертификаты.

Первый этап прекращения доверия запланирован на выпуск Chrome 66, релиз которого ожидается 17 апреля 2018 года. На первом этапе будет утрачено доверие к сертификатам Symantec, выписанным до 1 июня 2016 года. Следует отметить, что в Mozilla обсуждается предложение по применению первого этапа блокировки, начиная с 1 декабря 2017 года, т.е. на четыре месяца раньше, но, скорее всего, окончательно будет утверждена дата близкая к апрелю 2018 года. Google также рассматривал возможность блокировки в октябрьском и декабрьском выпусках Chrome 62 и 63, но отложил блокировку до Chrome 66, приняв во внимание пожелания отрасли.

Полное прекращение поддержки сертификатов Symantec ожидается в Chrome 70 (запланирован на 23 октября 2018 года). Mozilla планирует полностью прекратить доверие к сертификатам Symantec в Firefox 63 (16 октября 2018) или 64 (27 ноября 2018). Для избежания проблем, сайтам, имеющим сертификаты Symantec, рекомендуется не затягивать с обновлением сертификата. Утрата доверия также затронет сертификаты удостоверяющих центров GeoTrust, Thawte и RapidSSL, которые были связаны цепочкой доверия с корневым сертификатом Symantec.

Что касается компании Symantec, то она чтобы сохранить бизнес на плаву и продолжить выдачу сертификатов под своим именем, согласилась с 1 декабря 2017 года ввести в строй новый процесс выдачи сертификатов, при котором компания не будет иметь своего корневого сертификата и будет выступать агентом другого удостоверяющего центра, выполняя роль SubCA (Subordinate Certificate Authority), работающего под внешним контролем (Managed CA). Сертификаты Symantec, выданные после 1 декабря 2017 года, не будут подпадать под блокировку и продолжат работу в Chrome 70.

В дальнейшем Symantec сможет параллельно провести полную реструктуризацию своей инфраструктуры, устранив слабые места в текущей цепочке взаимодействия с подчинёнными организациями и партнёрами, которым делегированы права выдачи сертификатов. Symantec также не исключает возможность продажи подразделения, занимающегося выдачей сертификатов.

  1. Главная ссылка к новости (https://groups.google.com/foru...)
  2. OpenNews: Google предупредил о скором прекращении доверия ко всем сертификатам WoSign и StartCom
  3. OpenNews: Уязвимость в удостоверяющем центре Comodo позволила получить сертификат для чужого домена
  4. OpenNews: Mozilla перестаёт доверять новым сертификатам WoSign и StartCom
  5. OpenNews: Поставлена под сомнение валидность 30 тысяч HTTPS-сертификатов удостоверяющего центра Symantec
  6. OpenNews: Уязвимость удостоверяющего центра StartSSL позволяла получить сертификат для чужого домена
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: cert, chrome, firefox, symantec
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Анонис, 09:26, 29/07/2017 [ответить] [смотреть все]
  • –2 +/
    У гугла какие-то двойные стандарты
     
     
  • 2.2, A.Stahl, 09:36, 29/07/2017 [^] [ответить] [смотреть все] [показать ветку]
  • –1 +/
    С чего бы это У Симантека есть миллиард Может и несколько, а у меня нихрена не... весь текст скрыт [показать] [показать ветку]
     
  • 2.3, Neandertalets, 09:37, 29/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Бизнес, ничего личного (С)
     
     
  • 3.24, Аноним, 15:59, 29/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Бизнес, которым ты занимаешься и методы, которыми в нем пользуются - это очень д... весь текст скрыт [показать]
     
     
  • 4.25, Neandertalets, 16:10, 29/07/2017 [^] [ответить] [смотреть все]  
  • +/
    К себе самому - да К другим - ничего личного ... весь текст скрыт [показать]
     
     
  • 5.27, Аноним, 16:38, 29/07/2017 [^] [ответить] [смотреть все]  
  • +/
    С такой формулировкой согласен.
     
  • 2.7, qq, 11:05, 29/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    То есть сейчас, им сказали, что они не правильно работаеют, через год у них отбе... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.13, Crazy Alex, 12:56, 29/07/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    В том, что разом поломать 14 всех мировых сертификатов а это сотни миллионов ... весь текст скрыт [показать]
     
     
  • 4.44, Аноним, 09:32, 01/08/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    За это гугл могут запросто антимонопольно поделить на части :)
     
  • 2.23, Аноним, 15:56, 29/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Стандарт всегда один и определяется он ответной реакцией, которую можно получить... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, Аноним, 10:05, 29/07/2017 [ответить] [смотреть все]  
  • –11 +/
    Небось отказались выпускать левые серты для местного министерства любви и попали... весь текст скрыт [показать]
     
     
  • 2.5, Аноним, 10:11, 29/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +14 +/
    Как раз-таки их прижимают за возможность выдачи левых сертификатов без проверок.
     
     
  • 3.37, Аноним, 10:14, 30/07/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Это ж в какой стране за такие Патриотические Акты дозволено кого-то зажимать Че... весь текст скрыт [показать]
     
  • 2.6, Аноним, 10:12, 29/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Никаких левых Для министерства любви Symantec выпускает только настоящие сертиф... весь текст скрыт [показать] [показать ветку]
     
  • 1.8, бедный буратино, 11:07, 29/07/2017 [ответить] [смотреть все]  
  • –1 +/
    а Петя Нортон ещё жив?
     
     
  • 2.9, A.Stahl, 11:12, 29/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    Ты так говоришь, как будто он в первую мировую австралийцам орудия на кораблях настраивал. Он не очень-то и старый.
     
