Разработчики Mozilla отменили (https://blog.mozilla.org/security/2018/10/10/delaying-furthe.../) намеченное на Firefox 63 прекращение доверия к сертификатам удостоверяющего центра Symantec, и связанных с ним брендов GeoTrust, RapidSSL и Thawte. Прекращение доверия к сертификатам Symantec отложено из-за продолжения применения данных сертификатаов на популярных сайтах. В частности около 1% из миллиона крупнейших сайтов до сих пор используют TLS-сертификаты, выданные в Symantec, несмотря на то, что компания DigiCert, выкупившая (https://www.opennet.ru/opennews/art.shtml?num=46963) удостоверяющий центр у Symantec, предлагает бесплатную замену сертификата.
По оценке Mozilla связанный с продолжением использования сертификатов Symantec риск не перекрывает негативное влияние на большое число пользователей. В настоящее время рассматривается возможность введения блокировки сертификатов Symantec в Firefox 64, но окончательное решение будет зависеть от динамики замены сертификатов.Напомним, что Symantec в 2010 году за 1.28 млрд долларов приобрёл бизнес аутентификации у компании VeriSign и стал одним из крупнейших удостоверяющих центров (около 14% всех сертификатов в мире). Летом прошлого года Mozilla и Google приняли решение (https://www.opennet.ru/opennews/art.shtml?num=46941) о прекращении доверия к сертификатам удостоверяющего центра Symantec в связи с проблемами (https://wiki.mozilla.org/CA:Symantec_Issues) в организации работы инфраструктуры, нарушениями при подготовке отчётности и злоупотреблениями (https://www.opennet.ru/opennews/art.shtml?num=46252), которые привели к выдаче сертификатов уровня EV (Extended Validation) без требуемых проверок.
URL: https://blog.mozilla.org/security/2018/10/10/delaying-furthe.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=49431
Symantec успел вовремя произвести оплату...
Да нет просто мозилла начинает использовать дешевый популизм.
Скорее начинает использовать мозги. Щас хром заблочит эти сертификаты, а фф нет... Да и юзверям лучше чтоб работало как есть вместо не работало совсем.
Хотя, что мешает выводить предупреждение и все.
Просто они с таким оттоком клиентов не могут вот так чохом включить блокировку. ну что сделает условный пользователь столкнувшийся с тем что в ФФ сайт Х не открывается? Тупо пойдет на Хром. Рискованно-с. Нет, Мозилле приходится синхронизировать такие действия с Хромом.
Так хром ведь тоже блочит. Просто мозилла хочет отхватить пользователей Хрома.
> Так хром ведь тоже блочит. Просто мозилла хочет отхватить пользователей Хрома.Возможно, отчасти, но скорее - это классическое "движение в тени фуры" или как это там называют еще, когда легковой автомобиль пристаривается за фурой чтобы ехать в режиме пониженного сопротивления воздуха. В результате Мозилла имеет что - Гугл пробивает дорогу вперед, "по хардкору" объясняет пользователям и админам серверов с устаревшими сертификатами что это "фууу". Пользователит говорят "гуглу виднее", админы со вздохом наконец меняют сертификаты, а тут вот и подьезжает Мозилла, как раз к концу битвы.
Удобно, может кто пересядет и шишек никаких.
Скоро новостям Мозиллы "скоро мы прекратим поддержку X" никто не будет верить. Шлюхи, сэр.
Ну и какой толк был объявлять, что перестанут принимать их сертификаты, если по факту не отважились.
Чукча не читатель?
Обратить внимание владельцев и работников этих интернет-ресурсов? Мол, внимание, скоро ваш сайт может перестать работать, начинайте шевелить булками. Но им, конечно, пофигу. Вообще всем всё пофигу. Никому не нужна ни настоящая ни даже мнимая безопасность и надёжность.
Цирк какой-то, а не безопасность.
Так ведь https для цирка и был сделан, пыль в глаза пустить. Ну да, от какеров на шлюзе оно спасает. Чаще всего.
А с хромом что? Вроде планировали вместе в октябре.
В Canary уже давно блочат
Это понятно, но абсолютно не важно, как и то, что в найтли блочат и в релизной лисе есть преф опт-ина. Со стабильным хромом что?
Забавно. Производители браузера решают каким центрам доверять, а каким нет. И ведь кто-то верит их выбору, и тому что они пекутся о чьей-то приватности.
БУГАГА!!!
да кого интересует, веришь ты или нет? Куда ты с подводной-то лодки денешься?
Я не рекламирую «приватные и защищённые браузеры», в отличие от.
Можешь собрать свой браузер со своими сертификатами. Или использовать какой-нибудь Спутник и работать через СОРМ-VPN
В FF можно настроить центр доверенных сертификатов вручную. Расслабтесь.
> Прекращение доверия к сертификатам Symantec отложено из-за продолжения применения данных сертификатаов на популярных сайтах.Идеально! "Внедрение ПЛАТОН-а отложено из-за того, что ни один крупный перевозчик не приобрёл оборудование, и не оплатил ни одного стомиллионного штрафа за это", "Вступление в силу закона о защите персональных данных отложено из-за того, что ни гугл ни фейсбук не создали ни одного сервера авторизации в России", "Вступление в силу пакета Яровой отложено, потому что ни один провайдер не озаботился приобрести оборудование", "Внедрение онлайн-касс отложено из-за того, что ни один крупный и мелкий магазин не приобрёл ни одной онлайн кассы"
Ещё один догадываться начал.
>"Вступление в силу пакета Яровой отложено, потому что ни один провайдер не озаботился приобрести >оборудование"Это что правда?
Анонимы тупеют и тупеют.Нет, это неправда. Это был сарказм. С целью подчеркнуть трагичность (ну или комизм - смотря с какой стороны занавеса ты сидишь) ситуации.
Но очень хотелось бы чтобы было правдой.
Почти, формулировка не та. Пакет формально вступил силу, но сертифицированного оборудования для его исполнения не существует в природе. Так что все дружно пожали плечами и ничего не делают.
https://lenta.ru/news/2018/07/03/illegal/
https://t.me/usher2/433
И ещё:
https://www.rbc.ru/technology_and_media/31/07/2018/5b5f22609...
https://www.vedomosti.ru/technology/articles/2018/08/07/7775...
Стоит ещё добавить, что использовать несертифицированное закон прямо запрещает.
Всё ясно: сначала "протолкнули" закон о хранении всех данных, а потом решили чтобы всё оборудование для этого покупалось только у 1 поставщика. Чтобы он - этот самый поставщик - разбогател. Ну а что, с онлайн-кассами же "прокатило"? (там фискальный накопитель "навесили" уже после). Ну а тут "не прокатило", так как поставщик не справился с поставками
Было бы неплохо. А пока имеем только:
переход на СПО в госорганах отложен/отложен/отменен из-за того....
Мазилка год назад:
- Нам плевать на наших пользователей и их многолетний труд переезжаем на сервопарашу. Кому не нравится - чемодан, вокзал, PaleMoon.
Она же, год спустя:
- Ой, 1% сайтов не переехал со скомпрометированного провайдера сертификатов? Ну, пусть еще побудет валидным. Все ради удобства пользователей же, ну.Заботушки вы наши! Земной вам поклон за внимание к пользователям и адекватность. И последовательность, да.
> Ой, 1% сайтов не переехалэто вам не 1% ваших никому не нужных хомячков. Это каждые 10 из top1000. И вот тут уже - да, "можно, тогда тебя, заяц, вычеркиваю!"
Но вы внедряйте, внедряйте везде и всюду свои aнaльные летсшиткриптовые псевдосекьюрные сертификаты, онижбесплатно! И переход только на них рано или поздно все же произойдет.
> летсшиткриптовые псевдосекьюрные сертификатыС этого момента поподробней..
Почему симантек секурные, а летсинкрипт псевдосекурные?
Потому что хакер Вася не сможет купить их анонимно для домена хакнутого сервера?
Я думаю, что ответ на вопрос - почему Мозилла решила всё переиграть - довольно прост. Мозилла за последний год-два наделала колоссальное количество ошибок и потеряла большое количество пользователей. Тонны юзеров ушли на Хром /Хромиум или форки по типу Палемун и прочие независимые. Взять хотя бы историю со сворачиванием 52.9 еср, сворачиванием легаси аддонов и тп. Я тоже ушёл на Палемун и уже без разницы чем там Мозилла попытается отличиться от аналогов.
> и потеряла большое количество пользователей. Тонны юзеров ушли на Хром /Хромиум или форки по типу Палемун и прочие независимые.Пруфы будут?
> Взять хотя бы историю со сворачиванием 52.9 еср, сворачиванием легаси аддонов и тп.И что с этой историей не так? Кому нужны были легаси аддоны, кроме кучки пердоликов? Вас даже не видно было, т.к. телеметрию отключаете.
> Кому нужны были легаси аддоны, кроме кучки пердоликов?Косвенно это подтверждает то, что топ-лист наиболее популярных дополнений почти и не изменился со времён 56 версии.
> Пруфы будут?Доля Файрфокса с 10% (два года назад) упала до 6% (June 2017), а после сентября 2018-го - до 5%. Актуальные данные на текущий момент - http://gs.statcounter.com/
Учитывая темпы миграции пользователей на другие браузеры, прогнозы достаточно негативные. И это объективная информация, а не просто субъективное мнение. Увы. Раньше это был и мой любимый браузер, но времена меняются. Уже не имеет никакого смысла использовать лису, т.к. большинство остальных браузеров банально работают _быстрее_. А последние фэйлы Мозиллы в духе телеметрии на отлючённую телеметрию просто на корню рубят всю веру в адекватность команды разработчиков. Без обид, но это какое-то безумие.
> Доля Файрфокса с 10% (два года назад) упала до 6% (June 2017), а после сентября 2018-го - до 5%.Но это не значит, что юзеры ушли с лисы. Ты понимаешь, что такое доля? Если добавился миллион новых пользователей интернета из Пакистана, и они взяли хром, то доля хрома повысится. Даже если остальные браузеры имеют ровно ту же юзербазу, вплоть до последнего человека, их доля и графики пойдут вниз. Так работает твоя статистика.
> Учитывая темпы миграции пользователей на другие браузеры, прогнозы достаточно негативные.
Данных о миграции нет. А падение доли есть, но не изменилось, как было плавное падение аж с 2011 года, так и идёт до сих пор. Не ускорилось. Можешь на том же статкаунтере посмотреть.
> И это объективная информация, а не просто субъективное мнение.
Это субъективное мнение, искажённое твоим мнением. Объективно ничего хуже не стало за последние 2 года, и не станет в ближайшие годы.
https://www.reddit.com/r/firefox/comments/94aolr/firefox_usa.../
> Marketshare is flawed. For these reasons:
> Tracking Protection and Adblockers remove browsers from marketshare counters. The popularity of these is growing, so expect that to skew results.
> Marketshare is NOT a count of userbase. Your userbase can stay stable or even grow, but if it doesn't outpace the overall market growth (and desktop is still growing) it will appear to have shrunk. That does not mean you have lost users .
> Marketshare counters use methodology and weighting that are potentially flawed.
> Internal metrics show Firefox is performing well, downloads, installs, retention, and usage are all stable or up. Obviously we'd like to be doing better, but that's where you come in. Use Firefox, tell your friends and family to use it, and report bugs and issues when you find them. The health of the web depends on multiple browsers and multiple browser engines.
> Это субъективное мнение, искажённое твоим мнением.закусывай, когда выпиваешь...
>Прекращение доверия к сертификатам Symantec отложено из-за продолжения применения данных сертификатов на популярных сайтах.обычно на таких сайтах одмены шевелятся только когда начинают сыпаться сообщения от клиентов о проблемах с работоспособностью. Если продолжать поддерживать сертификаты - они и позже ничего не поменяют, ну
напомните, можно ли выкинуть эти сертификаты руками? Вроде бы была строчка в about:config специально для проштрафившихся
Да
> в текущей версии (62) в about:config добавлена опция "security.pki.distrust_ca_policy", которая может быть установлена в значение 2 для досрочного блокирования сертификатов Symantec;
ой да какой у них % юзверей-то ? вайдосят ещё, Хромым задавленные..
А кто-нибудь может объянить, зачем при невалидных сертификатах или при отсутствии удостоверяющего центра в списке доверенных браузеры не пускают на сайт и выводят предупреждающую плашку, вместо того чтобы просто приравнивать такие соединения как небезопасные наравне с http? А потом получаются ситуации вроде этой, когда приходится выбирать из двух зол.
Mozilla писала как-то так: "возможно, но маловероятно, что кто-то следит за вами.." давая занести сертификат себе кудато..я тоже считаю, что любой_тупой_студент_с_Wireshark ом прицепившись как-либо к каналу куда более возможен, чем полноценный MITM. от студентов и спасаюсь, а у того, кто MITM запросто могёт, на меня, хомяка, и мизинца хватит..
Странная логика, от MITM нельзя спастись, но о нем можно узнать. Собственно, сертификаты как раз для этого.
так и я про то-же, просто ещё добавил, что не вхожу в круг лиц, ради которых будут пытаться митмить - куда дешевле с применением более дешевой Грубой силы в багажник и в лесок на допрос.. так что Стеганография наше всё !!
я могу: по той же причине, по которой вместо нормального диалогового окна, как это и происходило еще лет десять тому назад, выводится поддельная страница с совершенно непонятными простому юзверю словами и совсем никому непонятными заклинаниями внутренних идентификаторов ошибок openssl/nss (хз что это из двух) вместо нормального текста.И без кнопки "да, отвяжись, продолжить". Которая появляется только при ручных настройках или после тыка в специально сделанную белой на белом фоне кнопку "advanced", которую большинство юзеров не увидит никогда.
Впрочем, иногда и при них ничего не появляется, кроме новых непонятных никому на свете бредовых заклинаний - если нарвался на pkp, объявленную недостойной версию ssl или еще что взбредет в голову мурзиле или гуглю (или даже ms, специально нарисовавшую вместо кнопки ссылку без подчеркивания).
А иногда ломается сайт - если сам он с точки зрения мурзилы "правильный", но пытается подгружать css/скрипт с "неправильных" - поскольку мы разучились выводить нормальные модальные диалоги, страница уже занята как попало без css/js отрисованным содержимым сайта, то ни показать, ни хоть пёpнyть ни с какой дырочки уже невозможно - нету свободных, поэтому ты вообще никак не можешь увидеть, что пошло не так и в каком месте, если не используешь средств отладки.
Нахрена вообще нужны все эти Симантеки когда есть Let's Encrypt? Кому не пофиг extended там validation или не extended? Главное чтобы корневые сертификаты не раздавали которыми можно чужие сайтв подписывать.
extended не просто расширенный, а концепция доверия на 57 страниц и правила игры в доверие надо соблюдать, иначе разуверятся, а это нехорошо, это подставит вёб, фриланс-фишинг-дезинформ не должен перетягивать одеяло на себя.
именно 'игра в доверие' ! и ещё маркетологичский способ бабла содрать с кого возможно !
Так заставь ресурсы обновлять использующие сертификаты Let's Encrypt, понатыкали так как бесплатно и не обновляют потом
extended тоже уже выпиливают с браузеров
"сертификатов symantec"
звучит как будто они корневой отозвали
на деле отозвали промежуточный,подписанный корневым, который легко может быть заменён.
Недавно прошли через процедуру обновления, всё штатно.Или всё не так и утекли корневые ключи, а проблема скрывается?
good!