The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Разработчики Mozilla отложили прекращение доверия к сертификатам Symantec

12.10.2018 09:25

Разработчики Mozilla отменили намеченное на Firefox 63 прекращение доверия к сертификатам удостоверяющего центра Symantec, и связанных с ним брендов GeoTrust, RapidSSL и Thawte. Прекращение доверия к сертификатам Symantec отложено из-за продолжения применения данных сертификатов на популярных сайтах. В частности около 1% из миллиона крупнейших сайтов до сих пор используют TLS-сертификаты, выданные в Symantec, несмотря на то, что компания DigiCert, выкупившая удостоверяющий центр у Symantec, предлагает бесплатную замену сертификатов.

По оценке Mozilla, связанный с продолжением использования сертификатов Symantec риск не перекрывает негативное влияние на пользователей в случае невозможности установить полноценное защищённое соединение с 10 тысячами популярных сайтов, продолжающих использовать сертификаты Symantec. В настоящее время рассматривается возможность введения блокировки сертификатов Symantec в Firefox 64, но окончательное решение будет зависеть от динамики замены остающихся в обиходе сертификатов.

Напомним, что Symantec в 2010 году за 1.28 млрд долларов приобрёл бизнес аутентификации у компании VeriSign и стал одним из крупнейших удостоверяющих центров (около 14% всех сертификатов в мире). Летом прошлого года Mozilla и Google приняли решение о прекращении доверия к сертификатам удостоверяющего центра Symantec в связи с проблемами в организации работы инфраструктуры, нарушениями при подготовке отчётности и злоупотреблениями, которые привели к выдаче сертификатов уровня EV (Extended Validation) без требуемых проверок.



  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
  2. OpenNews: Релиз Firefox 62
  3. OpenNews: 23 тысячи SSL-сертификатов будут отозваны из-за инцидента в Trustico
  4. OpenNews: В Firefox 58 будет прекращено доверие ко всем сертификатам WoSign и StartCom
  5. OpenNews: Symantec продаёт удостоверяющий центр компании DigiCert
  6. OpenNews: В Chrome и Firefox будет прекращено доверие к удостоверяющему центру Symantec
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: symantec, mozilla, firtfox, tls
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (56) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:50, 12/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +20 +/
    Symantec успел вовремя произвести оплату...
     
  • 1.2, Аноним (2), 10:07, 12/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Да нет просто мозилла начинает использовать дешевый популизм.
     
     
  • 2.34, Fyj (?), 18:59, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Скорее начинает использовать мозги. Щас хром заблочит эти сертификаты, а фф нет... Да и юзверям лучше чтоб работало как есть вместо не работало совсем.
    Хотя, что мешает выводить предупреждение и все.
     
  • 2.39, Kuromi (ok), 03:35, 13/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Просто они с таким оттоком клиентов не могут вот так чохом включить блокировку. ну что сделает условный пользователь столкнувшийся с тем что в ФФ сайт Х не открывается? Тупо пойдет на Хром. Рискованно-с. Нет, Мозилле приходится синхронизировать такие действия с Хромом.
     
     
  • 3.54, Аноним (2), 19:23, 16/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Так хром ведь тоже блочит. Просто мозилла хочет отхватить пользователей Хрома.
     
     
  • 4.56, Kuromi (ok), 17:42, 17/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Так хром ведь тоже блочит. Просто мозилла хочет отхватить пользователей Хрома.

    Возможно, отчасти, но скорее - это классическое "движение в тени фуры" или как это там называют еще, когда легковой автомобиль пристаривается за фурой чтобы ехать в режиме пониженного сопротивления воздуха. В результате Мозилла имеет что - Гугл пробивает дорогу вперед, "по хардкору" объясняет пользователям и админам серверов с устаревшими сертификатами что это "фууу". Пользователит говорят "гуглу виднее", админы со вздохом наконец меняют сертификаты, а тут вот и подьезжает Мозилла, как раз к концу битвы.
    Удобно, может кто пересядет и  шишек никаких.

     
  • 2.42, Аноним (42), 11:34, 13/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Скоро новостям Мозиллы "скоро мы прекратим поддержку X" никто не будет верить. Шлюхи, сэр.
     

  • 1.3, ОнАнон (?), 10:40, 12/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Ну и какой толк был объявлять, что перестанут принимать их сертификаты, если по факту не отважились.
     
     
  • 2.32, Аноним (32), 17:54, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Чукча не читатель?
     
  • 2.46, Константавр (ok), 12:18, 13/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Обратить внимание владельцев и работников этих интернет-ресурсов? Мол, внимание, скоро ваш сайт может перестать работать, начинайте шевелить булками. Но им, конечно, пофигу. Вообще всем всё пофигу. Никому не нужна ни настоящая ни даже мнимая безопасность и надёжность.
     

  • 1.4, Аноним (4), 10:47, 12/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +17 +/
    Цирк какой-то, а не безопасность.
     
     
  • 2.30, Аноним (30), 17:19, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Так ведь https для цирка и был сделан, пыль в глаза пустить. Ну да, от какеров на шлюзе оно спасает. Чаще всего.
     

  • 1.5, Аноним (5), 11:04, 12/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А с хромом что? Вроде планировали вместе в октябре.
     
     
  • 2.6, Анонимос (?), 11:11, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В Canary уже давно блочат
     
     
  • 3.24, Аноним (5), 15:42, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это понятно, но абсолютно не важно, как и то, что в найтли блочат и в релизной лисе есть преф опт-ина. Со стабильным хромом что?
     

  • 1.7, Тот_Самый_Анонимус (?), 11:26, 12/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Забавно. Производители браузера решают каким центрам доверять, а каким нет. И ведь кто-то верит их выбору, и тому что они пекутся о чьей-то приватности.
    БУГАГА!!!
     
     
  • 2.11, мразилла (?), 13:28, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    да кого интересует, веришь ты или нет? Куда ты с подводной-то лодки денешься?

     
     
  • 3.53, Тот_Самый_Анонимус (?), 05:35, 15/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я не рекламирую «приватные и защищённые браузеры», в отличие от.
     
  • 2.22, Аноним (22), 15:28, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Можешь собрать свой браузер со своими сертификатами. Или использовать какой-нибудь Спутник и работать через СОРМ-VPN
     
     
  • 3.35, Аноним (35), 23:24, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В FF можно настроить центр доверенных сертификатов вручную. Расслабтесь.
     

  • 1.8, Zenitur (ok), 12:31, 12/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > Прекращение доверия к сертификатам Symantec отложено из-за продолжения применения данных сертификатаов на популярных сайтах.

    Идеально! "Внедрение ПЛАТОН-а отложено из-за того, что ни один крупный перевозчик не приобрёл оборудование, и не оплатил ни одного стомиллионного штрафа за это", "Вступление в силу закона о защите персональных данных отложено из-за того, что ни гугл ни фейсбук не создали ни одного сервера авторизации в России", "Вступление в силу пакета Яровой отложено, потому что ни один провайдер не озаботился приобрести оборудование", "Внедрение онлайн-касс отложено из-за того, что ни один крупный и мелкий магазин не приобрёл ни одной онлайн кассы"

     
     
  • 2.10, Аноним (10), 13:12, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ещё один догадываться начал.
     
  • 2.15, Аноним (15), 13:46, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >"Вступление в силу пакета Яровой отложено, потому что ни один провайдер не озаботился приобрести >оборудование"

    Это что правда?

     
     
  • 3.20, Урри (?), 15:22, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Анонимы тупеют и тупеют.

    Нет, это неправда. Это был сарказм. С целью подчеркнуть трагичность (ну или комизм - смотря с какой стороны занавеса ты сидишь) ситуации.

     
     
  • 4.38, Онаним (?), 01:28, 13/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Но очень хотелось бы чтобы было правдой.
     
  • 3.23, Аноним (-), 15:41, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Почти, формулировка не та. Пакет формально вступил силу, но сертифицированного оборудования для его исполнения не существует в природе. Так что все дружно пожали плечами и ничего не делают.
    https://lenta.ru/news/2018/07/03/illegal/
    https://t.me/usher2/433
    И ещё:
    https://www.rbc.ru/technology_and_media/31/07/2018/5b5f22609a7947e1f4470779
    https://www.vedomosti.ru/technology/articles/2018/08/07/777556-razgromilo
     
     
  • 4.28, AnonPlus (?), 15:53, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Стоит ещё добавить, что использовать несертифицированное закон прямо запрещает.
     
     
  • 5.29, Zenitur (ok), 17:06, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Всё ясно: сначала "протолкнули" закон о хранении всех данных, а потом решили чтобы всё оборудование для этого покупалось только у 1 поставщика. Чтобы он - этот самый поставщик - разбогател. Ну а что, с онлайн-кассами же "прокатило"? (там фискальный накопитель "навесили" уже после). Ну а тут "не прокатило", так как поставщик не справился с поставками
     
  • 2.45, Fyjybv4 (?), 12:15, 13/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Было бы неплохо. А пока имеем только:
    переход на СПО в госорганах отложен/отложен/отменен из-за того....
     

  • 1.9, Аноним (9), 12:51, 12/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Мазилка год назад:
    - Нам плевать на наших пользователей и их многолетний труд переезжаем на сервопарашу. Кому не нравится - чемодан, вокзал, PaleMoon.
    Она же, год спустя:
    - Ой, 1% сайтов не переехал со скомпрометированного провайдера сертификатов? Ну, пусть еще побудет валидным. Все ради удобства пользователей же, ну.

    Заботушки вы наши! Земной вам поклон за внимание к пользователям и адекватность. И последовательность, да.

     
     
  • 2.13, мразилла (?), 13:32, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Ой, 1% сайтов не переехал

    это вам не 1% ваших никому не нужных хомячков. Это каждые 10 из top1000. И вот тут уже - да, "можно, тогда тебя, заяц, вычеркиваю!"
    Но вы внедряйте, внедряйте везде и всюду свои aнaльные летсшиткриптовые псевдосекьюрные сертификаты, онижбесплатно! И переход только на них рано или поздно все же произойдет.

     
     
  • 3.36, Аноним (36), 00:23, 13/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > летсшиткриптовые псевдосекьюрные сертификаты

    С этого момента поподробней..
    Почему симантек секурные, а летсинкрипт псевдосекурные?

     
     
  • 4.48, Аноним (48), 12:43, 13/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что хакер Вася не сможет купить их анонимно для домена хакнутого сервера?
     

  • 1.12, Аноним (12), 13:31, 12/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я думаю, что ответ на вопрос - почему Мозилла решила всё переиграть - довольно прост. Мозилла за последний год-два наделала колоссальное количество ошибок и потеряла большое количество пользователей. Тонны юзеров ушли на Хром /Хромиум или форки по типу Палемун и прочие независимые. Взять хотя бы историю со сворачиванием 52.9 еср, сворачиванием легаси аддонов и тп. Я тоже ушёл на Палемун и уже без разницы чем там Мозилла попытается отличиться от аналогов.
     
     
  • 2.26, Аноним (5), 15:49, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > и потеряла большое количество пользователей. Тонны юзеров ушли на Хром /Хромиум или форки по типу Палемун и прочие независимые.

    Пруфы будут?
    > Взять хотя бы историю со сворачиванием 52.9 еср, сворачиванием легаси аддонов и тп.

    И что с этой историей не так? Кому нужны были легаси аддоны, кроме кучки пердоликов? Вас даже не видно было, т.к. телеметрию отключаете.

     
     
  • 3.31, dimqua (ok), 17:36, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Кому нужны были легаси аддоны, кроме кучки пердоликов?

    Косвенно это подтверждает то, что топ-лист наиболее популярных дополнений почти и не изменился со времён 56 версии.

     
  • 3.33, Аноним (12), 18:54, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Пруфы будут?

    Доля Файрфокса с 10% (два года назад) упала до 6% (June 2017), а после сентября 2018-го - до 5%. Актуальные данные на текущий момент - http://gs.statcounter.com/

    Учитывая темпы миграции пользователей на другие браузеры, прогнозы достаточно негативные. И это объективная информация, а не просто субъективное мнение. Увы. Раньше это был и мой любимый браузер, но времена меняются. Уже не имеет никакого смысла использовать лису, т.к. большинство остальных браузеров банально работают _быстрее_. А последние фэйлы Мозиллы в духе телеметрии на отлючённую телеметрию просто на корню рубят всю веру в адекватность команды разработчиков. Без обид, но это какое-то безумие.

     
     
  • 4.49, Аноним (49), 18:27, 13/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Но это не значит, что юзеры ушли с лисы Ты понимаешь, что такое доля Если доба... текст свёрнут, показать
     
     
  • 5.50, Аноним (50), 10:48, 14/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Это субъективное мнение, искажённое твоим мнением.

    закусывай, когда выпиваешь...

     

  • 1.14, Аноним (-), 13:45, 12/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Прекращение доверия к сертификатам Symantec отложено из-за продолжения применения данных сертификатов на популярных сайтах.

    обычно на таких сайтах одмены шевелятся только когда начинают сыпаться сообщения от клиентов о проблемах с работоспособностью. Если продолжать поддерживать сертификаты - они и позже ничего не поменяют, ну

     
  • 1.16, Аноним (-), 13:48, 12/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    напомните, можно ли выкинуть эти сертификаты руками? Вроде бы была строчка в about:config специально для проштрафившихся
     
     
  • 2.17, GG (ok), 14:11, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да
     
  • 2.27, Аноним (5), 15:51, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > в текущей версии (62) в about:config добавлена опция "security.pki.distrust_ca_policy", которая может быть установлена в значение 2 для досрочного блокирования сертификатов Symantec;
     

  • 1.18, AS (??), 14:15, 12/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ой да какой у них % юзверей-то ? вайдосят ещё, Хромым задавленные..
     
