Обратная сторона перехода на HTTPS

Вчера как гром среди ясного неба появилась новость о том, что свежевыпущенная версия Google Chrome 56 перестала доверять HTTPS сертификатам, выпущенными удостоверяющими центрами WoSign и StartCom.

Причем за пару дней до этого, столкнулся с тем, что новый Mozilla Firefox 51.0.1 тоже пошел в отказки и перестал у меня открывать некоторые сайты, выдавая ошибку сертификата. И пытаясь разобраться с которой я вышел на октябрьскую новость о том, что Firefox планирует забанить сертификаты WoSign и StartCom в новых версиях.

Довольно забавная новость заключается в том, что по мнению гуглеводов и мозилы – две алчных конторы выдавали сертификаты злодеям и прочей интернет нечисти, да к тому же генерили сертификаты задним числом для каких то сайтов и тем самым скомпрометировали себя. Поэтому всем советуют использовать Let’s Encrypt.

Но самый прикол, что помимо проблем с мобильными браузера, этот замечательный Let’s Encrypt невзначай отказался отзывать сертификаты, которые использовали вирусоклепатели для своих мальвар и по этому поводу был весьма значительный кипеж в конце 2015 года. Но, по счастливой случайности, в основных спонах Let’s Encrypt числятся Mozilla и Chrome, так что блокировка Let’s Encrypt за сотрудничество с хакерами не грозит.

Но при этом сама ситуация имеет очень неприятный душок, т.к два основных спона бесплатного удостоверяющего центра, выдавливают с рынка двух других бесплатных игроков, используя свое влияние на рынке бродилок, где они занимают от 70% до 80%.

То есть фактически Google, имеющий больше половины рынка браузеров, может самостятельно решать каким удостоверяющим центрам доверять, а каким нет. Собственно об этом я толковал, когда еще только начиналась ебля мозга с необходимостью HTTPS.

Пока все отлично вписывает в концепцию по которой гуглеводы сначала выдавят с рынка бесплатные аналоги, оставив только аффилированные с собой структуры; потом додавят платные центры и начнут ранжировать в зависимоси от трастовости сертификата. После чего можно будет начинать стричь купоны и со своих “бесплатных” удостоверяющих центров. К тому же, имея отличный инструмент манипуляции выдачей, путем отзыва сертификатов у неугодных, по тем или иным причинам, сайтов.

Так что, имхо, самая веселуха только начинается. Интересно, что придумают дальше. Хотя конечно хотелось бы верить, что это просто я паранойю.

З.Ы кстати, оказалось, что с неделю назад проблемы с кривыми сертификатами HTTPS были у одного из ведущих вендоров антивирусных продуктов Symantec, у которых сертификаты уже уходили в бан в 2015 году из-за того что несколько сотрудников, накосячив, выпустили внутренние вертификаты во внешний интернет.

9 Комментариев

  1. Dinin сказал:

    Та ну на… Факторов влияния и так хватает. Но еще один плюс к позиции гугла, причем глобальный. Просто если можно взять этот рынок под свой контроль- почему бы и не брать.

    [Reply]

    anchous Reply:

    если бы факторов хватало – гуглеводы бы не ссали в уши на счет того, что наличие хттпс является важным фактором ранжирования, пытаясь загнать на него всех поголовно.
    при том что:
    1. фактором ранжирования он не является
    2. безопасности добавляет с гулькинхер и скорее является плацебо, чем реально грейдом безопасности сайта
    3. сайту не работающему с персоналкой или платежными данными он не вперся от слова вообще
    4. положить сайт становится сильно проще

    ну и по мелочам в виде гемора вебмастеру и посетителю при перевыпуске сертификата, траты бабла или подобных траблов с халявными центрами, потери трафа при переезде и ты.ды

    [Reply]

  2. Сергей Виноградов сказал:

    Надо сказать, что у меня тоже паранойя была по поводу Mozilla. Но, кажется, оказалось, что они просто идиоты.

