The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Корневой сертификат Let's Encrypt принят в список доверия Mozilla

06.08.2016 08:11

Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, сообщил о включении корневого сертификата проекта в список заслуживающих доверия сертификатов Mozilla. Обновлённый список корневых сертификатов станет доступен пользователям, начиная с Firefox 50.

Кроме Mozilla, заявки на включение в хранилище корневых сертификатов также ранее были отправлены компаниям Google, Microsoft и Apple, контролирующим разработку web-браузеров Chrome, IE/Edge и Safari, а также Oracle и Blackberry, в продуктах которых используются собственные списки доверительных сертификатов. После включения информации о корневом сертификате Let's Encrypt во все списки доверия, Let's Encrypt займёт место полноценного независимого удостоверяющего центра. Прогнозируется, что на создание и продвижение обособленного корневого сертификата может уйти от 3 до 6 лет.

До сих пор доверие к сертификатам Let's Encrypt обеспечивалось благодаря перекрёстному утверждению промежуточного сертификата Let's Encrypt сертификатом удостоверяющего центра IdenTrust, но сам корневой сертификат Let's Encrypt не входил в списки доверия. Включение корневого сертификата Let's Encrypt в списки доверия браузеров позволит избавиться от зависимости от стороннего удостоверяющего центра и снизить риски (например, в случае инцидента с безопасностью или закрытия компании, доверие к IdenTrust может быть прекращено).



  1. Главная ссылка к новости (https://letsencrypt.org//2016/...)
  2. OpenNews: Comodo пытается завладеть брендом Let's Encrypt
  3. OpenNews: В сервисе Let's Encrypt произошла утечка email-адресов части пользователей
  4. OpenNews: Некоммерческий удостоверяющий центр Let's Encrypt вышел из стадии бета-тестирования
  5. OpenNews: Некоммерческий удостоверяющий центр Let's Encrypt выпустил первый сертификат
  6. OpenNews: Некоммерческий удостоверяющий центр Let's Encrypt сформировал корневой сертификат
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/44924-letsencrypt
Ключевые слова: letsencrypt, cert, crypt, ssl
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (15) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, X2asd (ok), 08:57, 06/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    > До сих пор доверие к сертификатам Let's Encrypt обеспечивалось благодаря перекрёстному утверждению промежуточного сертификата Let's Encrypt сертификатом удостоверяющего центра IdenTrust, но сам корневой сертификат Let's Encrypt не входил в списки доверия

    Отличный бизнес! компании которые помогали появлению Letsencrypt -- теперь можно убрать с доски :-)

     
     
  • 2.3, YetAnotherOnanym (ok), 11:25, 06/08/2016 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Их все можно было убрать с доски после первого же инцидента с компрометацией корневого сертификата у любого из них.
     
     
  • 3.10, Аноним (-), 04:35, 07/08/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В этом смысле удивляет живучесть Комоды. Боюсь себе представить, сколько анусов они вылизали, чтобы остаться в бизнесе после такого провала.
     

  • 1.2, rm_ (ok), 10:12, 06/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Всё норм, у WoSign так же с их бесплатными https://buy.wosign.com/free/
    раньше они доверялись через StartCom, а в достаточно новых системах и браузерах добавили и их собственный корневой серт.
     
  • 1.4, pavlikvk (?), 11:41, 06/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > доверие к IdenTrust может быть прекращено

    А есть доверие к удостоверяющему центру, который в принципе готов такие промежуточные сертификаты выпускать? Может их спецслужбы нагнут, либо кто-то отавилит деньжат они сделают дяде еще один такой сертификатик и будет дяде выпускать валидные сертификаты для google.com

     
     
  • 2.5, Andrey Mitrofanov (?), 12:06, 06/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> доверие к IdenTrust может быть прекращено
    > А есть доверие к удостоверяющему центру, который в принципе

    Не, вот смотри:

    "Кроме Mozilla, заявки на включение в хранилище корневых сертификатов также ранее были отправлены компаниям Google, Microsoft и Apple, [...] , а также  Oracle и Blackberry."

    -- кристальнейшие же "люди"!! Мы не можем сомневаться в этой Системе.

    >Может их спецслужбы нагнут, либо кто-то отавилит деньжат они сделают дяде еще один такой

     

  • 1.6, Аноним (-), 13:42, 06/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    теперь что бы получить сертификат на чужой домен - достаточно хакнуть его, получил себе сертификат и устраивай атаку man in the middle..
     
     
  • 2.7, Max (??), 13:52, 06/08/2016 [^] [^^] [^^^] [ответить]  
  • +15 +/
    Эм... Если сервак уже хакнут, нахрена париться с man in the middle?
     
     
  • 3.8, анананоним (?), 14:36, 06/08/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Ну как же. Чтобы избавиться от тараканов, надо поймать каждого и насыпать соли ему на хвост.
     
  • 3.14, Анонимный Алкоголик (??), 19:08, 08/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Эм... Если сервак уже хакнут, нахрена париться с man in the middle?

    Ну скажем для удовольствия иметь заверение своих левых сертификатов Удостоверяющим Центром.  Которые центры удостоверяют, что сертификаты не есть левые, и которые центры сами и должны нести ответственность по этому поводу того что они удостоверяют.
    (примечание: крякнута может быть линия от сервера, не сам сервер).

     
  • 2.9, Аноним (-), 04:13, 07/08/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    "теперь" :)

    а раньше, типа, приватные ключи не на сервере лежали

     
     
  • 3.13, 1 (??), 15:10, 08/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    сервер != домен
     
     
  • 4.15, opss.. (?), 10:24, 11/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, отличный кейс, любопыно был ли у них на форуме, надо проверить что ли, а то и предложить запатчить и заапдейтить, введя например механизм блокировки через какую нибудь запись TXT в DNS :)
     

  • 1.11, Кирилл72 (?), 06:21, 07/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Отличная новость.
     
  • 1.12, Аноним (-), 09:05, 08/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    отлично, теперь в очереди https://bugzilla.mozilla.org/show_bug.cgi?id=647959
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру