И еще про LetsEncrypt

Jan. 7th, 2016 06:43 pm
vitus_wagner: My photo 2005 (Default)
[personal profile] vitus_wagner
http://www.csoonline.com/article/3019991/security/malvertising-campaign-used-a-free-certificate-from-lets-encrypt.html

Тут вот разгорается некоторый скандал по поводу отказа Lets Encrypt отзывать сертификат у сайта, который распространяет malware.

Здесь я абсолютно согласен с Lets Encrypt - владельцы сертификата контролируют данный вебсайт? Контролируют. Значит сертификат им выдан абсолютно правильно.

А то для добрых или злых целей они используют этот сайт - это не дело удостоверяющего центра.
Tags:
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2016-01-07 04:59 pm (UTC)
From: [identity profile] beldmit.livejournal.com
Читаем документ: (https://cabforum.org/wp-content/uploads/Baseline_Requirements_V1_3_1.pdf)

Acknowledgment and Acceptance: An acknowledgment and acceptance that the CA is entitled to revoke the certificate immediately if the Applicant were to violate the terms of the Subscriber or Terms of Use Agreement or if the CA discovers that the Certificate is being used to enable criminal activities such as phishing attacks, fraud, or the distribution of malware.

Читаем про статус этого документа: (https://cabforum.org/about-the-baseline-requirements/)

The Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates describe a subset of the requirements that a certification authority must meet in order to issue digital certificates for SSL/TLS servers to be publicly trusted by browsers.

Делаем вывод: Let's Encrypt нарушают принятые на себя обязательства. Точнее, подставляют лавку, которая их кросс-сертификат подписала.

Date: 2016-01-07 05:06 pm (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
Вообще похоже что браузерная олигополия становится куда большим злом, чем все государственные цензуры вместе взятые.

Date: 2016-01-07 05:50 pm (UTC)
From: [identity profile] vladimir sumarov (from livejournal.com)
Я не очень знаком с применением слова entitled в таком контексте. Оно может иметь значение не просто давать возможность к чему либо но и обязывать это делать?

"is being used to enable criminal activities" можно ли считать что выданный сертификат делает возможным распространение malware?

Date: 2016-01-07 08:02 pm (UTC)
From: [identity profile] beldmit.livejournal.com
Google translate указывает на значение "уполномочен". Но да, MUST/SHALL в этом месте не написано.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

vitus_wagner: My photo 2005 (Default)
vitus_wagner
My Website

June 2025

S M T W T F S
1 234567
891011121314
15161718192021
22232425262728
2930     

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Jun. 3rd, 2025 08:17 pm
Powered by Dreamwidth Studios