    Но, вообще говоря, сила корпораций, действительно, пугает. Какой-то хрыч может нассать чуть ли не буквально мне в тарелку с борщом.

    > 4. положить сайт становится сильно проще
    +

    > 2. безопасности добавляет с гулькинхер и скорее является плацебо, чем реально грейдом безопасности сайта

    1. https хорош тем, что провайдер и прочие засранцы не могут вставлять всё, что ни попадя, имея доступ к каналу связи.
    2. При использовании HPKP второе посещение сайта, всё же, значительно безопаснее первого в плане подлинности. Конечно, зависит от пользователя и разобраться там, отчего не грузится тяжело.
    3. Пароли тоже лучше передавать в закрытом виде. Правда вряд ли кто-то будет ломать канал связи, чтобы похитить логин с какого-нибудь форума с посещаемостью 5 человек в сутки, но всё же.
    4. Ну и вообще, чем больше шифрованного траффика – тем лучше. Так как большой объём неважной шифрованной информации маскирует небольшой объём важной, в том числе возможное использование мостов Тор.

    > при том что:
    Забыли ещё, что прослушивание траффика в целях отладки и проксирование траффика с его видоизменением на этапе прокси (Privoxy) является, фактически, не совсем возможным.

    [Reply]

    anchous Reply:

    Использование HPKP это палка о двух концах, ибо это фактически получается аналог канвасфингерпринта, позволяющий безусловно детектить систему, не смотря на средства анонимизации. Тем более, что все равно он подвержен MITM в той или иной мере. А тут уже вопрос в квалифицированности злоумышленника – если кто то загонится снифить траф, чтобы перехватить пароль к админке, то отдельный вопрос- хватит или нет его квалификации для взлома ssl сессии. Так что использование HTTPS это как раз такая защита от школохацкера.
    Тем более, что с последними веяниями паранойи, российские спецухи могут пойти по белорусскому варику- либо ты пользуешь хттпс с лицензированным, православным сертификатом от фэбосов, либо никак.

    [Reply]

  3. Сергей Виноградов сказал:

    > позволяющий безусловно детектить систему, не смотря на средства анонимизации

    Дороговато получится детектить такие вещи. На каждого пользователя нужно по отдельному сертификату и куча запросов. Это только для специального использования, явно, не рекламщиками, например. И вообще, не теми, кому не очень-очень надо взять конкретного человека.

    > Так что использование HTTPS это как раз такая защита от школохацкера.
    Ну да, я об этом и говорю. Только вот школохацкеру трудно будет траффик получить 🙂

    > либо ты пользуешь хттпс с лицензированным, православным сертификатом от фэбосов, либо никак.

    Да, вполне возможный вариант событий. Хотя иностранный VPN не через TLS эту проблему может решить. Пока не будут банить VPN-ы и Tor.

    [Reply]

    anchous Reply:

    ну канвас тоже не все пользуют, а тока те кому надо зарабатывать и не желателен мультиаккаунтинг. т.ч рекламщики, если захотят детектить юзверя, запросто войдут в состав тех кому надо, ибо это бабки.
    но будет забавно, кстати, если адсенс введет новое правило для вебмастеров публиковаться только на площадках с HTTPS ))

    [Reply]

  4. Сергей Виноградов сказал:

    А, кажется до меня дошло.
    Вы об этом?
    > https://xakep.ru/2015/10/29/hsts-and-hpkp-tracking/

    У меня, например, вообще не работает на моём браузере, т.к. в FireFox не реализовано report-uri (или как он там называется) в HPKP.

    [Reply]

  5. Сергей Виноградов сказал:

    > т.ч рекламщики, если захотят детектить юзверя, запросто войдут в состав тех кому надо, ибо это бабки.

    Canvas использовать легко, HPKP, при отсутствии реализации report-uri – почти невозможно при массовости.
    Так что рекламщики в HPKP пока ничего сделать не могут.

    [Reply]

    anchous Reply:

    ну про http/2 тоже, не так давно, говорили что пока не поддерживает

    [Reply]

Оставить комментарий