URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 102930
[ Назад ]

Исходное сообщение
"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."

Отправлено opennews , 06-Июн-15 09:07 
Развиваемый под эгидой организации Linux Foundation проект Let’s Encrypt (https://letsencrypt.org/), нацеленный на создание простого, общедоступного и контролируемого сообществом удостоверяющего центра, объявил (https://letsencrypt.org/2015/06/04/isrg-ca-certs.html) о создании корневого и промежуточного (https://en.wikipedia.org/wiki/Intermediate_certificate_autho... сертификатов, а также сертификатов, которые будут использоваться для формирования цифровых подписей для других сертификатов. Запуск сервиса запланирован на середину 2015 года, более точно дата старта будет объявлена в течение нескольких недель. В настоящее  время открытые ключи для корневого (https://letsencrypt.org/isrgrootx1.txt) и промежуточных (https://letsencrypt.org/letsencryptauthorityx1.txt) сертификатов (https://letsencrypt.org/letsencryptauthorityx2.txt) уже доступны для загрузки.


Для подписи пользовательских сертификатов будут применяться промежуточные сертификаты, которые кроме подписи корневым сертификатом Let's Encrypt также перекрёстно подписаны организацией IdenTrust. С одной стороны такой подход позволяет обезопасить корневой сертификат и напрямую его не использовать, разместив в offline-хранилище. С другой стороны, перекрёстное утверждение даст возможность принимать сертификаты Let's Encrypt в уже выпущенных браузерах до того, как информация о корневом сертификате Let's Encrypt будет добавлена браузерами в список заслуживающих доверия сертификатов. В настоящее время сгенерированы только RSA-ключи, в дальнейшем планируется создание и ключей ECDSA. Для хранения сертификатов задействован аппаратный HSM-модуль, отвечающий всем требованиям по защите ключей в удостоверяющих центрах.
<center><a href="https://letsencrypt.org/images/isrg-keys.png"><img src="http://www.opennet.me/opennews/pics_base/0_1433569678.png" style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border=0></a></center>


Проект Let's Encrypt основан при участии Electronic Frontier Foundation (EFF), Mozilla, Cisco, Akamai, Automattic, Identrust и Мичиганского университета, которые объединили свои усилия в области повышения безопасности Сети через повсеместное внедрение HTTPS. Для достижения данной цели планируется снять барьеры при получении SSL-сертификатов, сделав процедуру бесплатной, предельно простой (https://letsencrypt.org/howitworks/) и лишённой бюрократических проволочек при проверке владельца. Все операции по генерации и отзыву сертификатов будут проводиться публично и будут доступны для независимого инспектирования сообществом.

<center><a href="https://letsencrypt.org/images/howitworks_authorization.png&... src="http://www.opennet.me/opennews/pics_base/0_1416327607.png" style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border="0"></a></center>

Для прохождения верификации перед получением сертификата достаточно (https://letsencrypt.org/howitworks/technology/) будет продемонстрировать контроль над доменом через создание специальной записи на DNS-сервере или путём размещения файла с ключом на web-сервере. Все операции будут автоматизированы, на web-сервере можно будет запустить специальный скрипт, который сам выполнит обратную проверку и на выходе предоставит готовые сертификаты и инструкцию по их подключению. Операции по получению, настройке и обновлению сертификатов будут проводиться с использованием протокола ACME (https://github.com/letsencrypt/acme-spec), которому планируется придать статус открытого стандарта (RFC). Для тестирования доступны инструментарий (https://github.com/letsencrypt/lets-encrypt-preview) для серверов на базе Apache, компоненты (https://github.com/letsencrypt/boulder) удостоверяющего центра, а также клиентские и серверные модули (https://github.com/letsencrypt/node-acme) для Node.js


URL: https://letsencrypt.org/2015/06/04/isrg-ca-certs.html
Новость: http://www.opennet.me/opennews/art.shtml?num=42379


Содержание

Сообщения в этом обсуждении
"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено Нанобот , 06-Июн-15 09:07 
>сертификаты, которые кроме подписи корневым сертификатом Let's Encrypt также перекрёстно подписаны организацией IdenTrust

а разве один сертификат может быть одновременно подписан несколькими ключами?


"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено Sw00p aka Jerom , 06-Июн-15 13:20 
да, у pgp такое

"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено Аноним , 09-Июн-15 16:34 
> да, у pgp такое

У PKI тоже.


"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено анонимус , 06-Июн-15 09:29 
Офигеть, они наконец осилили openssl!

> В настоящее время сгенерированы только RSA-ключи, в дальнейшем планируется создание и ключей ECDSA.

Ну... Ещё не до конца, видимо.


"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено Kotan , 06-Июн-15 10:10 
Ты идиот? Думаешь, только в генерации ключа все проблемы?

"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено Аноним , 06-Июн-15 10:33 
В САШ ECDSA запатентован как-то, что затрудняет его СВОБОДНОЕ использование на их территории и в подконтрольных колониях.

"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено Аноним , 07-Июн-15 10:17 
Это АНБ попализирует ECDSA уязвимости в Китае и Росии для упрощения дешифрации.

»Сладок запретный плод»


"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено Аноним , 07-Июн-15 23:29 
>АНБ попализирует

Да ты поэт! :)


"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено YetAnotherOnanym , 06-Июн-15 10:42 
> Офигеть, они наконец осилили openssl!

Не только. Они, наконец-то, выпросили у спонсоров деньги на USB-токен.


"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено Аноним , 06-Июн-15 10:15 
>Для прохождения верификации перед получением сертификата достаточно будет продемонстрировать контроль над доменом

И зачем нужны сертификаты? Не для того ли, чтобы защититься от тех, кто "продемонстрировал контроль над доменом"?


"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено ЯЯ , 06-Июн-15 10:47 
Ты думаешь, что если ты в своей локалочке подменил DNS-записи это распространиться на весь интернет?

"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено mine , 07-Июн-15 19:29 
Он намекает на возможность взломать веб-сервер и продемонстрировать "владение". Правда, при этом и так получаешь ключ, так что...

ПС
В Аду тебя ждёт отдельная сковородка от граммар-наци.


"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено th3m3 , 06-Июн-15 12:55 
Скорее бы уже запустились.

"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено Аноним , 06-Июн-15 15:03 
Я джва года ждал…

"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено Kodir , 06-Июн-15 19:50 
Вот блин какой облом хапугам из коммерческих центров! Столько времени доить юзеров тупо на идее "на тебе сертификат, теперь юзеры могут доверять твоему домену".

"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено anonymous , 06-Июн-15 20:16 
Так уже есть. http://www.startssl.com/ - сертификат бесплатно без смс.

"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено SunXE , 08-Июн-15 11:07 
Умаешься для каждого поддомена отдельный ключик получать.

"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено example , 20-Июн-15 02:27 
Ну так скрипт напиши.

"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено Аноним , 06-Июн-15 20:52 
Путаешь теплое с мягким.

"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено Какаянахренразница , 06-Июн-15 21:29 
Скорее, облом хапугам из контор на три буквы (АНБ и т.п.). Столько времени раздавали юзерам свои сертификаты (в последнее время даже бесплатно), а они всё равно хотят прятаться.

"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено count0krsk , 06-Июн-15 19:52 
Добавлю в избранное, авось пригодится...

"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено Какаянахренразница , 06-Июн-15 21:26 
Хачу.

"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено Аноним , 06-Июн-15 23:17 
Круто. Теперь шифровальщикик и прочие мрази будут юзать https.

"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено Аноним , 06-Июн-15 23:39 
А что им раньше мешало это делать с самоподписными сертификатами?

"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено Аноним , 06-Июн-15 23:44 
https://buy.wosign.com/free/
http://www.startssl.com/?app=1

И не только с самоподписными.


"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено dr Equivalent , 07-Июн-15 01:52 
Э, а Nginx?

"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено Stax , 07-Июн-15 19:14 
Зачем это вообще нужно? Какие задачи они пытаются решить? В каких ситуациях пользователь сможет доверять сайту, подписанному этим сертификатом больше, чем самоподписанному?

Очень надеюсь, что ни в какие браузеры и ОС этот корневой сертификат не возьмут. Потому что иначе пропадет возможность отличать самоподписанные сертификаты от нормальных - фактически любые текущие самоподписанные сертификаты замаскируются под "как бы нормальный". Абсолютно никакой удостоверяющей ценности данные сертификаты не несут, степень защищенности ресурса с этими сертификатами НИЧЕМ не отличается от ресурса с самоподписанным сертификатом, но пропадет предупреждение безопасности. И чего добились, спрашивается?


"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено Аноним , 07-Июн-15 20:30 
Господи, из каких пещер вы лезете.

"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено Stax , 07-Июн-15 22:31 
Так вы попробуйте подумать и ответить на мои вопросы. Я же пишу, что не понимаю - возможно, что-то упускаю. Попробуйте нормально объяснить...

"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено Sb , 08-Июн-15 00:37 
Слушайте, Вы как-будто первый раз тролля видите...:)
Для чего надо, я ничего не понимаю, теперь другие смогут вот так...

