Quale CA attualmente rilascia certificati per i siti di Wikipedia?

5

Quale CA attualmente rilascia certificati per i siti di Wikipedia? Esistono due o più CA diverse che rilasciano certificati per *.wikipedia.org ?

In un breve periodo (meno di mezz'ora), ho notato certificati rilasciati da due diverse CA (GlobalSign e DigiCert) per Wikipedia. Non ne so molto dei certificati, quindi ti sto chiedendo qui.

Posso ricordare che per qualche tempo i certificati per i siti di Wikipedia sono stati / sono stati emessi da GlobalSign. Sto usando Firefox, e l'anno scorso o due, quando ho cliccato sul blocco verde nella barra degli indirizzi, ha sempre visualizzato Verified by: GlobalSign nv-sa . Qualche ora fa, mentre sfogliavo Wikipedia da casa, ho aperto un'altra pagina in una nuova scheda. Mi è sembrato che la pagina fosse caricata in modo incompleto e poi si è fermata e ricaricata di nuovo. Ho fatto clic sul lucchetto verde e questa volta ha visualizzato Verified by: DigiCert Inc . Non sono sicuro di aver visto Verified by: GlobalSign prima nella stessa sessione, però.

Ho chiuso tutte le schede, cancellato la cronologia e la cache e riavviato il browser. Quando ho inserito link nella barra degli indirizzi, il browser ha rifiutato di aprirlo e ha visualizzato la pagina di errore con il messaggio che c'è qualcosa che non va nel certificato (lo faccio non ricordo quale fosse l'esatto messaggio di errore). Ho visitato alcuni altri siti e non ho notato alcun problema, quindi ho riavviato di nuovo Firefox e questa volta è stato in grado di aprire il link . Il certificato è stato rilasciato da DigiCert. Ho pensato che se la CA di Wikipedia fosse cambiata, ci sarebbe stato qualcosa sul web e un po 'su Google, ma non ha trovato nulla di rilevante.

Ho aperto TBB e ho sfogliato Wikipedia per alcuni minuti e l'emittente era DigiCert. A un certo punto ho aperto un'altra scheda e ho notato che l'emittente era nuovamente GlobalSign nv-ca. Ora ho aperto TBB con due schede; facendo clic sul segno di blocco verde in una scheda viene visualizzato Verified by: DigiCert Inc e in un'altra scheda Verified by: GlobalSign nv-sa (vedere sotto per ulteriori dettagli divergenti da queste due schede). Immagino che questo potrebbe essere dovuto alla modifica del relay di uscita.

Ho trovato questa domanda che sembra essere in qualche modo correlata.

Qualcuno può spiegare cosa potrebbe succedere? La CA di Wikipedia è cambiata di recente o sta cambiando attualmente? C'è qualcosa di cui preoccuparsi?

Dettagli delle due schede in TBB:

Scheda 1:

Issued To
  Serial Number: 05:A9:5C:0D:34:A8:31:F3:7F:8A:5F:72:9C:C2:3C:74
Issued By
  CN: DigiCert SHA2 High Assurance Server CA
  O:  DigiCert Inc
  OU: www.digicert.com
Period of Validity
  Begins On    19 Dec 2016
  Expires On   3 Jan 2018
Fingerprints
  SHA-256: E8:04:B7:5C:F2:B5:0B:1F:41:EE:B1:BB:90:81:17:8D:86:86:3F:93:25:3D:10:0D:85:8D:FB:3D:51:20:B8:6B
  SHA1:    1B:27:6F:BE:CD:10:49:C8:F2:F1:72:C8:40:99:D2:19:25:78:B9:9C
Certificate Hierarchy:
  DigiCert High Assurance EV Root CA
    DigiCert SHA2 High Assurance Server CA
      *.wikipedia.org

Scheda 2:

Issued To
  Serial Number: 10:E6:FC:62:B7:41:8A:D5:00:5E:45:B6
Issued By
  CN: GlobalSign Organization Validation CA - SHA256 - G2
  O:  GlobalSign nv-sa
  OU: <Not Part Of Certificate>
Period of Validity
  Begins On:  21 Nov 2016
  Expires On: 22 Nov 2017
Fingerprints:
  SHA-256: 05:7A:A6:B4:58:FD:66:B7:F1:A0:72:2B:2E:0C:9E:08:BE:A1:76:6C:77:85:43:C0:99:01:7F:61:FF:65:7F:7E
  SHA1:    58:66:84:EF:77:3E:A0:B8:5F:23:38:73:CB:46:10:E8:D0:E0:8C:B3
Certificate Hierarchy:
  GlobalSign
    GlobalSign Organization Validation CA - SHA256 - G2
      *.wikipedia.org
    
posta guest231321547 06.01.2017 - 01:01
fonte

1 risposta

8

C'è un'attività in corso su Wikimedia per utilizzare due CA distinte:

This was originally on our long-term radar as part of the (forever-stalled and in-discussion!) [H]PKP ticket: T92002 . The recent GlobalSign issue has highlighted the need to break this out as a higher-priority action we should take on independently of that.

We need to obtain our "unified" cert from two vendors with the same SAN set, in both ECC and RSA forms. Ideally the annual renewal time for each should be at least slightly offset (~1 month?). We'll puppetize the deployment of both keys to all of the cache clusters, including live OCSP staple fetching for both from everywhere.

We'll puppetize such that VendorA's certs are live in one set of datacenters and VendorB's are live in another under normal conditions. With both in active use, we'll be ensured they're both normally working properly on fine details like browser compatibility, OCSP, PKP, etc. By splitting on regions (rather than other arbitrary splits), we avoid issues with individual clients commonly bouncing between two disparate certs and the effect that may have on performance-related issues.

In 5 gennaio (oggi), è stata apportata una modifica per utilizzare entrambi i certificati in circostanze normali:

These are now deployed (digicert in esams, globalsign elsewhere). Pending closing this until we document switching off either of the certs...

Quindi in sintesi: sì, questo è previsto e non è indicativo di un problema.

    
risposta data 06.01.2017 - 01:46
fonte

Leggi altre domande sui tag