форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В Firefox 36 будет прекращена поддержка сертификатов на осно..."	+/–
Сообщение от opennews (??) on 29-Янв-15, 11:24
Разработчики Mozilla сообщили (https://blog.mozilla.org/security/2015/01/28/phase-2-phasing.../) о переходе к второй фазе прекращения поддержки сертификатов на основе 1024-разрядных ключей RSA, безопасность которых в ближайшем будущем находится под вопросом, с учётом роста вычислительной мощности современных компьютерных систем. Начиная с запланированного на 24 февраля выпуска Firefox 36 подобные сертификаты будут исключены из списка заслуживающих доверия корневых сертификатов, а связанные с ними цепочной доверия сайты будут помечены как незащищённые. В частности, будет удалён один корневой сертификат Verizon и четыре сертификата Symantec. Небезопасными также будут помечены сайты, сертификаты которых основаны на 1024-разрядных ключах RSA. Владельцам подобных сайтов следует пересоздать сертификат с ключом, размером 2048 бит. Проведённое в сентябре прошлого года исследования показало (https://community.rapid7.com/community/infosec/sonar/blog/20...), что в сети находится примерно 30 тысяч сайтов с действующими сертификатами на основе 1024-разрядных ключей RSA. Напомним, что организация NIST объявила устаревшими 1024-разрядные ключи RSA ещё в 2010 году и запретила их применение после 2013 года. URL: https://blog.mozilla.org/security/2015/01/28/phase-2-phasing.../ Новость: http://www.opennet.dev/opennews/art.shtml?num=41563
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "В Firefox 36 будет прекращена поддержка сертификатов на осно..."	+/–
Сообщение от Аноним (??) on 29-Янв-15, 11:24
> В частности, будет удалён один корневой сертификат Verizon и четыре > сертификата Symantec. Спонсор шоу - Verizon и Symantec, которые с удовольствием продадут новые сертификаты своим клиентам :).
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "В Firefox 36 будет прекращена поддержка сертификатов на осно..."	+1 +/–
	Сообщение от Stax (ok) on 29-Янв-15, 11:51
	Нормальные конторы (возможно, эти тоже, не проверял) меняют в такой ситуации бесплатно. Например, сертификаты, подписанные sha1 предлагали заменить на подписанные sha256 после того, как гугл и прочие объявили о пометке их как небезопасные в будущем.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "В Firefox 36 будет прекращена поддержка сертификатов на осно..."	–1 +/–
Сообщение от Аноним (??) on 29-Янв-15, 11:50
Если не доверять центрам сертификации (а настоящий параноик им доверять не будет никогда), то все сайты можно считать незащищёнными. Только certificate pinning спасёт мировую рев^W демократию.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "В Firefox 36 будет прекращена поддержка сертификатов на осно..."	+1 +/–
	Сообщение от Stax (ok) on 29-Янв-15, 11:54
	> Если не доверять центрам сертификации (а настоящий параноик им доверять не будет > никогда), то все сайты можно считать незащищёнными. > Только certificate pinning спасёт мировую рев^W демократию. Да не, web of trust решает. Встретиться вживую, попить пивка, обменяться сертификатами доверенных центров...
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	5. "В Firefox 36 будет прекращена поддержка сертификатов на осно..."	+/–
	Сообщение от Andrey Mitrofanov on 29-Янв-15, 12:45
	>web of trust решает. >обменяться сертификатами доверенных центров... Параграфы противоречат. Не?
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "В Firefox 36 будет прекращена поддержка сертификатов на осно..."	+/–
	Сообщение от Stax (ok) on 29-Янв-15, 12:56
	Не! Например, я заявляю: "отныне я выдаю настоящие сертификаты! проверяю клиентов лично! Качество гарантирую! Я доверенный центр X - довереннее некуда!". Выдал компании Y сертификат. К ней заходит клиент Z и видит - сертификат выписан лично X. Задумывается - а можно ли X доверять, вообще? Звонит мне. Я говорю - "не вопрос, приходи, расскажу что и как, пиво не забудь.". Клиент Z приходит ко мне, мы пьем пиво, беседуем, он видит меня - доверенный центр - лично, убеждается что я это я, что я весь такой доверенный и клиентов проверяю, он доволен, я дарю ему отпечаток своего ключа на память. Он вносит его в список доверенных центров и теперь с уверенностью доверяет сертификату компании Y. А если я выдам еще сертификат компании Y', то он будет уверен, что кому попало я сертификат не выдал бы, и ему тоже можно доверять. Он же мне доверяет. Мы же с ним пиво пили!
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "В Firefox 36 будет прекращена поддержка сертификатов на осно..."	+1 +/–
	Сообщение от КО on 29-Янв-15, 13:25
	На самом деле все доверяют X не из-за того, что с ним пиво пили, а потому, что Y заплатил X за то, что X порекомендует Y, ну и x, наверное, поделился деньгами с тем, кто рекомендавал X Вам. :)
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	13. "В Firefox 36 будет прекращена поддержка сертификатов на осно..."	+/–
	Сообщение от Аноним (??) on 31-Янв-15, 16:11
	Если каждый клиент, открывающий по https посещаемый сайт будет пить с тобой пиво, у тебя печень выдержит?
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	11. "В Firefox 36 будет прекращена поддержка сертификатов на осно..."	+1 +/–
	Сообщение от Аноним (??) on 30-Янв-15, 11:56
	BPWoT (Beer Powered Web of Trust).
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "В Firefox 36 будет прекращена поддержка сертификатов на осно..."	+/–
Сообщение от Ilya Indigo (ok) on 29-Янв-15, 21:24
>Владельцам подобных сайтов следует пересоздать сертификат с ключом, размером 2048 бит. Почему сразу не 4096 бит?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	9. "В Firefox 36 будет прекращена поддержка сертификатов на осно..."	+/–
	Сообщение от twilight (ok) on 30-Янв-15, 03:52
	однако экспортные ограничения.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "В Firefox 36 будет прекращена поддержка сертификатов на осно..."	+/–
	Сообщение от Аноним (??) on 30-Янв-15, 06:48
	Экспортные ограничения и так сильно ниже, чем любые современные способы шифрования. 4096 не применяется по той простой причине, что 2048 в большинстве случаев достаточно.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	12. "В Firefox 36 будет прекращена поддержка сертификатов на осно..."	+/–
	Сообщение от Ilya Indigo (ok) on 30-Янв-15, 15:47
	> Экспортные ограничения и так сильно ниже, чем любые современные способы шифрования. > 4096 не применяется по той простой причине, что 2048 в большинстве случаев > достаточно. 1024 в те времена тоже считали достаточным. А как же рассчитывается критерий достаточности?
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	14. "В Firefox 36 будет прекращена поддержка сертификатов на осно..."	+/–
	Сообщение от Аноним (??) on 01-Фев-15, 19:02
	>> Экспортные ограничения и так сильно ниже, чем любые современные способы шифрования. >> 4096 не применяется по той простой причине, что 2048 в большинстве случаев >> достаточно. > 1024 в те времена тоже считали достаточным. > А как же рассчитывается критерий достаточности? В связи с существованием SSL Bump и SNI весь HTTPS можно целиком считать незащищенным, вне зависимости от разрядности ключей и используемых пар Диффи-Хеллмана.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	15. "В Firefox 36 будет прекращена поддержка сертификатов на осно..."	+/–
	Сообщение от Chaser (??) on 16-Фев-15, 01:02
	> SSL Bump Что в нём особенного? Типичный MitM. Если у организатора self-signed сертификат, то юзер увидит. Если же CA в браузере юзера - то нет, но это фундаментальная проблема доверия CA. > SNI Что в этом плохого?
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема