The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В Firefox 36 будет прекращена поддержка сертификатов на осно..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Firefox 36 будет прекращена поддержка сертификатов на осно..."  +/
Сообщение от opennews (??) on 29-Янв-15, 11:24 
Разработчики Mozilla сообщили (https://blog.mozilla.org/security/2015/01/28/phase-2-phasing.../) о переходе к второй фазе прекращения поддержки сертификатов на основе 1024-разрядных ключей RSA, безопасность которых в ближайшем будущем находится под вопросом, с учётом роста вычислительной мощности современных компьютерных систем. Начиная с запланированного на 24 февраля выпуска Firefox 36 подобные сертификаты будут исключены из списка заслуживающих доверия корневых сертификатов, а связанные с ними цепочной доверия сайты будут помечены как незащищённые. В частности, будет удалён один корневой сертификат Verizon и четыре сертификата Symantec.


Небезопасными также будут помечены сайты, сертификаты которых основаны на 1024-разрядных ключах RSA. Владельцам подобных сайтов следует пересоздать сертификат с ключом, размером 2048 бит. Проведённое в сентябре прошлого года исследования показало (https://community.rapid7.com/community/infosec/sonar/blog/20...), что в сети находится примерно 30 тысяч сайтов с действующими сертификатами на основе 1024-разрядных ключей RSA. Напомним, что организация NIST объявила устаревшими 1024-разрядные ключи RSA ещё в 2010 году и запретила их применение после 2013 года.


URL: https://blog.mozilla.org/security/2015/01/28/phase-2-phasing.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=41563

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В Firefox 36 будет прекращена поддержка сертификатов на осно..."  +/
Сообщение от Аноним (??) on 29-Янв-15, 11:24 
> В частности, будет удалён один корневой сертификат Verizon и четыре
> сертификата Symantec.

Спонсор шоу - Verizon и Symantec, которые с удовольствием продадут новые сертификаты своим клиентам :).

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "В Firefox 36 будет прекращена поддержка сертификатов на осно..."  +1 +/
Сообщение от Stax (ok) on 29-Янв-15, 11:51 
Нормальные конторы (возможно, эти тоже, не проверял) меняют в такой ситуации бесплатно. Например, сертификаты, подписанные sha1 предлагали заменить на подписанные sha256 после того, как гугл и прочие объявили о пометке их как небезопасные в будущем.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "В Firefox 36 будет прекращена поддержка сертификатов на осно..."  –1 +/
Сообщение от Аноним (??) on 29-Янв-15, 11:50 
Если не доверять центрам сертификации (а настоящий параноик им доверять не будет никогда), то все сайты можно считать незащищёнными.

Только certificate pinning спасёт мировую рев^W демократию.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "В Firefox 36 будет прекращена поддержка сертификатов на осно..."  +1 +/
Сообщение от Stax (ok) on 29-Янв-15, 11:54 
> Если не доверять центрам сертификации (а настоящий параноик им доверять не будет
> никогда), то все сайты можно считать незащищёнными.
> Только certificate pinning спасёт мировую рев^W демократию.

Да не, web of trust решает. Встретиться вживую, попить пивка, обменяться сертификатами доверенных центров...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "В Firefox 36 будет прекращена поддержка сертификатов на осно..."  +/
Сообщение от Andrey Mitrofanov on 29-Янв-15, 12:45 
>web of trust решает.
>обменяться сертификатами доверенных центров...

Параграфы противоречат. Не?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "В Firefox 36 будет прекращена поддержка сертификатов на осно..."  +/
Сообщение от Stax (ok) on 29-Янв-15, 12:56 
Не!

Например, я заявляю: "отныне я выдаю настоящие сертификаты! проверяю клиентов лично! Качество гарантирую! Я доверенный центр X - довереннее некуда!".

Выдал компании Y сертификат. К ней заходит клиент Z и видит - сертификат выписан лично X. Задумывается - а можно ли X доверять, вообще? Звонит мне. Я говорю - "не вопрос, приходи, расскажу что и как, пиво не забудь.". Клиент Z приходит ко мне, мы пьем пиво, беседуем, он видит меня - доверенный центр - лично, убеждается что я это я, что я весь такой доверенный и клиентов проверяю, он доволен, я дарю ему отпечаток своего ключа на память.
Он вносит его в список доверенных центров и теперь с уверенностью доверяет сертификату компании Y.
А если я выдам еще сертификат компании Y', то он будет уверен, что кому попало я сертификат не выдал бы, и ему тоже можно доверять. Он же мне доверяет. Мы же с ним пиво пили!

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "В Firefox 36 будет прекращена поддержка сертификатов на осно..."  +1 +/
Сообщение от КО on 29-Янв-15, 13:25 
На самом деле все доверяют X не из-за того, что с ним пиво пили, а потому, что Y заплатил X за то, что X порекомендует Y, ну и x, наверное, поделился деньгами с тем, кто рекомендавал X Вам. :)
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

13. "В Firefox 36 будет прекращена поддержка сертификатов на осно..."  +/
Сообщение от Аноним (??) on 31-Янв-15, 16:11 
Если каждый клиент, открывающий по https посещаемый сайт будет пить с тобой пиво, у тебя печень выдержит?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "В Firefox 36 будет прекращена поддержка сертификатов на осно..."  +1 +/
Сообщение от Аноним (??) on 30-Янв-15, 11:56 
BPWoT (Beer Powered Web of Trust).
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "В Firefox 36 будет прекращена поддержка сертификатов на осно..."  +/
Сообщение от Ilya Indigo (ok) on 29-Янв-15, 21:24 
>Владельцам подобных сайтов следует пересоздать сертификат с ключом, размером 2048 бит.

Почему сразу не 4096 бит?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "В Firefox 36 будет прекращена поддержка сертификатов на осно..."  +/
Сообщение от twilight (ok) on 30-Янв-15, 03:52 
однако экспортные ограничения.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "В Firefox 36 будет прекращена поддержка сертификатов на осно..."  +/
Сообщение от Аноним (??) on 30-Янв-15, 06:48 
Экспортные ограничения и так сильно ниже, чем любые современные способы шифрования.
4096 не применяется по той простой причине, что 2048 в большинстве случаев достаточно.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "В Firefox 36 будет прекращена поддержка сертификатов на осно..."  +/
Сообщение от Ilya Indigo (ok) on 30-Янв-15, 15:47 
> Экспортные ограничения и так сильно ниже, чем любые современные способы шифрования.
> 4096 не применяется по той простой причине, что 2048 в большинстве случаев
> достаточно.

1024 в те времена тоже считали достаточным.
А как же рассчитывается критерий достаточности?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "В Firefox 36 будет прекращена поддержка сертификатов на осно..."  +/
Сообщение от Аноним (??) on 01-Фев-15, 19:02 
>> Экспортные ограничения и так сильно ниже, чем любые современные способы шифрования.
>> 4096 не применяется по той простой причине, что 2048 в большинстве случаев
>> достаточно.
> 1024 в те времена тоже считали достаточным.
> А как же рассчитывается критерий достаточности?

В связи с существованием SSL Bump и SNI весь HTTPS можно целиком считать незащищенным, вне зависимости от разрядности ключей и используемых пар Диффи-Хеллмана.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "В Firefox 36 будет прекращена поддержка сертификатов на осно..."  +/
Сообщение от Chaser (??) on 16-Фев-15, 01:02 
> SSL Bump

Что в нём особенного? Типичный MitM. Если у организатора self-signed сертификат, то юзер увидит. Если же CA в браузере юзера - то нет, но это фундаментальная проблема доверия CA.

> SNI

Что в этом плохого?

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру