Пятница, 10 марта 2017 20:30

Restrict the set of WoSign/StartCom certs to the Alexa Top 1M

Оцените материал
(0 голосов)

Google Chrome, начиная с v.57.0.2987.21beta больше не принимает сертификаты WoSign и StartCom для сайтов, не входящих в первый миллион по рейтингу Alexa.

St.Petersburg, Kazan Square
St.Petersburg, Kazan Square

 

Хм... да, китайцы из Wosign, походу, наконец довыё... т.е. я хотел сказать, допрыгались. Так будет звучать вполне ведь политесно, не правда ли? - ну, а как еще охарактеризовать сыр-бор, произошедший вокруг WoSign и StarCom в прошлом году, причем отголоски анекдотичной этой истории актуальны, ни больше ни меньше, буквально по сию пору: не далее как вчера (см. дату публикации материала) google-chrome-stable на моей Fedora 25 в очередной раз обновился из гугловских же репозиториев, аккурат сразу после чего наотрез отказался считать честно полученный в прошлом году free sertificate WoSign за валидный. Причем, прошу обратить внимание, сертификат был получен задолго до 21 октября 2016 года, являющейся, если верить аннотации Google, некоей точкой отсчета:

 

Beginning with Chrome 56, certificates issued by WoSign and StartCom after October 21, 2016 00:00:00 UTC will not be trusted. Certificates issued before this date may continue to be trusted, for a time, if they comply with the Certificate Transparency in Chrome policy or are issued to a limited set of domains known to be customers of WoSign and StartCom.

Due to a number of technical limitations and concerns, Google Chrome is unable to trust all pre-existing certificates while ensuring our users are sufficiently protected from further misissuance. As a result of these changes, customers of WoSign and StartCom may find their certificates no longer work in Chrome 56.

In subsequent Chrome releases, these exceptions will be reduced and ultimately removed, culminating in the full distrust of these CAs. This staged approach is solely to ensure sites have the opportunity to transition to other Certificate Authorities that are still trusted in Google Chrome, thus minimizing disruption to users of these sites. Sites that find themselves on this whitelist will be able to request early removal once they’ve transitioned to new certificates. Any attempt by WoSign or StartCom to circumvent these controls will result in immediate and complete removal of trust.

 

Как выяснилось, новенькая версия Google Chrome 57.0.2987.98 теперь уже попросту отказывается принимать сертификаты WoSign и StartCom для сайтов, не входящих в первый миллион по рейтингу Alexa, во как. Увы, все правильно: "в последующих выпусках Chrome эти исключения будут уменьшаться и в конечном счете удаляться, что приведет в итоге к полному недоверию к этим CA." Так что, пришлось, пока суть да дело, обратиться к передовым и новейшим технологиям, объединенным названием Let’s Encrypt... что оказалось совсем несложным делом, рекомендую:

 

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
./certbot-auto certonly --authenticator manual

 

Далее следуем инструкциям приложения: указываем названия доменов, соглашаемся с сохранением ip в логах Let's Encrypt, подтверждаем владение доменами, и... получаем готовый сертификат сроком на три месяца, по истечении которых (или чуть ранее) процедуру придется повторить - в ручном либо автоматическом режиме. Ну, что делать? - не очень удобно, зато халява, не хуже чем у китайцев...

Последнее изменениеВоскресенье, 21 мая 2017 10:28

Оставить комментарий

Добавьте ваш комментарий

Web Development Masterpro

Read more