URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 108771
[ Назад ]

Исходное сообщение
"Корневой сертификат Let's Encrypt принят в список доверия Mo..."
Отправлено opennews , 06-Авг-16 08:57

Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, сообщил (https://letsencrypt.org//2016/08/05/le-root-to-be-trusted-by...) о включении корневого сертификата проекта в список заслуживающих доверия сертификатов Mozilla. Обновлённый список корневых сертификатов станет доступен пользователям, начиная с Firefox 50.

Кроме Mozilla, заявки на включение в хранилище корневых сертификатов также ранее были отправлены компаниям Google, Microsoft и Apple, контролирующим разработку web-браузеров Chrome, IE/Edge и Safari, а также Oracle и Blackberry, в продуктах которых используются собственные списки доверительных сертификатов. После включения информации о корневом сертификате Let's Encrypt во все списки доверия, Let's Encrypt займёт место полноценного независимого удостоверяющего центра. Прогнозируется, что на создание и продвижение обособленного корневого сертификата может уйти от 3 до 6 лет.

До сих пор доверие к сертификатам Let's Encrypt обеспечивалось (https://www.opennet.me/opennews/art.shtml?num=42379) благодаря перекрёстному утверждению промежуточного сертификата Let's Encrypt сертификатом удостоверяющего центра IdenTrust, но сам корневой сертификат Let's Encrypt не входил в списки доверия. Включение корневого сертификата Let's Encrypt в списки доверия браузеров позволит избавиться от зависимости от стороннего удостоверяющего центра и снизить риски (например, в случае инцидента с безопасностью или закрытия компании, доверие к IdenTrust может быть прекращено).
URL: https://letsencrypt.org//2016/08/05/le-root-to-be-trusted-by...
Новость: http://www.opennet.me/opennews/art.shtml?num=44924

Содержание

Корневой сертификат Let's Encrypt принят в список доверия Mo...,X2asd, 08:57 , 06-Авг-16
- Корневой сертификат Let's Encrypt принят в список доверия Mo...,YetAnotherOnanym, 11:25 , 06-Авг-16
  - Корневой сертификат Let's Encrypt принят в список доверия Mo...,Аноним, 04:35 , 07-Авг-16
Корневой сертификат Let's Encrypt принят в список доверия Mo...,rm_, 10:12 , 06-Авг-16
Корневой сертификат Let's Encrypt принят в список доверия Mo...,pavlikvk, 11:41 , 06-Авг-16
- Корневой сертификат Let's Encrypt принят в список доверия Mo...,Andrey Mitrofanov, 12:06 , 06-Авг-16
Корневой сертификат Let's Encrypt принят в список доверия Mo...,Аноним, 13:42 , 06-Авг-16
- Корневой сертификат Let's Encrypt принят в список доверия Mo...,Max, 13:52 , 06-Авг-16
  - Корневой сертификат Let's Encrypt принят в список доверия Mo...,анананоним, 14:36 , 06-Авг-16
  - Корневой сертификат Let's Encrypt принят в список доверия Mo...,Анонимный Алкоголик, 19:08 , 08-Авг-16
- Корневой сертификат Let's Encrypt принят в список доверия Mo...,Аноним, 04:13 , 07-Авг-16
  - Корневой сертификат Let's Encrypt принят в список доверия Mo...,1, 15:10 , 08-Авг-16
    - Корневой сертификат Let's Encrypt принят в список доверия Mo...,opss.., 10:24 , 11-Авг-16
Корневой сертификат Let's Encrypt принят в список доверия Mo...,Кирилл72, 06:21 , 07-Авг-16
Корневой сертификат Let's Encrypt принят в список доверия Mo...,Аноним, 09:05 , 08-Авг-16

Сообщения в этом обсуждении

"Корневой сертификат Let's Encrypt принят в список доверия Mo..."
Отправлено X2asd , 06-Авг-16 08:57

> До сих пор доверие к сертификатам Let's Encrypt обеспечивалось благодаря перекрёстному утверждению промежуточного сертификата Let's Encrypt сертификатом удостоверяющего центра IdenTrust, но сам корневой сертификат Let's Encrypt не входил в списки доверия
Отличный бизнес! компании которые помогали появлению Letsencrypt -- теперь можно убрать с доски :-)

"Корневой сертификат Let's Encrypt принят в список доверия Mo..."
Отправлено YetAnotherOnanym , 06-Авг-16 11:25

Их все можно было убрать с доски после первого же инцидента с компрометацией корневого сертификата у любого из них.

"Корневой сертификат Let's Encrypt принят в список доверия Mo..."
Отправлено Аноним , 07-Авг-16 04:35

В этом смысле удивляет живучесть Комоды. Боюсь себе представить, сколько анусов они вылизали, чтобы остаться в бизнесе после такого провала.

"Корневой сертификат Let's Encrypt принят в список доверия Mo..."
Отправлено rm_ , 06-Авг-16 10:12

Всё норм, у WoSign так же с их бесплатными https://buy.wosign.com/free/
раньше они доверялись через StartCom, а в достаточно новых системах и браузерах добавили и их собственный корневой серт.

"Корневой сертификат Let's Encrypt принят в список доверия Mo..."
Отправлено pavlikvk , 06-Авг-16 11:41

> доверие к IdenTrust может быть прекращено
А есть доверие к удостоверяющему центру, который в принципе готов такие промежуточные сертификаты выпускать? Может их спецслужбы нагнут, либо кто-то отавилит деньжат они сделают дяде еще один такой сертификатик и будет дяде выпускать валидные сертификаты для google.com

"Корневой сертификат Let's Encrypt принят в список доверия Mo..."
Отправлено Andrey Mitrofanov , 06-Авг-16 12:06

>> доверие к IdenTrust может быть прекращено
> А есть доверие к удостоверяющему центру, который в принципе
Не, вот смотри:
"Кроме Mozilla, заявки на включение в хранилище корневых сертификатов также ранее были отправлены компаниям Google, Microsoft и Apple, [...] , а также Oracle и Blackberry."
-- кристальнейшие же "люди"!! Мы не можем сомневаться в этой Системе.
>Может их спецслужбы нагнут, либо кто-то отавилит деньжат они сделают дяде еще один такой

"Корневой сертификат Let's Encrypt принят в список доверия Mo..."
Отправлено Аноним , 06-Авг-16 13:42

теперь что бы получить сертификат на чужой домен - достаточно хакнуть его, получил себе сертификат и устраивай атаку man in the middle..

"Корневой сертификат Let's Encrypt принят в список доверия Mo..."
Отправлено Max , 06-Авг-16 13:52

Эм... Если сервак уже хакнут, нахрена париться с man in the middle?

"Корневой сертификат Let's Encrypt принят в список доверия Mo..."
Отправлено анананоним , 06-Авг-16 14:36

Ну как же. Чтобы избавиться от тараканов, надо поймать каждого и насыпать соли ему на хвост.

"Корневой сертификат Let's Encrypt принят в список доверия Mo..."
Отправлено Анонимный Алкоголик , 08-Авг-16 19:08

> Эм... Если сервак уже хакнут, нахрена париться с man in the middle?
Ну скажем для удовольствия иметь заверение своих левых сертификатов Удостоверяющим Центром. Которые центры удостоверяют, что сертификаты не есть левые, и которые центры сами и должны нести ответственность по этому поводу того что они удостоверяют.
(примечание: крякнута может быть линия от сервера, не сам сервер).

"Корневой сертификат Let's Encrypt принят в список доверия Mo..."
Отправлено Аноним , 07-Авг-16 04:13

"теперь" :)
а раньше, типа, приватные ключи не на сервере лежали

"Корневой сертификат Let's Encrypt принят в список доверия Mo..."
Отправлено 1 , 08-Авг-16 15:10

сервер != домен

"Корневой сертификат Let's Encrypt принят в список доверия Mo..."
Отправлено opss.. , 11-Авг-16 10:24

Кстати, отличный кейс, любопыно был ли у них на форуме, надо проверить что ли, а то и предложить запатчить и заапдейтить, введя например механизм блокировки через какую нибудь запись TXT в DNS :)

"Корневой сертификат Let's Encrypt принят в список доверия Mo..."
Отправлено Кирилл72 , 07-Авг-16 06:21

Отличная новость.

"Корневой сертификат Let's Encrypt принят в список доверия Mo..."
Отправлено Аноним , 08-Авг-16 09:05

отлично, теперь в очереди https://bugzilla.mozilla.org/show_bug.cgi?id=647959