¿Qué CA emite actualmente certificados para los sitios de Wikipedia?

5

¿Qué CA emite actualmente certificados para los sitios de Wikipedia? ¿Hay dos o más CA diferentes que emiten certificados para *.wikipedia.org ?

En un período corto (menos de media hora), noté certificados para Wikipedia emitidos por dos CA diferentes (GlobalSign y DigiCert). No sé mucho acerca de los certificados, así que estoy preguntando aquí.

Puedo recordar que durante algún tiempo los certificados de los sitios de Wikipedia fueron emitidos por GlobalSign. Estoy usando Firefox, y el año pasado o dos, cuando hice clic en el candado verde en la barra de direcciones, siempre mostraba Verified by: GlobalSign nv-sa . Hace unas horas, mientras navegaba en Wikipedia desde mi casa, abrí otra página en una nueva pestaña. Me pareció que la página se cargó de forma incompleta y luego dejó de cargarse y se volvió a cargar. Hice clic en el bloqueo verde y esta vez mostró Verified by: DigiCert Inc . Sin embargo, no estoy seguro de haber visto Verified by: GlobalSign anteriormente en la misma sesión.

Cerré todas las pestañas, borré el historial y el caché y reinicié el navegador. Cuando ingresé enlace en la barra de direcciones, el navegador se negó a abrirlo y mostró una página de error con el mensaje de que hay algún problema con el certificado. No recuerdo cuál era el mensaje de error exacto). Visité algunos otros sitios y no noté ningún problema, luego reinicié Firefox nuevamente y esta vez pude abrir enlace . El certificado fue emitido por DigiCert. Pensé que si la CA de Wikipedia cambiaba, entonces debería haber algo sobre esto en la web y buscar un poco en Google, pero no encontró nada relevante.

Abrí TBB y navegué en Wikipedia por unos minutos y el emisor fue DigiCert. En algún momento abrí otra pestaña y noté que el emisor era GlobalSign nv-ca nuevamente. Ahora tengo TBB abierto con dos pestañas; al hacer clic en el signo de bloqueo verde en una pestaña, se muestra Verified by: DigiCert Inc , y en otra pestaña Verified by: GlobalSign nv-sa (vea a continuación para obtener más detalles diferentes de estas dos pestañas). Supongo que esto podría deberse a un cambio en el relé de salida.

Encontré esta pregunta que parece estar relacionada de alguna manera.

¿Puede alguien explicar lo que podría estar pasando? ¿Cambió la CA de Wikipedia recientemente o está cambiando actualmente? ¿Hay algo de qué preocuparse?

Detalles de las dos pestañas en TBB:

Tab 1:

Issued To
  Serial Number: 05:A9:5C:0D:34:A8:31:F3:7F:8A:5F:72:9C:C2:3C:74
Issued By
  CN: DigiCert SHA2 High Assurance Server CA
  O:  DigiCert Inc
  OU: www.digicert.com
Period of Validity
  Begins On    19 Dec 2016
  Expires On   3 Jan 2018
Fingerprints
  SHA-256: E8:04:B7:5C:F2:B5:0B:1F:41:EE:B1:BB:90:81:17:8D:86:86:3F:93:25:3D:10:0D:85:8D:FB:3D:51:20:B8:6B
  SHA1:    1B:27:6F:BE:CD:10:49:C8:F2:F1:72:C8:40:99:D2:19:25:78:B9:9C
Certificate Hierarchy:
  DigiCert High Assurance EV Root CA
    DigiCert SHA2 High Assurance Server CA
      *.wikipedia.org

Tab 2:

Issued To
  Serial Number: 10:E6:FC:62:B7:41:8A:D5:00:5E:45:B6
Issued By
  CN: GlobalSign Organization Validation CA - SHA256 - G2
  O:  GlobalSign nv-sa
  OU: <Not Part Of Certificate>
Period of Validity
  Begins On:  21 Nov 2016
  Expires On: 22 Nov 2017
Fingerprints:
  SHA-256: 05:7A:A6:B4:58:FD:66:B7:F1:A0:72:2B:2E:0C:9E:08:BE:A1:76:6C:77:85:43:C0:99:01:7F:61:FF:65:7F:7E
  SHA1:    58:66:84:EF:77:3E:A0:B8:5F:23:38:73:CB:46:10:E8:D0:E0:8C:B3
Certificate Hierarchy:
  GlobalSign
    GlobalSign Organization Validation CA - SHA256 - G2
      *.wikipedia.org
    
pregunta guest231321547 06.01.2017 - 01:01
fuente

1 respuesta

8

Hay una tarea en curso en Wikimedia para usar dos CA independientes:

  

Esto originalmente estaba en nuestro radar a largo plazo como parte del (PK-PKP: T92002). El reciente problema de GlobalSign ha resaltado la necesidad de dividir esto como una acción de mayor prioridad que deberíamos tomar independientemente de eso.

     

Necesitamos obtener nuestro certificado "unificado" de dos proveedores con el mismo conjunto de SAN, tanto en formato ECC como RSA. Idealmente, el tiempo de renovación anual para cada uno debería ser al menos ligeramente compensado (¿~ 1 mes?). Vamos a personalizar el despliegue de ambas claves en todos los clústeres de caché, incluida la captura de datos en vivo de OCSP desde cualquier lugar.

     

Nos convertiremos en titulares de manera tal que los certificados de VendorA estén activos en un conjunto de centros de datos y los VendorB's estén activos en otro en condiciones normales. Con ambos en uso activo, nos aseguraremos de que normalmente ambos funcionen correctamente en detalles finos como compatibilidad de navegador, OCSP, PKP, etc. Al dividir en regiones (en lugar de otras divisiones arbitrarias), generalmente evitamos problemas con clientes individuales rebotar entre dos certificados dispares y el efecto que puede tener en cuestiones relacionadas con el rendimiento.

En 5 de enero (hoy), se implementó un cambio para usar ambos certificados en circunstancias normales:

  

Ahora están implementados (digicert en esams, globalsign en otro lugar). Pendiente de cerrar esto hasta que documentemos el apagado de cualquiera de los certificados ...

En resumen: sí, esto es esperado y no es indicativo de un problema.

    
respondido por el Xiong Chiamiov 06.01.2017 - 01:46
fuente

Lea otras preguntas en las etiquetas