  • 1.19, Аноним (-), 14:49, 12/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А кто-нибудь может объянить, зачем при невалидных сертификатах или при отсутствии удостоверяющего центра в списке доверенных браузеры не пускают на сайт и выводят предупреждающую плашку, вместо того чтобы просто приравнивать такие соединения как небезопасные наравне с http? А потом получаются ситуации вроде этой, когда приходится выбирать из двух зол.
     
     
  • 2.21, AS (??), 15:26, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Mozilla писала как-то так: "возможно, но маловероятно, что кто-то следит за вами.." давая занести сертификат себе кудато..

    я тоже считаю, что любой_тупой_студент_с_Wireshark ом прицепившись как-либо к каналу куда более возможен, чем полноценный MITM. от студентов и спасаюсь, а у того, кто MITM запросто могёт, на меня, хомяка, и мизинца хватит..

     
     
  • 3.43, Аноним (42), 11:45, 13/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Странная логика, от MITM нельзя спастись, но о нем можно узнать. Собственно, сертификаты как раз для этого.
     
     
  • 4.44, AS (??), 12:07, 13/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    так и я про то-же, просто ещё добавил, что не вхожу в круг лиц, ради которых будут пытаться митмить - куда дешевле с применением более дешевой Грубой силы в багажник и в лесок на допрос.. так что Стеганография наше всё !!
     
  • 2.25, пох (?), 15:46, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    я могу: по той же причине, по которой вместо нормального диалогового окна, как это и происходило еще лет десять тому назад, выводится поддельная страница с совершенно непонятными простому юзверю словами и совсем никому непонятными заклинаниями внутренних идентификаторов ошибок openssl/nss (хз что это из двух) вместо нормального текста.

    И без кнопки "да, отвяжись, продолжить". Которая появляется только при ручных настройках или после тыка в специально сделанную белой на белом фоне кнопку "advanced", которую большинство юзеров не увидит никогда.

    Впрочем, иногда и при них ничего не появляется, кроме новых непонятных никому на свете бредовых заклинаний - если нарвался на pkp, объявленную недостойной версию ssl или еще что взбредет в голову мурзиле или гуглю (или даже ms, специально нарисовавшую вместо кнопки ссылку без подчеркивания).

    А иногда ломается сайт - если сам он с точки зрения мурзилы "правильный", но пытается подгружать css/скрипт с "неправильных" - поскольку мы разучились выводить нормальные модальные диалоги, страница уже занята как попало без css/js отрисованным содержимым сайта, то ни показать, ни хоть пёpнyть ни с какой дырочки уже невозможно - нету свободных, поэтому ты вообще никак не можешь увидеть, что пошло не так и в каком месте, если не используешь средств отладки.

     

  • 1.37, Онаним (?), 01:27, 13/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Нахрена вообще нужны все эти Симантеки когда есть Let's Encrypt? Кому не пофиг extended там  validation или не extended? Главное чтобы корневые сертификаты не раздавали которыми можно чужие сайтв подписывать.
     
     
  • 2.40, Аноним (40), 07:11, 13/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    extended не просто расширенный, а концепция доверия на 57 страниц и правила игры в доверие надо соблюдать, иначе разуверятся, а это нехорошо, это подставит вёб, фриланс-фишинг-дезинформ не должен перетягивать одеяло на себя.
     
     
  • 3.47, AS (??), 12:22, 13/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    именно 'игра в доверие' ! и ещё маркетологичский способ бабла содрать с кого возможно !
     
  • 2.51, Аноним (51), 11:14, 14/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Так заставь ресурсы обновлять использующие сертификаты Let's Encrypt, понатыкали так как бесплатно и не обновляют потом
     
  • 2.52, Business Edition (?), 04:08, 15/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    extended тоже уже выпиливают с браузеров
     

  • 1.41, анон (?), 07:40, 13/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    "сертификатов symantec"
    звучит как будто они корневой отозвали
    на деле отозвали промежуточный,подписанный корневым, который легко может быть заменён.
    Недавно прошли через процедуру обновления, всё штатно.

    Или всё не так и утекли корневые ключи, а проблема скрывается?

     
  • 1.55, Аноним (55), 11:33, 17/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    good!
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру