Вчера как гром среди ясного неба появилась новость о том, что свежевыпущенная версия Google Chrome 56 перестала доверять HTTPS сертификатам, выпущенными удостоверяющими центрами WoSign и StartCom.
Причем за пару дней до этого, столкнулся с тем, что новый Mozilla Firefox 51.0.1 тоже пошел в отказки и перестал у меня открывать некоторые сайты, выдавая ошибку сертификата. И пытаясь разобраться с которой я вышел на октябрьскую новость о том, что Firefox планирует забанить сертификаты WoSign и StartCom в новых версиях.
Довольно забавная новость заключается в том, что по мнению гуглеводов и мозилы – две алчных конторы выдавали сертификаты злодеям и прочей интернет нечисти, да к тому же генерили сертификаты задним числом для каких то сайтов и тем самым скомпрометировали себя. Поэтому всем советуют использовать Let’s Encrypt.
Но самый прикол, что помимо проблем с мобильными браузера, этот замечательный Let’s Encrypt невзначай отказался отзывать сертификаты, которые использовали вирусоклепатели для своих мальвар и по этому поводу был весьма значительный кипеж в конце 2015 года. Но, по счастливой случайности, в основных спонах Let’s Encrypt числятся Mozilla и Chrome, так что блокировка Let’s Encrypt за сотрудничество с хакерами не грозит.
Но при этом сама ситуация имеет очень неприятный душок, т.к два основных спона бесплатного удостоверяющего центра, выдавливают с рынка двух других бесплатных игроков, используя свое влияние на рынке бродилок, где они занимают от 70% до 80%.
То есть фактически Google, имеющий больше половины рынка браузеров, может самостятельно решать каким удостоверяющим центрам доверять, а каким нет. Собственно об этом я толковал, когда еще только начиналась ебля мозга с необходимостью HTTPS.
Пока все отлично вписывает в концепцию по которой гуглеводы сначала выдавят с рынка бесплатные аналоги, оставив только аффилированные с собой структуры; потом додавят платные центры и начнут ранжировать в зависимоси от трастовости сертификата. После чего можно будет начинать стричь купоны и со своих “бесплатных” удостоверяющих центров. К тому же, имея отличный инструмент манипуляции выдачей, путем отзыва сертификатов у неугодных, по тем или иным причинам, сайтов.
Так что, имхо, самая веселуха только начинается. Интересно, что придумают дальше. Хотя конечно хотелось бы верить, что это просто я паранойю.
З.Ы кстати, оказалось, что с неделю назад проблемы с кривыми сертификатами HTTPS были у одного из ведущих вендоров антивирусных продуктов Symantec, у которых сертификаты уже уходили в бан в 2015 году из-за того что несколько сотрудников, накосячив, выпустили внутренние вертификаты во внешний интернет.
9 Комментариев
-
Dinin сказал:
Та ну на… Факторов влияния и так хватает. Но еще один плюс к позиции гугла, причем глобальный. Просто если можно взять этот рынок под свой контроль- почему бы и не брать.
[Reply]
-
Сергей Виноградов сказал:
Надо сказать, что у меня тоже паранойя была по поводу Mozilla. Но, кажется, оказалось, что они просто идиоты.
Но, вообще говоря, сила корпораций, действительно, пугает. Какой-то хрыч может нассать чуть ли не буквально мне в тарелку с борщом.
> 4. положить сайт становится сильно проще
+> 2. безопасности добавляет с гулькинхер и скорее является плацебо, чем реально грейдом безопасности сайта
1. https хорош тем, что провайдер и прочие засранцы не могут вставлять всё, что ни попадя, имея доступ к каналу связи.
2. При использовании HPKP второе посещение сайта, всё же, значительно безопаснее первого в плане подлинности. Конечно, зависит от пользователя и разобраться там, отчего не грузится тяжело.
3. Пароли тоже лучше передавать в закрытом виде. Правда вряд ли кто-то будет ломать канал связи, чтобы похитить логин с какого-нибудь форума с посещаемостью 5 человек в сутки, но всё же.
4. Ну и вообще, чем больше шифрованного траффика – тем лучше. Так как большой объём неважной шифрованной информации маскирует небольшой объём важной, в том числе возможное использование мостов Тор.> при том что:
Забыли ещё, что прослушивание траффика в целях отладки и проксирование траффика с его видоизменением на этапе прокси (Privoxy) является, фактически, не совсем возможным.[Reply]
anchous Reply:
February 5th, 2017 at 22:01Использование HPKP это палка о двух концах, ибо это фактически получается аналог канвасфингерпринта, позволяющий безусловно детектить систему, не смотря на средства анонимизации. Тем более, что все равно он подвержен MITM в той или иной мере. А тут уже вопрос в квалифицированности злоумышленника – если кто то загонится снифить траф, чтобы перехватить пароль к админке, то отдельный вопрос- хватит или нет его квалификации для взлома ssl сессии. Так что использование HTTPS это как раз такая защита от школохацкера.
Тем более, что с последними веяниями паранойи, российские спецухи могут пойти по белорусскому варику- либо ты пользуешь хттпс с лицензированным, православным сертификатом от фэбосов, либо никак.[Reply]
-
Сергей Виноградов сказал:
> позволяющий безусловно детектить систему, не смотря на средства анонимизации
Дороговато получится детектить такие вещи. На каждого пользователя нужно по отдельному сертификату и куча запросов. Это только для специального использования, явно, не рекламщиками, например. И вообще, не теми, кому не очень-очень надо взять конкретного человека.
> Так что использование HTTPS это как раз такая защита от школохацкера.
Ну да, я об этом и говорю. Только вот школохацкеру трудно будет траффик получить 🙂> либо ты пользуешь хттпс с лицензированным, православным сертификатом от фэбосов, либо никак.
Да, вполне возможный вариант событий. Хотя иностранный VPN не через TLS эту проблему может решить. Пока не будут банить VPN-ы и Tor.
[Reply]
anchous Reply:
February 6th, 2017 at 14:06ну канвас тоже не все пользуют, а тока те кому надо зарабатывать и не желателен мультиаккаунтинг. т.ч рекламщики, если захотят детектить юзверя, запросто войдут в состав тех кому надо, ибо это бабки.
но будет забавно, кстати, если адсенс введет новое правило для вебмастеров публиковаться только на площадках с HTTPS ))[Reply]
-
Сергей Виноградов сказал:
А, кажется до меня дошло.
Вы об этом?
> https://xakep.ru/2015/10/29/hsts-and-hpkp-tracking/У меня, например, вообще не работает на моём браузере, т.к. в FireFox не реализовано report-uri (или как он там называется) в HPKP.
[Reply]
-
Сергей Виноградов сказал:
> т.ч рекламщики, если захотят детектить юзверя, запросто войдут в состав тех кому надо, ибо это бабки.
Canvas использовать легко, HPKP, при отсутствии реализации report-uri – почти невозможно при массовости.
Так что рекламщики в HPKP пока ничего сделать не могут.[Reply]
anchous Reply:
February 8th, 2017 at 01:33ну про http/2 тоже, не так давно, говорили что пока не поддерживает
[Reply]
anchous Reply:
February 1st, 2017 at 19:10
если бы факторов хватало – гуглеводы бы не ссали в уши на счет того, что наличие хттпс является важным фактором ранжирования, пытаясь загнать на него всех поголовно.
при том что:
1. фактором ранжирования он не является
2. безопасности добавляет с гулькинхер и скорее является плацебо, чем реально грейдом безопасности сайта
3. сайту не работающему с персоналкой или платежными данными он не вперся от слова вообще
4. положить сайт становится сильно проще
ну и по мелочам в виде гемора вебмастеру и посетителю при перевыпуске сертификата, траты бабла или подобных траблов с халявными центрами, потери трафа при переезде и ты.ды
[Reply]