The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Устаревание корневого сертификата AddTrust привело к массовы..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Устаревание корневого сертификата AddTrust привело к массовы..."  +/
Сообщение от opennews (??), 31-Май-20, 10:52 
30 мая истёк 20-летний срок действия корневого сертификата AddTrust, который применялся  для формирования перекрёстной подписи (cross-signed) в сертификатах  одного из крупнейших удостоверяющих центров Sectigo (Comodo). Перекрёстная подпись позволяла обеспечить совместимость с устаревшими устройствами, в хранилище корневых сертификатов которых не был добавлен новый корневой сертификат Sectigo...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53061

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "Устаревание корневого сертификата AddTrust привело к массовы..."  +24 +/
Сообщение от JL2001 (ok), 31-Май-20, 10:55 
тот самый залетевший дятел, что разрушил цивилизацию?
Ответить | Правка | Наверх | Cообщить модератору

4. "Устаревание корневого сертификата AddTrust привело к массовы..."  –4 +/
Сообщение от Аноним (4), 31-Май-20, 11:13 
Это скорее "кроилово ведет к попадалову". Да, это я про тебя, GnuTLS.
Ответить | Правка | Наверх | Cообщить модератору

5. "Устаревание корневого сертификата AddTrust привело к массовы..."  –1 +/
Сообщение от Аноним (5), 31-Май-20, 11:15 
> Это скорее "кроилово ведет к попадалову". Да, это я про тебя, GnuTLS.

Автовымарывание вырезало мой первоначальный коммент. Ну да ладно.

гнутлс это часть проблем. Сколько народа ещё попало с сидением на старых версиях опенссл и древнем ПО?

Ответить | Правка | Наверх | Cообщить модератору

37. "Устаревание корневого сертификата AddTrust привело к массовы..."  –2 +/
Сообщение от Аноним (-), 31-Май-20, 13:45 
В gnutls багов, на минуточку, в разы меньше openssl. И пресловутый heartbleed на нем не работал, насколько я помню, будучи openssl'ной "фичой".
Ответить | Правка | Наверх | Cообщить модератору

45. "Устаревание корневого сертификата AddTrust привело к массовы..."  +/
Сообщение от Аноним (45), 31-Май-20, 14:58 
Нет ошибок там, где их не ищут.
Ответить | Правка | Наверх | Cообщить модератору

47. "Устаревание корневого сертификата AddTrust привело к массовы..."  +1 +/
Сообщение от Аноним (-), 31-Май-20, 15:33 
А там есть ошибки - просто меньше. Разработчики openssl так по жизни известны тем что пишут код левой пяткой.
Ответить | Правка | Наверх | Cообщить модератору

50. "Устаревание корневого сертификата AddTrust привело к массовы..."  +/
Сообщение от Аноним (45), 31-Май-20, 15:42 
> А там есть ошибки - просто меньше. Разработчики openssl так по жизни
> известны тем что пишут код левой пяткой.

Чем популярней проект, тем больше людей заинтересованы в регулярном его аудите. И openssl сегодня фактически монополист.

Ответить | Правка | Наверх | Cообщить модератору

72. "Устаревание корневого сертификата AddTrust привело к массовы..."  +/
Сообщение от Аноним (72), 31-Май-20, 20:51 
> openssl сегодня фактически монополист.

Своими действиями они способствовали основательному изменению этого статуса. И, глядя на их отношение, поделом. Хватит с них того что при запросе HW акселерации эти умники RDRAND напрямую юзают, вообще не пытаясь это разбавить. За такое криптоламерство их вообще лучше в утиль списать.

Ответить | Правка | Наверх | Cообщить модератору

41. "Устаревание корневого сертификата AddTrust привело к массовы..."  +/
Сообщение от Аноним (41), 31-Май-20, 14:31 
GnuTLS это не древное ПО
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

93. "Устаревание корневого сертификата AddTrust привело к массовы..."  +2 +/
Сообщение от Аноним (93), 01-Июн-20, 06:41 
GnuTLS это ПО с древними багами.

Про проблему им репортили еще в 2014 году, однако патч вышел только когда жареный петух клюнул (часов 10 назад).

Ответить | Правка | Наверх | Cообщить модератору

14. "Устаревание корневого сертификата AddTrust привело к массовы..."  –3 +/
Сообщение от Аноним (14), 31-Май-20, 12:35 
> Это скорее "кроилово ведет к попадалову". Да, это я про тебя, GnuTLS.

Это явно не про него а про PKI и какие там еще циклические, б-ь, графы, в доверии. Всего четыре посредована в иерархии? О...еть, KILL IT WITH FIRE!!!

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

7. "Устаревание корневого сертификата AddTrust привело к массовы..."  +4 +/
Сообщение от Аноним (7), 31-Май-20, 11:42 
Что-то в последнее время дятлов становится всё больше и больше...
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору
Часть нити удалена модератором

59. "Устаревание корневого сертификата AddTrust привело к массовы..."  +2 +/
Сообщение от пох. (?), 31-Май-20, 16:38 
openssl (ssleay) разрабатывал человек, которого интересовала не секьюрить, а кое-как заплатить кредиткой со своего линукса. Потому что в тот момент это можно было сделать только с венды-проклятой на сервер с iis.

Предполагалось, что это будет бесплатная затычка для того, что сделают правильно и хорошо большие дяди, а пока так сойдет от шибко продвинутых, не принимавших кредитки не заshitщенным протоколом.

А дяди, закономерно, не стали ничего делать правильно и хорошо - вот же, 6ешплатное - взять, взять!
(хотя, насколько я понимаю, nss таки этой проблеме не подвержен)

gnutls таки да, макаки, только не веб, а гнутые. Надеявшиеся всем показать "как надо", а в результате сделавшие эталонное ненужно.

Ну и добавь сверху блестящие идеи вида "любой котик должен быть зашифрован и непременно сертификатом от trusted (кем надо!) authority", "пользователю не положено ничего решать" и так далее.

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

75. "Устаревание корневого сертификата AddTrust привело к массовы..."  +1 +/
Сообщение от Аноним (-), 31-Май-20, 21:02 
> 6ешплатное - взять, взять!

Так там и протокол под стать. Половина openssl'овских дыр являются практически непосредственным следствием протокольного дизайна. Более того - в силу навороченности, кучи легаси и повсеместных спичек и желудей с опциональщиной, несекурными алго, кучей опций и проч дыры в нем тупо повсеместно. И даже этому самому IIS'у не раз и не два прилетало.

> (хотя, насколько я понимаю, nss таки этой проблеме не подвержен)

Это не страшно, в нем много других интересных проблем. Куски кода такого масштаба тупо не могут быть без багов.

> "как надо", а в результате сделавшие эталонное ненужно.

Этим "ненужно" пользуется довольно много софта - и таки не имеет проблем по типу heartbleed'а. А после такой серии факапов у них здорово прибавилось юзеров их либы.

> Ну и добавь сверху блестящие идеи вида "любой котик должен быть зашифрован
> и непременно сертификатом от trusted (кем надо!) authority", "пользователю не положено
> ничего решать" и так далее.

В принципе пользователь может решать, но толку с этого немного - когда там вот такая иерархия оказывается, спятит не то что казуал с котиками но и 90% админов.

Ответить | Правка | Наверх | Cообщить модератору

85. "Устаревание корневого сертификата AddTrust привело к массовы..."  +/
Сообщение от пох. (?), 31-Май-20, 21:31 
>> 6ешплатное - взять, взять!
> Так там и протокол под стать. Половина openssl'овских дыр являются практически

протокол был без нужды переусложнен, да. Но автор ssleay и не задавался целью его полноценно поддерживать, в этом отдельная беда. Он решил свою сиюминутную задачу максимально быстро и грязно.

> Этим "ненужно" пользуется довольно много софта - и таки не имеет проблем
> по типу heartbleed'а. А после такой серии факапов у них здорово

нет hearbeat - нет проблемы, да? Ну так у тех у кого вообще http без ненужно-шифрования там где оно действительно не нужно - тоже ничего не болит.

> прибавилось юзеров их либы.

белки-истерички не могут не метаться.

> В принципе пользователь может решать, но толку с этого немного - когда

ну вот пользователи gnutls'нутых поделок уже убедились что нет, не могут.

Ответить | Правка | Наверх | Cообщить модератору

107. "Устаревание корневого сертификата AddTrust привело к массовы..."  +/
Сообщение от Аноним (107), 01-Июн-20, 15:41 
> сиюминутную задачу максимально быстро и грязно.

Не отменяет кучи дурных атак на сам протокол, вплоть до того что атакующий мог убедить клиент и сервер юзать небезопасные алгоритмы элементарным даунгрейдом протокола.

Иногда скелетов в шкафу надо выкидывать. И в коде и в протоколе, коли уж сразу сделать не смогли. А потом такие как ты прикольно кипишуют когда почему-то народ с радостными воплями выкидывает опенвпн и прочие айписеки в пользу вайргада, про которого торвальц сравнив размер кода выдает "work of art" :D. Вот SSL/TLS давно просится на ту же участь.

> нет hearbeat - нет проблемы, да?

Да. Без этой фичи вполне можно жить и поэтому совершенно ни к чему запихивать ее вообще всем в дефолтную реализацию протокола на всякий случай. Потому что потом приходит какой-то хрен и делает фиг знает чего. Крипто это не то место где надо наваливать кал и костыли про запас.

> Ну так у тех у кого вообще http без ненужно-шифрования там где оно действительно не нужно -
> тоже ничего не болит.

Тут на самом деле трудно угадать где оно реально не нужно. Разве что в твоем интранете, при уверенности что он целиком под твоим контролем и никто не хулиганит. В остальных случаях креативно настроенные блэкхэты подкинут море интереснейших сюрпризов.

> белки-истерички не могут не метаться.

Ну как, делать из чужих проблем свои непонятно ради чего желающих тоже мало. Если авторы бакланят в безопасности - что ж теперь поделать? Майнеры из систем раз в месяц вынимать? Это не прикольно.

> ну вот пользователи gnutls'нутых поделок уже убедились что нет, не могут.

Да там и с openssl черт знает что. Ну вон ирц клиент. А теперь удачи понять как и кому он такой доверяет, допустим, вообще. Ну вот такой протокол что в лучшем случае это можно одуплить только будучи экспертом в вон той мегалибе, перечитав горы кода. Без этого все просто не гарантировано.

Ответить | Правка | Наверх | Cообщить модератору

38. "Устаревание корневого сертификата AddTrust привело к массовы..."  +1 +/
Сообщение от имя_ (?), 31-Май-20, 14:06 
Просто грешки прошлого всплывают все чаще наружу.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

43. "Устаревание корневого сертификата AddTrust привело к массовы..."  +1 +/
Сообщение от Аноним (41), 31-Май-20, 14:34 
Мир всё больше зависит от ПО
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

48. "Устаревание корневого сертификата AddTrust привело к массовы..."  +4 +/
Сообщение от Аноним (-), 31-Май-20, 15:34 
Без ПО сейчас у поезда колеса крутиться не будут. И это не шутка.
Ответить | Правка | Наверх | Cообщить модератору

62. "Устаревание корневого сертификата AddTrust привело к массовы..."  +2 +/
Сообщение от НяшМяш (ok), 31-Май-20, 18:33 
Настало время расконсервировать паровозы?
Ответить | Правка | Наверх | Cообщить модератору

64. "Устаревание корневого сертификата AddTrust привело к массовы..."  +1 +/
Сообщение от Аноним (64), 31-Май-20, 18:43 
Бесполезно. Под них инфраструктуры уже нет.
Ответить | Правка | Наверх | Cообщить модератору

65. "Устаревание корневого сертификата AddTrust привело к массовы..."  +/
Сообщение от НяшМяш (ok), 31-Май-20, 18:54 
Вместо угля можно ту же соляру тепловозную в топке жечь. Вот с водой может быть проблема, но она вроде решаема.

Чтобы не надо было человеков утомлять и кучи ручек крутить, можно прикрутить управление компьютерное. Wait, OH SHI~

Ответить | Правка | Наверх | Cообщить модератору

73. "Устаревание корневого сертификата AddTrust привело к массовы..."  +/
Сообщение от Аноним (-), 31-Май-20, 20:57 
> Вместо угля можно ту же соляру тепловозную в топке жечь.

И как, много народа поедет по цене авиабилетов? :)

Ответить | Правка | Наверх | Cообщить модератору

86. "Устаревание корневого сертификата AddTrust привело к массовы..."  +2 +/
Сообщение от пох. (?), 31-Май-20, 21:55 
>> Вместо угля можно ту же соляру тепловозную в топке жечь.
> И как, много народа поедет по цене авиабилетов? :)

надо просто поднять цены на авиабилеты. Кстати, уже обещают что они подорожают к следующему году минимум вдвое.

Хотя пустое это. Еще лет пять в таком темпе - и все будут совершенно уверены, что аппараты тяжелее воздуха - бессмысленный вздор.

Ответить | Правка | Наверх | Cообщить модератору

108. "Устаревание корневого сертификата AddTrust привело к массовы..."  +/
Сообщение от Аноним (108), 01-Июн-20, 15:50 
> надо просто поднять цены на авиабилеты.

А следующим шагом логично перейти на доллары в качестве топлива. Заодно и вестерны вспомним.

> к следующему году минимум вдвое.

Ну так правильно - народ будет сидеть свободнее чем в бизнесклассе по требованиям регуляторов, чтобы не перезаражать друг друга нафиг.

> будут совершенно уверены, что аппараты тяжелее воздуха - бессмысленный вздор.

А по тому чуваку хвастающемуся работой батута и не скажешь :)

Ответить | Правка | Наверх | Cообщить модератору

76. "Устаревание корневого сертификата AddTrust привело к массовы..."  –1 +/
Сообщение от Аноним (76), 31-Май-20, 21:04 
>Чтобы не надо было человеков утомлять и кучи ручек крутить, можно прикрутить управление компьютерное. Wait, OH SHI~

Ну это уже снова про ПО, от которого выше хотели избавится.

Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

79. "Устаревание корневого сертификата AddTrust привело к массовы..."  +/
Сообщение от Аноним (76), 31-Май-20, 21:07 
У РЖД сейчас есть только одна модель локомотивов с частотными приводами. А то всё ещё выпрямители и комбинирование соединения коллекторных движков постоянного тока.
Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

109. "Устаревание корневого сертификата AddTrust привело к массовы..."  +/
Сообщение от Аноним (108), 01-Июн-20, 15:58 
> У РЖД сейчас есть только одна модель локомотивов с частотными приводами.

Поэтому сапсана и делает в результате сименс. А упыри с постоянным током идут обтачивать коллектор, под факи в спину от пассажиров за дерганую езду с testimonials "везут как дрова".

Ответить | Правка | Наверх | Cообщить модератору

134. "Устаревание корневого сертификата AddTrust привело к массовы..."  +/
Сообщение от alexrayneemail (?), 05-Июн-20, 09:13 
коллектор с постоянным током - это сильно и надежно. частотники - это дань моде. с электроникой на порядки сложнее и вероятностью отказа, какой они выигрыш дадут?
Ответить | Правка | К родителю #79 | Наверх | Cообщить модератору

137. "Устаревание корневого сертификата AddTrust привело к массовы..."  +/
Сообщение от Voldemaar (ok), 18-Июн-20, 08:44 
Есть Иволга!
Ответить | Правка | К родителю #79 | Наверх | Cообщить модератору

130. "Устаревание корневого сертификата AddTrust привело к массовы..."  +/
Сообщение от Аноним (130), 03-Июн-20, 00:34 
Такова их природа.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

6. "Устаревание корневого сертификата AddTrust привело к массовы..."  –4 +/
Сообщение от Аноним (45), 31-Май-20, 11:16 
С одной стороны не стоит так хейтить gnutls, потому что с ним всё достаточно очевидно. С другой стороны его тащат в левые (не гну) проекты поехавшие хейтеры openssl, и лишний раз указать тем на их место не повредит.
Ответить | Правка | Наверх | Cообщить модератору

46. "Устаревание корневого сертификата AddTrust привело к массовы..."  +/
Сообщение от annon (?), 31-Май-20, 15:27 
Может это всё-таки из-за того, что OpenSSL всё никак не перейдёт на более совместимую лицензию (OpenSSL 3.0, который обещает новую лицензию, никак не разродится)?
Ответить | Правка | Наверх | Cообщить модератору

67. "Устаревание корневого сертификата AddTrust привело к массовы..."  +/
Сообщение от YetAnotherOnanym (ok), 31-Май-20, 19:10 
И чем нынешняя лицензия OpenSSL мешает интегрировать его в хейтерские проекты?
Ответить | Правка | Наверх | Cообщить модератору

8. "Устаревание корневого сертификата AddTrust привело к массовы..."  +14 +/
Сообщение от Аноним (8), 31-Май-20, 11:44 
Ошибка 2000, к которой мы оказались не готовы
Ответить | Правка | Наверх | Cообщить модератору

80. "Устаревание корневого сертификата AddTrust привело к массовы..."  +/
Сообщение от Аноним (76), 31-Май-20, 21:09 
>Ошибка 2000, к которой мы оказались не готовы

Ошибка же, а не уязвимость.

Ответить | Правка | Наверх | Cообщить модератору

9. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  –8 +/
Сообщение от Аноним (9), 31-Май-20, 12:05 
> истёк 20-летний срок действия корневого сертификата AddTrust, который применялся для формирования перекрёстной подписи (cross-signed) в сертификатах одного из крупнейших удостоверяющих центров Sectigo (Comodo).

Виновны сидят в Sectigo (Comodo)!

> проблема проявилась также при работе пакетного менеджера APT в актуальных выпусках Debian 10 и Ubuntu 18.04/20.04, так как APT использует библиотеку GnuTLS

Так надо было ZOG. Нет чтобы серт вовремя заменить и проблемы не было бы вообще.

GnuTLS здесь вообще нипричем, никаким боком!

> Компания Sectigo также предоставила альтернативный перекрёстно подписанный промежуточный сертификат "AAA Certificate Services", который будет действовать до 2028 года и позволит сохранить совместимость со старыми версиями ОС.

Это есть правильное исправление ошибки. Вот сделали бы это вовремя...

Ответить | Правка | Наверх | Cообщить модератору

10. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +5 +/
Сообщение от DerRoteBaron (ok), 31-Май-20, 12:14 
То есть что GnuTLS плевать хотел на RFC, проблема не GnuTLS?
Ответить | Правка | Наверх | Cообщить модератору

16. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  –2 +/
Сообщение от Аноним (16), 31-Май-20, 12:38 
А то что такую #$%анину вообще в RFC пишут, это интересно чьи проблемы?
Ответить | Правка | Наверх | Cообщить модератору

131. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +1 +/
Сообщение от Аноним 80_уровня (ok), 03-Июн-20, 01:17 
Того, кто вовремя не предоставил свои C на этот R, вестимо.
Ответить | Правка | Наверх | Cообщить модератору

20. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  –1 +/
Сообщение от Аноним (9), 31-Май-20, 12:45 
GnuTLS наплевать что удостоверяющий центр Sectigo (Comodo) забыл выпустить вовремя новый серт в замен истекающего.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

87. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +3 +/
Сообщение от пох. (?), 31-Май-20, 21:57 
> GnuTLS наплевать что удостоверяющий центр Sectigo (Comodo) забыл выпустить вовремя новый
> серт в замен истекающего.

он не забыл, его сертификат вовсе не истек и все еще подписан валидным CA. Если бы gnutlsные мартышки соблюдали стандарты - все бы работало и дальше. Но они не могут - читать не умеют, только кодить.

Ты именно такая типовая мартышка - даже не поняла, что, собственно, вызвало проблему - но виновата проклятая комода, конечно же.

Ответить | Правка | Наверх | Cообщить модератору

112. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от Аноним (112), 01-Июн-20, 16:45 
У меня ко многим RFC по поводу https есть возражения.

Sectigo (Comodo) должен был выпустить за год до истечения строка действия серта новый сертификат.

GnuTLS не виновен.

Дебу и убунте стоит отказаться от услуг удостоверяющего центра Sectigo (Comodo) и выпустить новые серты в нормальном удостоверяющим центре. После этого обновления заработают. А пользователям советую руками серты не добавлять.

https://www.linux.org.ru/forum/admin/15104732?cid=15113619
Вывод этого скрипта должен быть идентичен на всех компах подключенных к интернету. Сверте корневые сертификаты установленные у ваших системах.

Ответить | Правка | Наверх | Cообщить модератору

118. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от пох. (?), 01-Июн-20, 22:18 
> У меня ко многим RFC по поводу https есть возражения.

Какое счастье что ты никто и звать тебя - никак.

> Sectigo (Comodo) должен был выпустить за год до истечения строка действия серта новый сертификат.

его сертификат НЕ ИСТЕК. Что тебе, тупице, неясно?

Ответить | Правка | Наверх | Cообщить модератору

133. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от Аноним (133), 03-Июн-20, 18:50 
1:

30 мая 2020 года, истёк 20-летний срок действия корневого сертификата AddTrust.

Чтобы избежать проблем 30 мая 2019 года удостоверяющий центр  Sectigo (Comodo) должен был выпустить новый корневой сертификат в замен устаревающего. За год новый сертификат распространился бы менеджерами пакетов на компьютеры пользователей и глобальных проблем не было бы.

2:

Программистам не ставят задачу проверки и верификации RFC и не выделяют на это времени.

Не всегда для обеспечения безопасности надо следовать RFC в них есть закладки, особенно тех что касается https.

3:

Вот за оскорбление я вам не покажу проблемных RFC, нанимайте людей и исследуйте сами.

Ответить | Правка | Наверх | Cообщить модератору

125. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от Аноним (-), 02-Июн-20, 13:10 
> Ты именно такая типовая мартышка - даже не поняла, что, собственно, вызвало
> проблему - но виновата проклятая комода, конечно же.

Зато ты, пох, как НеТиповая мартышка можешь наконец начать уже замечать в чем собственно проблема с всем этим крапом :). Если ты думаешь что он такой один... хаха, проинвертируй этот взгляд, все ровно наоборот. Белые вороны - это те кто вообще хоть немного понимает как этот крап работает. Потому что все мутно и неочевидно, с циклическими, блин, графами в доверии.

Ответить | Правка | К родителю #87 | Наверх | Cообщить модератору

129. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от пох. (?), 02-Июн-20, 13:53 
> Если ты думаешь что он такой один...

да хоть все четыре миллиарда.

Просто их составляющим лучше убрать руки подальше от софта вообще, не только крипто (а то они софт управления автомобилем так же напишут - прочитав документацию и ПДД как попало, запомнив только те абзацы что понравились и что удобно было реализовать).

Но от gnutls вообще-то сложно было ждать наличия разума и умения читать что-то кроме прокламаций.

Ответить | Правка | Наверх | Cообщить модератору

11. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +2 +/
Сообщение от Лол (?), 31-Май-20, 12:15 
Ку ку как comodo обновит миллионы неизвестных девайсов с рандомными операционками? Или вы думаете сертификаты это исполняемые файлы и сами себя обновляют
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

18. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +6 +/
Сообщение от Аноним (9), 31-Май-20, 12:41 
Обновление сертов дело пакетного менеджера используемого на девайсе дистрибутива.

Дело Комодо - вовремя выпустить серт.

Дело мозилы - добавить новый серт

Дело разрабов дистра - обновить пакет с чертами мозилы

Дело админа - обновить используемую на девайсе ось.

Ответить | Правка | Наверх | Cообщить модератору

19. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +1 +/
Сообщение от Аноним (9), 31-Май-20, 12:42 
s/чертами/сертами/ вражеский спелчекер похерил.
Ответить | Правка | Наверх | Cообщить модератору

24. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +3 +/
Сообщение от Аноним (9), 31-Май-20, 13:07 
Учитывая длительный путь серта с офиса удостоверяющего центра Sectigo (Comodo) на девайсе пользователя, им стоило выпускать свой новый серт за год или хотя бы за полгода до истечения строка действия старого.
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

49. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +3 +/
Сообщение от Аноним (-), 31-Май-20, 15:36 
...а когда вся эта жуткая этажерка костылей наконец заваливается, половина глобуса встает раком но все делают козью морду - что вы, в таком демарше никто не виноват.
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

61. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от Аноним (61), 31-Май-20, 17:23 
Этажерка посредников это конечно плохо.

