Site icon Техномедиаресурс

Проблемы с сертификатом StartSSL

В конце 2016 года стало известно, что популярные браузеры с нового года перестанут доверительно относится к сайтам без SSL/TSL сертификата. В Google даже объявили, что сайты без сертификатов будут понижены в поиске, так как сайты с сертификатами будут иметь более высокий приоритет в выдаче.

И что? Все владельцы сайтов, заинтересованные в продвижении своих детищ, стали ставить бесплатные сертификаты SSL/TSL от StartSSL.com.

Но не тут то было.

Компания Mozilla предупредила пользователей о скорой утрате доверия к части сертификатов одного их крупнейших китайских удостоверяющих центров WoSign, а также скрыто купленного ими удостоверяющего центра StartCom. Начиная с Firefox 51, релиз которого намечен на 24 января 2017 года, сайты, использующие сертификаты WoSign и StartCom, выписанные после 21 октября 2016 года, будут помечаться как небезопасные.

Кроме того, будет прекращено доверие к ранее выписанным задним числом сертификатам WoSign и StartCom, использующим цифровые подписи на базе SHA-1. В дальнейшем планируется полностью удалить корневые сертификаты WoSign и StartCom, но время их удаления пока не определено и может быть соотнесено с планами по переводу клиентов на новые корневые сертификаты. При отсутствии действий по замене сертификатов, Mozilla оставляет за собой право удалить данные корневые сертификаты в любой момент после марта 2017 года.

Столь кардинальные меры в отношении удостоверяющих центров WoSign и StartCom приняты после выявления многочисленных нарушений. После того как для алгоритма SHA-1 был выявлен ускоренный метод подбора коллизий, в регламентирующие деятельность удостоверяющих центров документы были внесены изменения, предписывающие с 1 января 2016 года полностью прекратить использование SHA-1 при создании сертификатов. WoSign и StartCom нарушили данное предписание и продолжили использование SHA-1 для формирования сертификатов, выписывая их задним числом, а также игнорируя требования по окончанию срока действия подобных сертификатов.

Другим серьёзным нарушением стало получение WoSign полного контроля за другим удостоверяющим центром – StartCom, без раскрытия сведений о совершённой сделке. Mozilla требует информирования о поглощении удостоверяющих центров, но WoSign и StartCom продолжают отрицать факт поглощения, даже после демонстрации доказательств, свидетельствующих об обратном. В том числе выявлены факты использования WoSign инфраструктуры StartCom и перекрёстного утверждения сертификатов.

Источник: http://www.opennet.ru/opennews/art.shtml?num=45368

Opera и Chrome идут этим же путём.

Так что, всё таки придётся раскошелиться на сертификат от GoDaddy, например. Поскольку использование сертификатов от StartSSL может не только не дать положительного результата, но и загнать сайт на задворки выдачи. Так то.

Exit mobile version