"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено Аноним , 07-Июн-15 21:45 
Ты рехнулся, что ли? Это будет обычный центр сертификации, только бесплатный.

"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено Stax , 07-Июн-15 22:41 
> Ты рехнулся, что ли? Это будет обычный центр сертификации, только бесплатный.

Давайте порассуждаем. Попробуйте ответить на вопросы.

1) Зачем нужен https? Что он дает по сравнению с http? В каких случаях он защищает от сниффинга данных? В каких случаях он защищает от полной подделки сервера?
2) Какая роль сертификационного центра и инфраструктуры доверия для защиты от подделки сервера / данных?
3) В чем конкретно разница между самоподписанным сертификатом, о котором ничего не известно и сертификатом, выданном неизвестно кому новым сертификационным центром, про который ничего не известно?
4) В тех случаях, когда нам все-таки важно удостовериться, что владелец настоящий, на просто абстрактно использовать шифрованный канал без гарантий оригинальности владельца/данных - насколько набор непроверенных костылей (скрипт + ACME, который еще не RFC + простая автоматическая верификация) гарантирует оригинальность владельца по сравнению с EV-сертификацией?


"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено Аноним , 08-Июн-15 10:58 
Как переведут большинство на этот https, так сразу выкатят чтонибудь новое за место https

"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено Crazy Alex , 08-Июн-15 14:48 
Не мели ерунду, а? Эта штука будет решать ровно ту же задачу, что и нынешние сертификаты - защита коннекшна от average Joe, под что попадает большинство юз-кейсов - от покупок в интернет-магазинах до авторизации в личных блогах. Всё серьёзное использует дополнительные меры - 2FA в разных видах, свои ключи, свой VPN-софт и так далее.

"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено vn971 , 09-Июн-15 15:06 
3. Вы, как мне кажется, не поняли предлагаемую технологию. Сертификат будет подтверждаться заранее. Например, как владелец домена, я сегодня генерю свой сертификат, получаю подпись этого сертификата удостоверяющим центром. И потом через три месяца, когда ко мне захочет зайти человек из кафешки, я буду знать что Lets Encrypt подписывал лишь мой личный сертификат. Заметь что Lets Encrypt никогда не будет заходить на мой сайт через кафешку.

Чтобы реально взломать мой домен используя Lets Encrypt нужно будет взломать соединение от сервера Lets Encrypt до моего сервера. Это не то же самое что взломать server to client соединение. Также, я уверен что в Lets Encrypt будут дополнительные ограничивающие правила.


"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено Аноним , 09-Июн-15 16:37 
> 3. Вы, как мне кажется, не поняли предлагаемую технологию. Сертификат будет подтверждаться
> заранее. Например, как владелец домена, я сегодня генерю свой сертификат, получаю
> подпись этого сертификата удостоверяющим центром. И потом через три месяца, когда
> ко мне захочет зайти человек из кафешки, я буду знать что
> Lets Encrypt подписывал лишь мой личный сертификат. Заметь что Lets Encrypt
> никогда не будет заходить на мой сайт через кафешку.

Как ты это узнаешь в реалтайме, а, чувак?

> Чтобы реально взломать мой домен используя Lets Encrypt нужно будет взломать соединение
> от сервера Lets Encrypt до моего сервера. Это не то же
> самое что взломать server to client соединение. Также, я уверен что
> в Lets Encrypt будут дополнительные ограничивающие правила.

Ты точно знаешь или просто уверен на ровном месте? И, кстати, каким теремом эти "правила" тебя ограничат?


"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено vn971 , 09-Июн-15 16:58 
> Как ты это узнаешь в реалтайме, а, чувак?

Приложения (например, браузер) спрашивают у сервера его сертификат и подпись этого сертификата удостоверяющим центром.


"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Отправлено Аноним , 09-Июн-15 22:13 
>сертификатом, выданном неизвестно кому новым сертификационным центром, про который ничего не известно?

Они продемонстрируют соответствие тем же критериям, что и все остальные десятки Root CA, которым доверяет твой браузер.

>насколько набор непроверенных костылей (скрипт + ACME, который еще не RFC + простая автоматическая верификация) гарантирует оригинальность владельца по сравнению с EV-сертификацией?

Так они и не будут выдавать EV-сертификацию. Большинство сайтов ее все равно не имеет и получать не собирается. А проверка на обычный сертификат без "зеленой полоски" и так проводится автоматически, за те деньги, которые обычный сертификат стоит, никто не почешется вручную что-то проверять.