From: Sergey Matveev Date: Sun, 9 Jul 2017 08:59:42 +0000 (+0300) Subject: Google/Mozilla не доверяют WoSign и StartCom X-Git-Url: http://www.git.stargrave.org/?a=commitdiff_plain;h=c1d991e20528f6b0e84b06cda975543a69a502d2;p=stargrave-blog.git Google/Mozilla не доверяют WoSign и StartCom http://www.opennet.ru/opennews/art.shtml?num=46823 https://habrahabr.ru/post/332672/ Крайне не нравятся мне эти две корпорации лицемеров и политиков. * WoSign/StartCom нарушали больше, недопустимее и хуже всех? Я помню что куда более крупные и брэндовые VeriSign/Comodo-ы (или кто-то из подобных крупных) выпускали сертификаты не честно (вроде на Google). К ним, значит, никаких претензий и наказаний? * Если все они из себя за правильность оценки качества работы CA, то какого чёрта доверие к сертификату учитывает его популярность в Alexa? Что за @#$%? По моему вообще нонсенс что безопасность зависит от популярности ресурса. Так чем же не угодили CACert (который раньше попал в "недоверяемые") и эти два CA? Тем что они выпускали бесплатно, мешали делать деньги из воздуха. Только вот не надо говорить что тут продажа доверия -- те кто оплошал, но является США-организацией, то тому всё-равно ничего не делается. Но, безусловно, основная причина это не то что мешают делать бизнес, а конечно же, вопрос контроля. К китайским компаниями силовые структуры США не могут прийти. А к Let's Encrypt, в котором 100500 мировых корпораций, само собой из США, без проблем. Кроме того, малое время жизни превращает LE сертификаты в нечто крайне малоюзабельное. В моём броузере делается certificate pinning и если сертификат изменился, то он меня спросит что делать дальше то? На многие многие сайты я захожу запросто с периодичностью в 90+ дней -- а это значит что каждый заход мне нужно принимать решение о доверии к сайту. По хорошему я что должен делать? Должен достучаться до него через Tor, должен поднять VPN до работы и из разных мест попытаться зайти, сравнивая тот ли мне сертификат суют? Однако это будет просто проверка на MitM. Никто не запрещает силовикам иметь доступ к приватному ключу. В идеале я должен послать бы OpenPGP почту до сайта и узнать его сертификат, постучаться в DANE DNSSEC-овский этого сайта, итд. LE, таким образом, превращает использование TLS соединений в некий ад. Представьте что каждое бы подключение имело свой новый уникальный сертификат? Они вынуждают забыть о pinning, а только и только доверять ихнему CA, которому я чисто политически и потому-что там 100500 корпораций просто не могу доверять. Мне часто многие пишут почему я не подниму у себя LE сертификаты. Основной довод: популярность, мол производители наших броузеров его CA в себя засунули. Ну ok -- политическое решение Mozilla и Google было таким. Мне то до него какое дело? Я вижу что решения они принимают лицемерно. Ну и мне очень, очень и очень не нравится ставить какой-то сторонний софт без надобности. Чтобы запросить себе сертификат и доказать владение доменом -- софт не нужен. Я не девочка-секретарша которая не в состоянии сделать запрос на сертификацию. Можно обойтись и без их софта, но это каждые 90 дней трахаться и геморроиться. LE: делает неюзабельным certificate pinning и усложняет администрирование. ---