Зато виновного определяем сразу, в даном случае виновен: удостоверяющий центр Sectigo (Comodo), который вовремя не выпустил новый сертификат в замен устаревшего.

Ответить | Правка | Наверх | Cообщить модератору

77. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от Аноним (-), 31-Май-20, 21:05 
> Зато виновного определяем сразу,

Ага, еще не успели остатки юзерей перестать дергать серваки в надежде что они отомрут... :)

> в даном случае виновен: удостоверяющий центр Sectigo (Comodo),
> который вовремя не выпустил новый сертификат в замен устаревшего.

А если бы они даже и выпустили его - то чего? Он же не телепортируется всем юзерям путем черной магии...

Ответить | Правка | Наверх | Cообщить модератору

113. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от Аноним (112), 01-Июн-20, 16:51 
Новые корневые серты стоит выпускать хотя бы за год до истечения строка действия старого. Процесс телепортации серта к юзерам длительный и иногда требует действительного старого сертификата. Установка прошлого системного времени костыль.
Ответить | Правка | Наверх | Cообщить модератору

12. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  –1 +/
Сообщение от б.б. (?), 31-Май-20, 12:21 
из-за срока действия ключа подписи, сейчас Debian 5, 6, про 7 не помню точно, превратились в тыкву :( их не поставишь по сети, не воспользуешься репозиториями :(
Ответить | Правка | Наверх | Cообщить модератору

17. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +1 +/
Сообщение от Аноним (16), 31-Май-20, 12:39 
А что, традиционный способ надувания шаровари уже не катит? Неужто часы назад перевести не срабатывает? Назад, в будущее! :)
Ответить | Правка | Наверх | Cообщить модератору

26. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  –1 +/
Сообщение от бедный буратино (ok), 31-Май-20, 13:07 
работает, конечно. но не хочется жить в прошлом :)
Ответить | Правка | Наверх | Cообщить модератору

35. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +3 +/
Сообщение от Аноним (-), 31-Май-20, 13:40 
Ну так установил - и назад, в будущее!
Ответить | Правка | Наверх | Cообщить модератору

51. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +1 +/
Сообщение от Аноним (51), 31-Май-20, 15:45 
Тогда куча других сертификатов слетит
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

124. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от Аноним (124), 02-Июн-20, 12:35 
Не сработает, кстати. При TLS-соединении сравнивается время на клиенте с сервере и если разница слишком большая (порядка нескольких часов) - соединение прерывается.
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

126. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от Аноним (-), 02-Июн-20, 13:11 
> Не сработает, кстати. При TLS-соединении сравнивается время на клиенте с сервере и
> если разница слишком большая (порядка нескольких часов) - соединение прерывается.

А где и зачем дебиану при установке "TLS соединения" нужны? Я так понимаю что у него проблема с ключами от репо.

Ответить | Правка | Наверх | Cообщить модератору

92. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от FixingGunsInAir (ok), 01-Июн-20, 05:45 
Добро пожаловать в мир легаси.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

13. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +1 +/
Сообщение от anonim1 (?), 31-Май-20, 12:21 
все очень плохо. Ничего не помогает, надеюсь что кто-то до понедельника найдет рабочее решение.
Ответить | Правка | Наверх | Cообщить модератору

34. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от rvs2016 (ok), 31-Май-20, 13:26 
> надеюсь что кто-то до понедельника
> найдет рабочее решение

Почему именно до понедельника?
Многие нужные https-сайты уже недели 3 недоступны программам curl/wget, lynx/elinks.

Ответить | Правка | Наверх | Cообщить модератору

54. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от Аноним (45), 31-Май-20, 15:54 
> Многие нужные https-сайты уже недели 3 недоступны программам curl/wget, lynx/elinks.

Можно пример? А то у меня отвалился curl некоторое время назад, но я отключил adns (c-ares) и всё чюдесным образом починилось.

Ответить | Правка | Наверх | Cообщить модератору

132. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от Анонои (?), 03-Июн-20, 13:31 
если 3 недели назад, то это какието другие проблемы. Обсуждаемый сертификат сдох 30 мая в 13:48 по Москве и до этого момента он проблем не доставлял

        Validity
            Not Before: May 30 10:48:38 2000 GMT
            Not After : May 30 10:48:38 2020 GMT

Ответить | Правка | Наверх | Cообщить модератору

60. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +1 +/
Сообщение от Anonymoustus (ok), 31-Май-20, 16:43 
Для wget есть ключ --no-check-certificate.
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

78. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от Аноним (-), 31-Май-20, 21:07 
> Для wget есть ключ --no-check-certificate.

Только потом не надо жаловаться что Васян налил майнер и стырил все бабки.

Ответить | Правка | Наверх | Cообщить модератору

84. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от Anonymoustus (ok), 31-Май-20, 21:27 
>> Для wget есть ключ --no-check-certificate.
> Только потом не надо жаловаться что Васян налил майнер и стырил все
> бабки.

Ты не знаешь, анон, что такое wget? Просвещайся:

https://www.gnu.org/software/wget/manual/wget.html

Ответить | Правка | Наверх | Cообщить модератору

88. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от rvs2016 (ok), 01-Июн-20, 00:30 
> Только потом не надо жаловаться что
> Васян налил майнер и стырил все бабки

Проблема не в том, что кто-то стырил бабки, ибо в выкачивании многих страниц никих денег нет, а в том, что --no-check-certificate теперь перестал помогать.

Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

21. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  –2 +/
Сообщение от rvs2016 (ok), 31-Май-20, 12:48 
Нет худа без добра. Хоть одна радость веб-мастерам:

> Из браузеров проблема затрагивает
> Epiphany, в котором перестали
> загружаться списки блокировки рекламы

Правда, радость небольшая - браузер-то не сильно распространённый. Ну да ладно. И то дело. Мелочь, а приятно! :-)

Ответить | Правка | Наверх | Cообщить модератору

22. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  –1 +/
Сообщение от rvs2016 (ok), 31-Май-20, 12:51 
> Программы на языке Go проблеме
> не подвержены, так как в Go
> предлагается собственная
> реализация TLS

А есть ли написанные на языке Go аналоги программ wget, curl?
А то wget да curl перестали получать страницы с некоторых https-сайтов. Пляски с бубном вокруг их обновлений да обновлений ca_root_nss и даже ручные укладывания каких-то там сертификатов куда-то (точные каталоги не помню уж) к их оздровлению не приводят.

Ответить | Правка | Наверх | Cообщить модератору

27. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +1 +/
Сообщение от Анонимчик (?), 31-Май-20, 13:12 
https://www.tecmint.com/kurly-alternative-to-linux-curl-comm.../
Ответить | Правка | Наверх | Cообщить модератору

28. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +2 +/
Сообщение от Аноним (45), 31-Май-20, 13:14 
Curl может быть собран с любым аналогом. Хоть nss. Но зачем, если есть openssl? Ты думаешь, что угошная реализация чем-то лучше?
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

23. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +11 +/
Сообщение от аноним еще один (?), 31-Май-20, 13:02 
Http устарел, переходите на https говорили они. О дивный новый мир.
А нельзя было выдать сразу бессрочный сертификат или на 1000 лет :)
Ответить | Правка | Наверх | Cообщить модератору

29. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +1 +/
Сообщение от Dzen Python (ok), 31-Май-20, 13:17 
А таки да, интересно, сколько таких бомб еще всплывет
Ответить | Правка | Наверх | Cообщить модератору

31. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +3 +/
Сообщение от пох. (?), 31-Май-20, 13:24 
Нельзя - огрызок изо всех сил пытается вообще пропихнуть в картель сслщиков запрет на сертификаты сроком действия больше года. Даже корпоративные.
У него пока не получилось (то есть даже гугль с ms сказали "да ну нах") - но он уже воткнул такую проверку себе во впихоны - не вышло по правилам, впихнем через топ-топов у которых отвалится ваш сайт. Не будут же ж они понтовую мобилу менять ради него.

И тем более ни в коем случае нельзя предоставить пользователю решать самому. Сегодня он сам решает, какому сертификату доверять, а завтра что - идет к Белому Дому с коктейлем молотова?!

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

44. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от zanswer (?), 31-Май-20, 14:39 
Apple для всех актуальных систем установила следующие правила, в числе прочего ограничение на срок действия сертификата, не более 825 дней. Коммерческие сертификаты более чем на два года я и так не видел, само-подписные может быть, для корневых сертификатов данное требование не актуально само-собой.

https://support.apple.com/en-us/HT210176

Ответить | Правка | Наверх | Cообщить модератору

110. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +1 +/
Сообщение от InuYasha (?), 01-Июн-20, 16:02 
Потому я презираю Let's Encripple и хомячков, которые на него дёргают.
Завтра Большой Жрат распорядится невыдать сертификат - и через день сайтик протухнет. А то вот ещё - 10 лет ждать!
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

119. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от пох. (?), 01-Июн-20, 22:23 
> Потому я презираю Let's Encripple и хомячков, которые на него дёргают.
> Завтра Большой Жрат распорядится невыдать сертификат - и через день сайтик протухнет.

это он и раньше мог делать. Ну, до истребления crl'ов и отключенного по умолчанию ocsp.
А вот выписать себе новый, так чтоб никто вообще этого не смог заметить - это он может теперь, когда certpatrol, pkp и любые другие технологии, основанные на доверии сертификатам, а не левым людям, мамой клянущимся что валидный - окончательно уничтожены.

Зато бебебезопастно!

Ответить | Правка | Наверх | Cообщить модератору

120. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  –1 +/
Сообщение от Аноним (120), 01-Июн-20, 22:26 
Через день ничего не протухнет. А 3 недель вполне достаточно, чтобы в случае проблем (у вас же настроен мониторинг сертификатов?) вовремя среагировать и переключиться на что-то еще.
Ответить | Правка | К родителю #110 | Наверх | Cообщить модератору

127. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от Аноним (-), 02-Июн-20, 13:13 
> (у вас же настроен мониторинг сертификатов?)

А ты из дома с миноискателем, надеюсь, выходишь? На случай если благодарный сосед мину для тебя закопал.

Ответить | Правка | Наверх | Cообщить модератору

36. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  –2 +/
Сообщение от Аноним (-), 31-Май-20, 13:43 
> А нельзя было выдать сразу бессрочный сертификат или на 1000 лет :)

Это чтобы им лет через эн начали подписывать все и вся, и никто типа не виноват, поскольку фирма давно ласты склеила? :)

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

40. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +1 +/
Сообщение от аноним еще один (?), 31-Май-20, 14:25 
Есть же процедура отзыва сертификата :)
Ответить | Правка | Наверх | Cообщить модератору

63. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от Арчевод (?), 31-Май-20, 18:38 
Какая такая процедура? Которая по умолчанию выключена во всех браузерах?
Ответить | Правка | Наверх | Cообщить модератору

71. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +3 +/
Сообщение от пох. (?), 31-Май-20, 20:50 
если фирма правильно склеила ласты - ее сертификат торжественно уничтожен при большом скоплении народа - никто им ничего подписать уже не сможет.

Если фирма склеила ласты способом diginotar - ее сертификат просто будет удален всеми еще до окончания процедуры ее банкротства. Точнее, именно этот процесс и послужит ее неизбежному свершению, как это произошло со startssl.

Идиотия, что короткоживущие сертификаты хоть от чего-то защищают - из того же источника что и уничтожение всех конкурентов очередной гуглевой марионетки.

Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

81. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +1 +/
Сообщение от Аноним (81), 31-Май-20, 21:10 
> если фирма правильно склеила ласты - ее сертификат торжественно уничтожен при большом
> скоплении народа - никто им ничего подписать уже не сможет.

И хде это все регламентировано? Хочу посмотреть на что-нибудь такое. Можно начать с DigiNotar'а, чтоли.

> Идиотия, что короткоживущие сертификаты хоть от чего-то защищают

Де факто PKI таки та еще фикция - потому что кто попало может подписать что попало.

Ответить | Правка | Наверх | Cообщить модератору

83. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  –1 +/
Сообщение от пох. (?), 31-Май-20, 21:24 
> Можно начать с DigiNotar'а, чтоли.

он как раз неправильно склеил ласты - его сертификат превратился в тыкву, когда покойничек еще потел.

А startssl и вовсе сдох именно от превращения вполне валидного и никуда не утекшего сертификата в тыкву - потому что не был правильно соблюден обряд его похорон.

Поэтому даже если бы их сертификаты действовали тысячи лет - никому бы не помешали. У меня сертификат для внутренних целей тоже на сто лет выдан - но ему все равно доверяет только мой браузер.

> Де факто PKI таки та еще фикция - потому что кто попало может подписать что попало.

кто попало - не может. История startssl тому примером.

Интересно, норвеги - следующие?

Ответить | Правка | Наверх | Cообщить модератору

114. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от Аноним (114), 01-Июн-20, 17:16 
> его сертификат превратился в тыкву, когда покойничек еще потел.

Там распиарено получилось - комод очень уж эпично постебся над маздайцами с их проприентарными решениями. А вот тут сертификат превратился в тыкву, а только потом вспотели.

> потому что не был правильно соблюден обряд его похорон.

И тем не менее, усвоили не все и до сих походу не всех отвадили.

> лет выдан - но ему все равно доверяет только мой браузер.

Ну вот если твой браузер - тогда да. А так - смысл в том что упертые приватные ключи все же постепенно протухают. А не так что вы все 100 лет курите на бочке с порохом.

> кто попало - не может. История startssl тому примером.

На одну эту историю есть с десяток более мутных, где только пропесочили но не удалили.

> Интересно, норвеги - следующие?

А черт знает. Обезьян есть, гранат у них в избытке, гадай теперь кто первый разберется.

Ответить | Правка | Наверх | Cообщить модератору

90. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +1 +/
Сообщение от rvs2016 (ok), 01-Июн-20, 00:55 
> Http устарел, переходите на https говорили они. О дивный новый мир.
> А нельзя было выдать сразу бессрочный сертификат или на 1000 лет :)

А нельзя! Ну в смысле - можно, наверно, но бесполезно ж. Через 1000 лет сертификат всё-равно устарел бы и появилась бы уже проблема-3000.

Вспоминается по этой теме бородатый, 20-летней давности, анекдот:

COBOL-программист перед приближением "проблемы-2000" забодался бегать и спасать от этой проблемы всех подряд, изобрёл криокамеру, заморозил себя лет на 5 - до тех пор, пока все уже справятся с "проблемой-2000" и тогда у него не будет суеты. Но из-за сбоя программы криокамера его не разбудила через 5 лет, а разбудили его люди только через ту самую тысячу лет и из какого-то облака какой-то лик ему всё это рассказал и говорит, мол, всё у нас в обществе круто, но вот подходит "проблема-3000", у нас осталась куча программ 1000-летней давности на языке COBOL, а только в Вашем досье
написано про то, что вы знаете - что это такое. :-)

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

32. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +2 +/
Сообщение от Аноним (32), 31-Май-20, 13:24 
debian 10, столкнулся с тем, что стал openconnect ругаться со вчерашнего дня
в файле /etc/ca-certificates.conf заремил строку !mozilla/AddTrust_External_Root.crt
выполнил update-ca-certificates -f -v
openconnect ругаться перестал
Ответить | Правка | Наверх | Cообщить модератору

39. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +1 +/
Сообщение от rayderemail (ok), 31-Май-20, 14:23 
Вот как раз 10-я дубина у меня нормально работает.
А вот 9-ю вчера лечил как раз этим способом через выпиливание этого серта из системы.
полет нормальный.
Ответить | Правка | Наверх | Cообщить модератору

117. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от raynor (ok), 01-Июн-20, 19:10 
Подтверждаю, на Debian 9 и форках достаточно закомментить и апнуть, как выше написано :)
Ответить | Правка | Наверх | Cообщить модератору

33. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  –1 +/
Сообщение от Аноним (33), 31-Май-20, 13:24 
^^ UPD: Нормально помогает распарсить свой .crt найти и выкинуть истёкший из цепочки, пересобрать/перезапустить
Ответить | Правка | Наверх | Cообщить модератору

42. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от gogo (?), 31-Май-20, 14:33 
В centos 6 нет утилиты trust, она только в центе 7.
Наверное, проще таки удалить проблемный серт из /etc/ssl/certs/ca-bundle.crt
Когда приедет следующее обновление пакета с этим файлом, то этот серт наверняка оттуда удалят.
Ответить | Правка | Наверх | Cообщить модератору

52. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  –3 +/
Сообщение от Аноним (52), 31-Май-20, 15:47 
Время от времени, в т.ч. сейчас, мне приходится (не ради удовольствия, а для работы) использовать Windows XP. Попутно читаю новости. (Машину с Devuan'ом в последние дни не включал и не проверял, что там происходит в связи с устареванием этого сертификата.)

Вчера, 30.05.2020, я попытался открыть страницу "Вконтакте". Я там не зарегистрирован, поэтому захожу на этот сайт только изредка, по ссылкам из новостей.

Браузер Pale Moon 24.7.2 написал, что сертификат просрочен.
Я предположил, что в файле cert8.db ошибка, перенес его из профиля в другое место и перезапустил браузер.
В профиле появился новый файл cert8.db, меньшего размера; страница опять не открылась с той же ошибкой.
Тогда я удалил новый файл, вернул старый, опять перезапустил браузер, и страница открылась.

Кто-то может объяснить, что произошло?

Ответить | Правка | Наверх | Cообщить модератору

69. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от YetAnotherOnanym (ok), 31-Май-20, 19:41 
Ты её переупрямил.
Ответить | Правка | Наверх | Cообщить модератору

53. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +1 +/
Сообщение от Аноним (51), 31-Май-20, 15:51 
Подскажите примеры сломавшихся сайтов, чтоб у себя проверить.
Ответить | Правка | Наверх | Cообщить модератору

55. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +2 +/
Сообщение от Аноним (55), 31-Май-20, 16:00 
https://api.rbkgames.com/ :)
Ответить | Правка | Наверх | Cообщить модератору

57. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от Аноним (51), 31-Май-20, 16:19 
спс
Ответить | Правка | Наверх | Cообщить модератору

70. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от Аноним (70), 31-Май-20, 19:50 
на нём нету AddTrust
Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

94. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от Аноним (94), 01-Июн-20, 08:23 
Social Club у Rockstar отвалился.
Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

58. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +1 +/
Сообщение от Anonymoustus (ok), 31-Май-20, 16:21 
Я ничего не удалял, только запустил команду


update-ca-certificates -f -v

и APT вроде как снова работает нормально.

Devuan 2.1.

Ответить | Правка | Наверх | Cообщить модератору

66. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +1 +/
Сообщение от lockywolfemail (ok), 31-Май-20, 19:02 
Нет подключения к интернету -- нет проблемы.

А вообще, вся эта X.509 система -- какое-то адское нагромождение костылей.

Во-первых, потому что в нём де факто нет идентификации клиента. Я знаю про всякие странные конфигурации с прокидыванием в браузер клиентского сертификата, но это редкость.

Во-вторых, потому что вся игра с сертификатами отдана на откуп вендорам оконечных девайсов, хотя по уму сертификат должен быть ответственностью как минимум не только его. Вполне можно было бы построить систему, в которой юзверь подписывает договор с удостоверяющим центром, и ходит раз в год обновлять свои и корневые сертификаты в УЦ. Так, собственно, уже работает OpenPGP или даже странная российская "электронная подпись".

Ответить | Правка | Наверх | Cообщить модератору

74. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +2 +/
Сообщение от пох. (?), 31-Май-20, 21:01 
> Во-первых, потому что в нём де факто нет идентификации клиента.

идентификация клиента в нем есть, учи матчасть, двоечник.
Просто это несколько неудобно - и клиентам, и тем кто предоставляет им услугу. Потому что в большинстве случаев совершенно все равно, кому ее предоставлять, лишь бы данные кредитки совпали.

> Вполне можно было бы построить систему, в которой юзверь подписывает договор с удостоверяющим
> центром, и ходит раз в год обновлять свои и корневые сертификаты в УЦ.

лично с паспортом, или можно через госуслуги? А пошлину платить раз в год, или включат в счет за электричество? (Мыло и веревку свои приносить, или там дадут?)

Вполне возможно, что в чебурнете так и будет - заодно мазок на коровавирус заставят сдать.
К сожалению, весь остальной мир пока пошлет с такими идеями найух. Приходится действовать постепенно.

Вполне можно было бы построить такую систему, где доверяют - сертификатам, а не подписантам (и изначально ssl именно такой системой и был), их подпись всего лишь одна из дополнительных возможностей _разовой_ проверки _ранее_незнакомого_ тебе сертификата.

Но, поскольку при этом не получается за всеми следить - были предприняты определенные шаги, чтобы так просто не получалось, даже в изолированных сетях.

Вон дядя, покажи ему свой биометрический паспорт, сделай селфи со снилсом в зубах, он поставит (электронный, а как же) штампик.

Бараны радностно блея бегут в стойло - зато бебебебезопастно!

Ответить | Правка | Наверх | Cообщить модератору

91. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +2 +/
Сообщение от lockywolfemail (ok), 01-Июн-20, 05:42 
> идентификация клиента в нем есть, учи матчасть, двоечник.

Я и написал "де факто". Сам логинюсь на cacеrt'овский сайт через сертификат. Но так мало кто делает.

>  Приходится действовать постепенно.

Отставить паранойю. OpenPGP-Web-Of-Trust так уже много лет работает. Ходят погромисты друг к другу в гости, и делают keysigning party. Наоборот, это гибче даже получается.

Ну а для тех, кто не хочет keysigning party, должно быть можно в Связном заплатить пошлину.

> Вполне можно было бы построить такую систему, где доверяют - сертификатам, а
> не подписантам (и изначально ssl именно такой системой и был)

Так и сейчас доверяют сертификатам -- сертификатам УЦ. Сайтов кругом миллион, и сертификаты сайтов хотелось бы менять каждую сессию, ибо вдруг чего. Проблема не в самой идее УЦ, а в том, что какой-то абстрактный дядя за тебя решает, какому УЦ ты доверяешь. Мозилла и Гугл -- это ещё хотя бы люди, на которых можно ругаться в соцсетях. А производитель телефона -- вообще никто и звать его никак. Ходить раз в год и выбирать УЦ, которому доверяешь -- это как раз больше свободы юзеру, а не меньше.

> Вон дядя, покажи ему свой биометрический паспорт, сделай селфи со снилсом в
> зубах, он поставит (электронный, а как же) штампик.
> Бараны радностно блея бегут в стойло - зато бебебебезопастно!

Государство скорее закроет интернет нахрен, чем откажется от возможности следить за людьми. Надо быть реалистичными, и саботировать слежку так, как это работает, а не так, как этого хотелось бы утопистам от свободы информации. Надо напирать на те аргументы, которые люди слышат. Слышат про безопасность -- надо говорить от безопасности. В частности, тот факт, что в компах стоят протухшие на 20 лет сертификаты -- это _очень_ небезопасно.

Ответить | Правка | Наверх | Cообщить модератору

95. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от пох. (?), 01-Июн-20, 09:22 
> Я и написал "де факто".

ну вот де-факто - есть.
А предъявлять паспорт и снилс входя в магазин за хлебушком - желающих нет.

> Отставить паранойю. OpenPGP-Web-Of-Trust так уже много лет работает.

там совсем другой подход - никаких "trusted ca". По этой причине, кстати, и не работает. Гладко было на бумаге.

> Так и сейчас доверяют сертификатам -- сертификатам УЦ.

сейчас доверяют подписи этим сертификатом на сертификате васяна. Причем принята масса специальных мер, чтобы просто сертификату васяна ты доверять не мог. Включая и его одноразовость.

> Государство скорее закроет интернет нахрен, чем откажется от возможности следить за людьми.

гугл и мурзила - скорее государство в государстве.
Ничего личного, just a business.

У меня в помойке два приглашения на собеседование. Один от ntechlab, второй от хуавэя. Причем про второй я спросил - там не 60 тыщ и действующие сертификаты ccie и jncie, там вполне нормальные требования и зарплата выше средней по отрасли - при всей жадности плохой дороги, за это она готова платить.

Вполне коммерческие предприятия. С умненькими мальчиками там работающими.

> В частности, тот факт, что в компах стоят протухшие на 20 лет сертификаты -- это _очень_
> небезопасно.

это совершенно безопасно. Ты замок в двери меняешь каждые пол-года просто на всякий случай?
Или все же - только когда и если потерял ключ?

А ключи от self-signed сертификатов CA потерять гораздо сложнее чем ключи от квартиры - они при правильном обращении (и это _проверяется_ прежде чем твой сертификат добавят мурзогугли - впрочем, последние двадцать лет они только свою марионетку добавили, а проверка доверена каким-то комитетам, не умевшим правильно настроить веб-сайт) не то что из дома не выносятся, а вообще не используются никогда. Используется второй или даже третий intermediate. Ключ от основного нужен только если их понадобилось перевыпустить. Ну или подписать вот ключ другого CA. Случается примерно раз в 20 лет.

Ответить | Правка | Наверх | Cообщить модератору

96. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от lockywolfemail (ok), 01-Июн-20, 09:51 
> ну вот де-факто - есть.

Это "де юре", а не де факто. Типа, пользуются полтора гика.

> А предъявлять паспорт и снилс входя в магазин за хлебушком - желающих
> нет.

Да серьёзно что ли? Все внезапно стали снова платить наличкой? Любая транзакция по карте -- это паспорт и ИНН (может, и не снилс, точно не уверен).

> там совсем другой подход - никаких "trusted ca". По этой причине, кстати,
> и не работает. Гладко было на бумаге.

Ровно потому, что есть альтернатива, с корневыми УЦ. Ходили бы люди в раз в год в Связной выбирать УЦ из списка, система была бы поживее.

> сейчас доверяют подписи этим сертификатом на сертификате васяна. Причем принята масса специальных
> мер, чтобы просто сертификату васяна ты доверять не мог. Включая и
> его одноразовость.

Кто тебе мешает-то? Добавь васянский сертификат в доверенные, и пользуйся. Самоподписанный SSL работает, пусть и с ворнингом. Только как ты узнаешь, что это васян, а не MITM.

> гугл и мурзила - скорее государство в государстве.
> Ничего личного, just a business.

Плевал я на гугл и мурзилу. Им ничего, кроме впаривания мне рекламы, от меня не нужно. А почитать их код я могу свободно, чего про "госуслуги" пока даже помыслить невозможно.

> Вполне коммерческие предприятия. С умненькими мальчиками там работающими.

Тут я вообще ничего не понял, какая-то конспирология. Хуавэй сегодня есть, а завтра его нет. Хотя нет, Хуавэй китайцы спасут в случае чего, пока Трамп на него обижен, но Трамп тоже не вечен. Сдохнет Хуавэй, и забудем про него, и вся работа умных мальчиков улетит в унитаз.

> это совершенно безопасно. Ты замок в двери меняешь каждые пол-года просто на
> всякий случай?
> Или все же - только когда и если потерял ключ?

Ни хрена себе безопасно! Я до сих пор по половине офисов старых работ могу пройти как по паркету, потому что заблаговременно делал копии ключей. Гавно твоя аналогия.

> А ключи от self-signed сертификатов CA потерять гораздо сложнее чем ключи от
> квартиры - они при правильном обращении (и это _проверяется_ прежде чем
> твой сертификат добавят мурзогугли - впрочем, последние двадцать лет они только
> свою марионетку добавили, а проверка доверена каким-то комитетам, не умевшим правильно
> настроить веб-сайт) не то что из дома не выносятся, а вообще
> не используются никогда. Используется второй или даже третий intermediate. Ключ от
> основного нужен только если их понадобилось перевыпустить. Ну или подписать вот
> ключ другого CA. Случается примерно раз в 20 лет.

Не надо ничего терять. За двадцать лет хороший человек легко превращается в мудака, а мудак в хорошего человека.

Ответить | Правка | Наверх | Cообщить модератору

98. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от Anonymoustus (ok), 01-Июн-20, 10:17 
> За двадцать лет хороший человек легко превращается в
> мудака, а мудак в хорошего человека.

Примеры чудесных превращений — в студию!

Ответить | Правка | Наверх | Cообщить модератору

99. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +1 +/
Сообщение от Lockywolf (ok), 01-Июн-20, 10:27 
>> За двадцать лет хороший человек легко превращается в
>> мудака, а мудак в хорошего человека.
> Примеры чудесных превращений — в студию!

Готов отказаться от второй части заявления. (Хотя мне кажется, видел такое.)

Ответить | Правка | Наверх | Cообщить модератору

115. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от Анони (?), 01-Июн-20, 17:19 
> Готов отказаться от второй части заявления. (Хотя мне кажется, видел такое.)

Это не про твоего собеседника. Хотя, возможно, он таким был с самого начала?

Ответить | Правка | Наверх | Cообщить модератору

103. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от пох. (?), 01-Июн-20, 11:47 
> Кто тебе мешает-то? Добавь васянский сертификат в доверенные, и пользуйся.

инфа стопроцентов, или ты один раз попробовал?

> Самоподписанный SSL работает, пусть и с ворнингом.

только на васян-хосте с web0.1
На остальных уже не работает.

> Только как ты узнаешь, что это васян, а не MITM.

проверю сертификат по другим каналам.
Или, что гораздо более вероятно, предположу что Организация конечно всесильна и вездесуща, но подсунуть один и тот же в кафешке в Хайдерабаде и в офисе в Стамбуле даже ей затруднительно. И если сертификат один и тот же уже который год - вероятнее всего он настоящий, и митм организован путем его кражи. А если его можно спереть - то это можно делать и раз в день.

> Ни хрена себе безопасно! Я до сих пор по половине офисов старых работ могу пройти как по паркету,
> потому что заблаговременно делал копии ключей. Гавно твоя аналогия.

Нет, гавно твои офисы и система безопасности в них.
И вот по этой причине проверки кандидатов в trusted ca строже чем даже pci-dss, которая напрочь исключает возможность "сделать копии ключей" незаметно для окружающих.

Но ты замок на двери все же меняй раз в неделю - а то твой ключ тоже кто-то успел скопировать. Что помешает ему обналичить результат немедленно, а не откладывать на неделю - учоные спорят.

> Не надо ничего терять. За двадцать лет хороший человек легко превращается в мудака, а мудак в
> хорошего человека.

не превращается. И перевыпуск ключа раз в неделю от этого тоже ничем не поможет - вот он и перевыпустит, и десять копий налево в том числе.  Каждую неделю новых.
А вот отследить теперь - невозможно.

В отличие от простого и банального доверия - ключам, а не подписям на них.

Ответить | Правка | К родителю #96 | Наверх | Cообщить модератору

104. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  –1 +/
Сообщение от lockywolfemail (ok), 01-Июн-20, 12:29 
> На остальных уже не работает.

Имеется в виду HSTS что ли? Так это выбор сервера, включать его или нет. Все вопросы к васяну. DNS течёт постоянно, по ошибке добавить сертификат от "великого файрвола" в доверенные не легко, а прямо очень легко.

> проверю сертификат по другим каналам.

Ты и полтора анононимуса.

>А если его можно спереть - то это можно делать и раз в день.

Ничего себе! Разъсните мне, как это получается? Как его можно потерять один раз, я понимаю -- скажем, пришли "маски шоу" и отняли волшебную флешку. А вот как его можно красть раз в день -- это я уже не понимаю. Я это без шутки спрашиваю. Как такое может быть?

> Нет, гавно твои офисы и система безопасности в них.

Так и у васянов хосты говно 99%.

> И вот по этой причине проверки кандидатов в trusted ca строже чем
> даже pci-dss, которая напрочь исключает возможность "сделать копии ключей" незаметно для
> окружающих.

Ну и что в этом плохого?

> обналичить результат немедленно, а не откладывать на неделю - учоные спорят.

Как, блин, чего? Что значит "обналичить". Обналичить -- это же не номер карты украсть, это опротестовывается на раз, и больше двух тысяч юаней в день не вывести, а внезапное списание 2к юаней я мгновенно спалю. Обналичить -- это подсадить закладку и (а) иметь возможность подложить причину для ареста, например, детское порно, когда нужно будет арестовать (вместо подбрасывания наркотиков), (б) потихоньку чарджить карту на пару центов в день, потому что среди пары десятков трат в день, (в) читать мою переписку и косвенно собирать компромат на других людей, (г) красть мои пароли и слать спам от моего имени, (д) понижать социальный рейтинг.

Это всё требует перманентного доступа. Одноразовая протечка -- это несущественно, если она работает сутки или вообще сессию.

> не превращается. И перевыпуск ключа раз в неделю от этого тоже ничем

Как он перевыпустит, если у всех будет написано в кондуите, что человек подписывает всякий трэш и вообще фродстер? Просто ему никто доверять не будет. А так пусть выпускает, может, даже убедит кого.

> В отличие от простого и банального доверия - ключам, а не подписям
> на них.

Ага, всем ста миллиардам.

Ответить | Правка | Наверх | Cообщить модератору

105. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от пох. (?), 01-Июн-20, 13:50 
> Имеется в виду HSTS что ли?

ты не в теме - совсем.

>> проверю сертификат по другим каналам.
> Ты и полтора анононимуса.

certpatrol был скачан многие сотни тысяч раз.

> Ничего себе! Разъсните мне, как это получается? Как его можно потерять один раз, я понимаю --
> скажем, пришли "маски шоу" и отняли волшебную флешку.

и что им мешает приходить раз в неделю, если первый раз прокатило?
(лень. Сам езди и привози обновления, раз такой умный. Не приедешь - придут.)

У тебя совершенно фантазийная модель угроз. В реальной жизни они совершенно другие.

> Так и у васянов хосты говно 99%.

у тебя фантазийная модель угроз.

> Ну и что в этом плохого?

в этом - ничего. В сертификате ca с валидностью хоть 1000 лет - тоже.

> Как, блин, чего? Что значит "обналичить".

если я украл ключи от твоей квартирки - наверное, я хочу их применить по назначению? Ну так зачем откладывать, пока ты ключ сменишь? Обнесу, пожалуй, прямо сразу.

>> В отличие от простого и банального доверия - ключам, а не подписям
> Ага, всем ста миллиардам.

мне не нужны стомиллиардов. Мне нужно меньше десятка (и это меньше чем напиханных в браузер ненужно-CA)

Ответить | Правка | Наверх | Cообщить модератору

106. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от Lockywolf (ok), 01-Июн-20, 14:17 
> ты не в теме - совсем.

Ну так расскажи мне. Иначе зачем вообще было ввязываться в трэд. Мне интересно, что я упускаю.

> certpatrol был скачан многие сотни тысяч раз.

Это копейки раз.

> и что им мешает приходить раз в неделю, если первый раз прокатило?

А то, что её там не будет. Один раз нормально попасться в ловушку одного типа, два уже собственная ошибка.

> (лень. Сам езди и привози обновления, раз такой умный. Не приедешь -
> придут.)

С таким вообще ничего не сделать.

> У тебя совершенно фантазийная модель угроз. В реальной жизни они совершенно другие.

И какие же? Мне правда интересно. Обещаю обновить свою модель угроз.

>> Так и у васянов хосты говно 99%.
> у тебя фантазийная модель угроз.

У васянов хорошие хосты?

> в этом - ничего. В сертификате ca с валидностью хоть 1000 лет
> - тоже.

Кроме списков отзыва на триллионы штук. И потери доверия к сертификатам.


> если я украл ключи от твоей квартирки - наверное, я хочу их
> применить по назначению? Ну так зачем откладывать, пока ты ключ сменишь?
> Обнесу, пожалуй, прямо сразу.

У тебя фантазийная модель угроз. Вернее не фантазийная конечно, но слишком узкая. Потерять дневной лимит по карте не страшно.

> мне не нужны стомиллиардов. Мне нужно меньше десятка (и это меньше чем
> напиханных в браузер ненужно-CA)

Ради своих 9 штук можешь вручную добавить доверие. Если что, пересобрав браузер и сервера своих 9 друзей.

Ответить | Правка | Наверх | Cообщить модератору

82. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +1 +/
Сообщение от Аноним (81), 31-Май-20, 21:11 
> Нет подключения к интернету -- нет проблемы.

А если еще компьютер не включать... :)

> А вообще, вся эта X.509 система -- какое-то адское нагромождение костылей.

Оно не может быть секурно - by design.

Ответить | Правка | К родителю #66 | Наверх | Cообщить модератору

97. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от Аноним (97), 01-Июн-20, 10:05 
Ребят не в курсе как на alpine linux 3.7 это пофиксить, серт закомментировал, но обновить не могу (

bash-4.4# update-ca-certificates -f -v
WARNING: ca-certificates.crt does not contain exactly one certificate or CRL: skipping

Ответить | Правка | Наверх | Cообщить модератору

116. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +1 +/
Сообщение от Аноним (116), 01-Июн-20, 17:25 
Спокойно, качаем Windows 10, устанавливаем и пользуемся нормальной системой
Ответить | Правка | Наверх | Cообщить модератору

128. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от Аноним (-), 02-Июн-20, 13:15 
> Спокойно, качаем Windows 10, устанавливаем и пользуемся нормальной системой

Поимев еще рекламу в тривиальных играх и кейлоггера в комплекте. Майкрософт, вы лохи - майнер встроить забыли!

Ответить | Правка | Наверх | Cообщить модератору

100. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от Аноним (100), 01-Июн-20, 10:34 
Решение. Скриптом костыль для клиента.
sed 's/mozilla\/AddTrust_External_Root.crt//g' -i /etc/ca-certificates.conf
ls -l /etc/ssl/certs/ | grep AddTrust_External | awk '{print $9}' | while read bad_cert; do rm -f /etc/ssl/certs/$bad_cert; done
update-ca-certificates -f -v
Ответить | Правка | Наверх | Cообщить модератору

101. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +1 +/
Сообщение от Аноним (101), 01-Июн-20, 11:03 
По нормальному это демон системы должен отстреливать или сыпать в логи информацию. На деле продолжаем пользоваться просроченным сертификатом
Ответить | Правка | Наверх | Cообщить модератору

121. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от пох. (?), 01-Июн-20, 22:28 
> По нормальному это демон системы должен отстреливать или сыпать в логи информацию.

https://www.opennet.ru/openforum/vsluhforumID3/120795.html#116
и да, в б-жественной десяточке есть такой, хм, демон.
А в юниксе предполагалось что есть админ, но это давно было. Теперь он обычный пользователь, которому нельзя доверить ничего самому решать.
> На деле продолжаем пользоваться просроченным сертификатом

не продолжаем, ничего ж не работает.

Ответить | Правка | Наверх | Cообщить модератору

122. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  –1 +/
Сообщение от й (?), 01-Июн-20, 23:54 
systemd-ca нужен
Ответить | Правка | Наверх | Cообщить модератору

123. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от пох. (?), 02-Июн-20, 00:26 
запилишь фичреквест?
Я уверен, это не закроют с notabug - нужным и полезным предложениям там всегда рады.

Надо только придумать, как сделать его неотключаемым ("как в винде", разумеется)

Ответить | Правка | Наверх | Cообщить модератору

102. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +2 +/
Сообщение от pontiy_pilat1 (ok), 01-Июн-20, 11:42 
Однострочник для ubuntu:
sed -i 's/mozilla\/AddTrust_External_Root.crt/!mozilla\/AddTrust_External_Root.crt/' /etc/ca-certificates.conf && update-ca-certificates
Ответить | Правка | Наверх | Cообщить модератору

111. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от InuYasha (?), 01-Июн-20, 16:36 
Диаграмма с красными подчёркиваниями доставляет )

PS: спасибо что напомнили обновить сертификаты )

Ответить | Правка | Наверх | Cообщить модератору

135. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от Девочка (?), 06-Июн-20, 19:02 
У меня из-за этого долбанного сертификата Figma не работает. Как решить проблему с сертификатом на windows 10?
Ответить | Правка | Наверх | Cообщить модератору

136. "Устаревание корневого сертификата AddTrust привело к сбоям в..."  +/
Сообщение от Аноним (32), 08-Июн-20, 15:14 
в debiane 10 новый пакет прилетел

Start-Date: 2020-06-08  15:06:09
Upgrade: ca-certificates:amd64 (20190110, 20200601~deb10u1)
End-Date: 2020-06-08  15:06:17

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру