cat_mucius: (Default)
[personal profile] cat_mucius
Случайно обнаружил, что при заходе на https://wirade.ru с мобильника браузер гневно отвергает SSL-сертификат от StartCom.
Привинтил взамен новый от Let's Encrypt, должен обновляться автоматом каждые три месяца.

Люди с разными нестандартными платформами - мобильными, десктопными - сделайте одолжение, скажите, не выкидывает ли вам браузер предупреждалку на тему SSL, certificates и всё такое при заходе на сайт.

Со Старткомом же произошла пренеприятная история. Это израильский CA был куплен другим CA, китайским WoSign. Это, конечно, может случиться с каждым, но к ним была выдвинута претензия, что о сделке они не сообщили публично. Очевидно, для CA, единственным товаром которого является его репутация, это серьёзное дело. Дальше - хуже, WoSign поймали на том, что какое-то количество сертификатов они подписали более ранним числом, чем когда они были выданы реально - чтобы браузеры не ругались на сайты их клиентов из-за использования устаревшего алгоритма SHA-1. Это, конечно, с подвигами TrustWave ни в какое сравнение не идёт, но тем не менее, и WoSign-у, и Старткому был объявлен интердикт: разом Эппл, Гугл и Мозилла забанили их сертификаты.

К большой моей печали, поскольку как раз эти двое были единственные, кто выдавал долгосрочные SSL-сертификаты забесплатно, то есть даром. Чем я с удовольствием пользовался, а теперь увы.

(Впрочем, обе конторы старательно делают вид, что ничего не происходит, business as usual. Стартком пообещал выкатить новый корневой сертификат, но не выкатил.)

Дополнительно меня напрягает, как именно этот бан был реализован. Не обычным выкидыванием корневого сертификата из доверенных или занесением его в untrusted (что, впрочем, Гуглу было бы проблемно реализовать: Chrome использует хранилища ключей Windows, а Микрософт к отлучению не присоединялся). А следующим образом: сертификаты, выданные до 21.10.2016 признаются легальными. А выданные позже - уже нет.

Это спасает большинство клиентов этих CA, заплативших за свои сертификаты, но это означает, что эта запретительная логика реализована в коде самих браузеров (Firefox 51, Chrome 56) и юзер над ней не властен. То есть хозяин компьютера или айтишник компании не может решить своей волей, что его браузеры будут всё-таки этим CA доверять - за него решение приняли большие компании, и override не предусмотрен. Тенденция эта, на мой взгляд, скверная.
From:
Anonymous( )Anonymous You may post here only if cat_mucius has given you access; posting by non-Access List accounts has been disabled.
OpenID
Identity URL: 
User
Account name:
Password:
If you don't have an account you can create one now.
Subject:
HTML doesn't work in the subject.

Message:

 
Notice: This account is set to log the IP addresses of everyone who comments.
Links will be displayed as unclickable URLs to help prevent spam.

Profile

cat_mucius: (Default)
cat_mucius

August 2017

S M T W T F S
  1234 5
678 9101112
131415161718 19
202122232425 26
27282930 31  

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Sep. 26th, 2017 06:08 pm
Powered by Dreamwidth Studios