StartCom сертификат и FireFox

[helg]

Я использую startcom для генерации SSL сертификатов. Недавно с удивлением обнаружил, что последний сгенерированный сертификат не понимается свежим Firefox: по причине отзыва (revocation) браузером всех StartCom сертификатов, выпущенных после 21 октября 2016 года.

Вот тут про это подробнее: https://blog.mozilla.org/security/2016/ ... tificates/" onclick="window.open(this.href);return false;

То, что штатовские CA ключи обязаны сдавать "на хранение" - не требуется disclose. А что китайский CA дал денег южноафриканскому CA - это страшный криминал и повод отзыва сертификата. Впечатление, дело не в этой заковыке, а глубже. Неприятно, Firefox долгое время был приличным.

В середине июля истечёт Startcom-овский сертификат Привета. И из Firefox с новым сертификатом на форум тоже будет не зайти.

[uncle_Pasha]

В середине июля истечёт Startcom-овский сертификат Привета. И из Firefox с новым сертификатом на форум тоже будет не зайти.

Импортируйте Startcom root CA - и заходите.

Проблема не в том, что кто-то дал кому-то денег, а в том, что выпускали back-dated сертификаты.

[uncle_Pasha]

Да, и та же самая проблема скоро будет и в Хроме - с версии 56
https://security.googleblog.com/2016/10 ... rtcom.html" onclick="window.open(this.href);return false;

[helg]

Импортируйте Startcom root CA - и заходите.
Проблема не в том, что кто-то дал кому-то денег, а в том, что выпускали back-dated сертификаты.

Насколько я понял, ффоксы сказали (по ссылке в первом сообщении):

Distrust certificates with a notBefore date after October 21, 2016 which chain up to the following affected roots[..]

Указанная дата выбрана ффоксом, то есть она "захардкожена" в бинарнике. Рутовый сертификат при этом не отзыватся. Импортировать его смысла нет - он уже там лежит. Тот же Привет, у которого рут startcom-овский тот же самый, что и у сертификатов после указанной даты, нормально виден в новом ффоксе.

Иными словами, импортировать рута не поможет, надо патчить.

Да, если кипиш из-за того, что выпускали "back-dated" сертификаты, почему тогда не запретили именно "back-dated", со старыми датами начала валидного периода, а запретили только новые? Да и вообще, любой сертификат можно отозвать (revoke) онлайн, и не убивать CA. Уши войны с китайцами не предмет "хочу всё знать" торчат вовсю. Закочится это растаскиванием центра доверия PKI по разным углам.

[uncle_Pasha]

Да, если кипиш из-за того, что выпускали "back-dated" сертификаты, почему тогда не запретили именно "back-dated", со старыми датами начала валидного периода, а запретили только новые?

Потому, как такой authority не может называться trusted. Доверять более старым сертификатам - это послабление для неповинных клиентов, не более того.

[helg]

Да, если кипиш из-за того, что выпускали "back-dated" сертификаты, почему тогда не запретили именно "back-dated", со старыми датами начала валидного периода, а запретили только новые?

Потому, как такой authority не может называться trusted. Доверять более старым сертификатам - это послабление для неповинных клиентов, не более того.

Именно. Задачей было наказать CA, а не восстановить доверие клиентов к системе.

[uncle_Pasha]

Да, если кипиш из-за того, что выпускали "back-dated" сертификаты, почему тогда не запретили именно "back-dated", со старыми датами начала валидного периода, а запретили только новые?

Потому, как такой authority не может называться trusted. Доверять более старым сертификатам - это послабление для неповинных клиентов, не более того.

Именно. Задачей было наказать CA, а не восстановить доверие клиентов к системе.

А как еще можно восстановить доверие к системе, если не наказывать СА? Они не первые - можно вспомнить тех же DigiNotar, и думаю, что не последние.

[helg]

А как еще можно восстановить доверие к системе, если не наказывать СА?

Когда каждый год меняется список криптоалгоритмов, для которых ломалок нет в открытом доступе, доверия к системе нет. Стандартный ГОСТовский десятки лет стоит крепко, а весь этот новодел ломается на раз. Тут не просто впечатление, а полная уверенность в том, что дырки в алгоритмах закладываются, и без них алгоритму не выйти в капшифрование. Примерно как куклу-политика без хорошего компромата в надёжном шкафу продвигать не будут.

Проблема не в доверии, а что своими бизнес-войнами ломают у простых людей то, что работало.

[uncle_Pasha]

Проблема не в доверии, а что своими бизнес-войнами ломают у простых людей то, что работало.

Неприятно, конечно. Цены у них были весьма приличные. Возможно, они и выживут.
По крайней мере пытаются что-то сделать: https://startssl.com/NewsDetails?date=20160919" onclick="window.open(this.href);return false;
Через пол-года будет видно.

[xKing]

NameCheap по $9 за домен берет если вдруг кому нужно

[helg]

NameCheap по $9 за домен берет если вдруг кому нужно

Да можно и бесплатно сейчас найти. Толку-то. Если не пасти ежедневно всю эту SSL-политику, отзовут или ещё как сломают в самый неподходящий момент.

[xKing]

А где ещё беслплатно? (Let's Encrypt не считаем)

[Flash-04]

такой не пробовали?
https://www.sslforfree.com/" onclick="window.open(this.href);return false;

[xKing]

ды к это ж Let's Encrypt - у них какой-то там гемор с установкой их клиента который чуть ли ни каждые 3 мес этот сертификат сам обновляет, а я сторонний софт не люблю категорически