     
  • 3.19, Аноним, 14:49, 29/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Австрийцам?
     
     
  • 4.20, Аноним, 14:56, 29/07/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Австралийцы победили в первой мировой. Учите историю!
     
  • 1.10, Аноним, 11:46, 29/07/2017 [ответить] [смотреть все]  
  • +4 +/
    Все, к чему прикасается симантек, превращается в В общем, такой Мидас наоборо... весь текст скрыт [показать]
     
     
  • 2.12, A.Stahl, 12:30, 29/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Превращает куски металла, интересного лишь химикам, электронщикам и бабам, в шир... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.26, Аноним, 16:17, 29/07/2017 [^] [ответить] [смотреть все]  
  • +/
    В полезное удобрение.
     
  • 3.39, элвис жив, 03:47, 31/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Любит народ широчайший ассортимент полезных изделий.
     
  • 1.11, mimocrocodile, 12:03, 29/07/2017 [ответить] [смотреть все]  
  • –3 +/
    В конце останется только один^W два: комода и летсэнкрипт
     
     
  • 2.34, пох, 22:49, 29/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    один, зачем там комода.
    А Честный Ахмед так и сидит без CA.

     
  • 1.14, Аноним, 13:03, 29/07/2017 [ответить] [смотреть все]  
  • +3 +/
    комоду тоже скоро прижмут - у них не такая большая доля рынка CA-crt и тут, вни... весь текст скрыт [показать]
     
     
  • 2.15, A.Stahl, 13:32, 29/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Разработчики Lynx: Подайте на пропитание скромным владыкам мира...
     
     
  • 3.17, Аноним, 14:12, 29/07/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Это не владыки мира, это такие партизаны с кремниевым мушкетом.
     
     
  • 4.21, A.Stahl, 14:58, 29/07/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Ну это кремневым Это микросхемы кремниевые кремний это элемент такой , а... весь текст скрыт [показать]
     
     
  • 5.41, Аноним, 13:36, 31/07/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Он игру слов заюзал же.
     
  • 1.16, Аноним, 14:06, 29/07/2017 [ответить] [смотреть все]  
  • +1 +/
    с одной стороны - оно хорошо, что кто то обращает внимание на злоупотребления С... весь текст скрыт [показать]
     
     
  • 2.18, A.Stahl, 14:36, 29/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Это шикарный бизнес-план -- быковать на огромные компании, а когда они начнут во... весь текст скрыт [показать] [показать ветку]
     
  • 1.22, бедный буратино, 15:23, 29/07/2017 [ответить] [смотреть все]  
  • –2 +/
    в моих осях сертификаты определяют дистростроители
     
     
  • 2.29, Ivan_83, 18:19, 29/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну давай, расскажи нам про пакет ca_root_nss где nss это либа мазиллы.
     
     
  • 3.30, бедный буратино, 18:38, 29/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    у неё уже закрыли код ... весь текст скрыт [показать]
     
     
  • 4.31, Аноним, 19:05, 29/07/2017 [^] [ответить] [смотреть все]  
  • +/
    А ты уже много софта переписал? Или тебя весь софт устраивает?
     
  • 4.35, Ivan_83, 02:11, 30/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Это я к тому, что набор сертификатов в твоей ОС определяет мазилла и те кто за ними стоит.
     
  • 1.28, Ivan_83, 18:18, 29/07/2017 [ответить] [смотреть все]  
  • –2 +/
    Очередная PR компания в стиле: смотри какие мы правильные, даже своих гигантов гнобим защищая ваши секреты.
    По факту и симантек продолжит жить, а кто с симатнтека будет свалить наверняка побежит опять же в ихний летсенкрипт, который явно сговорчивее...
     
     
  • 2.36, qsdg, 02:37, 30/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да не, просто симантек спалил свой корневой сертификат. Удивительно почему раньше не отобрали, ведь уже скомпрометировано всё.
     
  • 1.33, Аноним, 22:37, 29/07/2017 [ответить] [смотреть все]  
  • –1 +/
    где пруфы, зин где примеры поддельных сертификатов примеры ev сертов с левыми ... весь текст скрыт [показать]
     
  • 1.40, Аноним, 08:24, 31/07/2017 [ответить] [смотреть все]  
  • +1 +/
    А потом LetsEncrypt сделает свои сертификаты платными и админы с настроенными HS... весь текст скрыт [показать]
     
  • 1.42, Аноним, 09:27, 01/08/2017 [ответить] [смотреть все]  
  • +/
    lego.com как они могли??? Нелюди.
     
  • 1.43, Аноним, 09:29, 01/08/2017 [ответить] [смотреть все]  
  • –1 +/
    Ответный шаг, symantec в своих антивирусах блокирует напрочь рекламные площадки ... весь текст скрыт [показать]
     
  • 1.45, ALex_hha, 12:15, 31/08/2017 [ответить] [смотреть все]  
  • –1 +/
    > Ответный шаг, symantec в своих антивирусах блокирует напрочь рекламные площадки гугла и
    > аналитику в целях защиты пользователей от слежения и показа им рекламы
    > :)

    напугал ежа голой жопой. Их антивирусом пользуется 3 колеки, так что не вилики потери

     
     
  • 2.46, Andrey Mitrofanov, 12:27, 31/08/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    >>symantec в своих антивирусах блокирует
    > напугал ежа голой жопой. Их антивирусом пользуется 3 колеки, так что не
    > вилики потери

    Не! Толпа скандирует: "Роскомнадзор! Фаталити!!" Надо [I]больше[/I] блокировок[I]!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor