URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 104736
[ Назад ]

Исходное сообщение
"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."

Отправлено opennews , 15-Сен-15 08:15 
Представлен (https://letsencrypt.org/2015/09/14/our-first-cert.html) первый сертификат от проекта Let’s Encrypt (https://letsencrypt.org), нацеленного (https://www.opennet.me/opennews/art.shtml?num=42379) на создание простого, общедоступного и контролируемого сообществом удостоверяющего центра, развиваемого под эгидой организации Linux Foundation при участии Electronic Frontier Foundation (EFF), Mozilla, Cisco, Akamai, Automattic, Identrust и Мичиганского университета. В настоящее время сертификат доступен только для тестирования на странице helloworld.letsencrypt.org (http://helloworld.letsencrypt.org/) и требует ручного добавления в браузер информации о корневом сертификате Let's Encrypt.

В течение месяца планируется завершить процесс перекрёстного утверждения корневого сертифитката Let's Encrypt с сертификатом другого удостоверяющего центра, что даст возможность принимать сертификаты Let's Encrypt без ручных манипуляций с браузерами. Кроме того, планируется интегрировать корневой сертификат Let's Encrypt в список заслуживающих доверия сертификатов, поставляемый в составе браузеров.
Заявки на включение в хранилище корневых сертификатов сегодня отправлены компаниям Mozilla, Google, Microsoft и Apple, контролирующим разработку основных web-браузеров.


Общедоступный запуск сервиса запланирован на 16 ноября, после которого любой желающий сможет получить сертификат для HTTPS без лишней волокиты, протос продемонстрировав контроль над доменом через создание специальной записи на DNS-сервере или размещение кодовой фразы в файле на web-сервере. Для получения сертификата Let's Encrypt для собственного домена до официального начала работы сервиса предлагается отправить заявку (https://docs.google.com/forms/d/15Ucm4A20y2rf9gySCTXD6yoLG6T...) на участие в бета-тестировании.

URL: https://letsencrypt.org/2015/09/14/our-first-cert.html
Новость: http://www.opennet.me/opennews/art.shtml?num=42962


Содержание

Сообщения в этом обсуждении
"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Аноним , 15-Сен-15 08:22 
Ребята забыли отправить запрос в oracle для включения сертификата в список доверенных у java )))

"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено 111 , 15-Сен-15 08:35 
Может тебе ещё и код подписывать этим сертификатом разрешить?

"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Аноним , 15-Сен-15 10:31 
А почему бы и нет?
ПЗ: Я другой аноним

"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено iZEN , 15-Сен-15 15:47 
Код подписывается приватным ключом. Сертификат служит другим целям - является контейнером для публичного ключа владельца и удостоверяющей служебной информации.

"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Аноним , 16-Сен-15 10:17 
Разговор о том, что приложения java просто так ходить на сайты за Https не смогут без импортирования ключа в java

"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Какаянахренразница , 15-Сен-15 08:38 
Взлетит или нет -- в любом случае УРА!!!

"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено An , 15-Сен-15 08:42 
должен взлететь )

"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Аноним , 15-Сен-15 08:56 
Не верится, что им дадут развернуться. Слишком коммерциализирован рынок СА. Удостоверяющие центры просто так свой хлеб не отдадут.

"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Адекват , 15-Сен-15 09:07 
> Не верится, что им дадут развернуться. Слишком коммерциализирован рынок СА. Удостоверяющие
> центры просто так свой хлеб не отдадут.

возможно будут какие-нить очень ограниченые в возможностях сертификаты - только для web Например, сроком на 3 месяца, только для домена (www.mydomain.com), без поддоменов.
Ну и конечно всякие почты, джабберы и прочее - пойдут лесом.


"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Аноним , 15-Сен-15 09:16 
> Ну и конечно всякие почты, джабберы и прочее - пойдут лесом

И как по вашему это технически реализуемо ?


"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Alexander_kl , 15-Сен-15 09:21 
https://community.letsencrypt.org/t/frequently-asked-questio...

Can I use certificates from Let’s Encrypt for code signing or email encryption?

No. Email encryption and code signing require a different type of certificate than Let’s Encrypt will be issuing.


"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено kemko , 15-Сен-15 11:44 
Это другое. Самое соединение с stmp/pop3/imap-сервером, при условии совпадения домена, должно установиться без каких-либо проблем. А "different type of certificate" тут похоже пишут про S/MIME.

"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Аноним , 16-Сен-15 01:37 
Эксперт в треде.

"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено SnoWLight , 16-Сен-15 10:54 
Там есть определенные поля OID которые определяют применимость сертификата для тех или иных действий.

"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Адекват , 16-Сен-15 10:23 
>> Ну и конечно всякие почты, джабберы и прочее - пойдут лесом
> И как по вашему это технически реализуемо ?

сертификат будет только для www.mydomain.com, но не для mydomain.com


"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено pavlinux , 16-Сен-15 15:31 
И чо? Кто мешает повесить на www. жаббер, емыл,...?  

"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Аноним , 15-Сен-15 09:45 
>почты, джабберы и прочее - пойдут лесом.

Что мешает для таких случаев использовать GPG ?


Меня больше беспокоит, что такое отлиое начинание могут попытатся скомпромитировать.


"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Какаянахренразница , 15-Сен-15 10:50 
> [...] такое отлиое начинание могут попытатся скомпромитировать.

Могут попытаться? Оптимист, однако. Да обязательно, безусловно, несомненно, стопроцентно найдётся гадина, которая будет совать палки в колёса. И не одна гадина. И не одну палку.

"Я гарантирую это" (C)


"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Аноним , 15-Сен-15 14:30 
>>почты, джабберы и прочее - пойдут лесом.
> Что мешает для таких случаев использовать GPG ?

GPG существует курнадцать лет. Что мешало его сделать стандартом де-факто за время, необходимое для прихода в Пекин по-пластунски?


> Меня больше беспокоит, что такое отлиое начинание могут попытатся скомпромитировать.

Как можно скомпрометировать то, что уже при рождении к ферам скомпрометировано?



"Некоммерческий удостоверяющий центр Let's Encrypt..."
Отправлено arisu , 16-Сен-15 04:37 
> Меня больше беспокоит, что такое отлиое начинание могут попытатся скомпромитировать.
> скомпромитировать

например, безграмотные анонимусы.


"Некоммерческий удостоверяющий центр Let's Encrypt..."
Отправлено Какаянахренразница , 16-Сен-15 15:44 
> например, безграмотные анонимусы.

Возвращайся к сабжу. Пускай Grammar Nazi сам делает свою работу.


"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено _KUL , 15-Сен-15 09:26 
"развиваемого под эгидой организации ..."
Но и конторы которые "слово держат за неё", как бы очень даже серьёзные.

"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Аноним , 15-Сен-15 11:15 
Сертификат на один домен давно уже можно получить даром, например у WoSign на 3 года. Можно получить даже для домена третьего уровня, для которого Whois не прописан. Let’s Encrypt всего лишь пытаются автоматизировать процесс и лучше бы они скооперировались с каким нибудь существующим центром сертификации.
А платным центрам остаётся брать деньги за подтверждение личности/компании.

"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено клоун , 15-Сен-15 17:48 
Спамеры получили контроль над сервером и начинают слать спам.

Почтовые серверы проверяют письма, но не трогают шифрованные с сертификатом.

Мечта спамера - сертификат.

Сервис Let's spam... Нет, не так: Let's encrypt позволяет им сделать это в автоматическом режиме менее, чем за 1 секунду.

Внимание, вопрос: назови хоть одну дорожащую репутацией коммерческую компанию которая согласится в этом участвовать.

Деньги берутся не просто так, а за подтверждение личности/компании. А этот сервис - ещё одна отличная попытка дискредитации и демонизирования open-source сообществ в глазах общества. Наряду со всякими так факами со сцены и небритыми грязными жиробасами, которые требуют выбросить блобнутые мобилы и перестать пользоваться блобнутым интернетом.


"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено kemko , 15-Сен-15 17:56 
> Деньги берутся не просто так, а за подтверждение личности/компании.

В ваши 90-е это, возможно, так. В наше время уже довольно давно есть StartSSL, который раздаёт сертификаты на год за возможность прочитать почту webmaster/postmaster@domain и wosign, который за что-то похожее (не проверял) раздаёт сертификаты на 3 года.

То, о чём вы говорите - подтверждение личности/существования компании и всё такое - это EV-сертификаты. А обычные платные, без этой расширенной проверки, тоже вполне дают за возможность прочитать почту.

Так-то, на мой вкус, проверка возможности сделать запись в DNS побезопаснее будет проверки на возможность получать почту с определённых ящиков. Создание html-файлика - да, оно как-то не очень безопасно, но если будет возможность через создание DNS-записи доказать, что ты главнее и попросить аннулировать сертификат, выданный по файлику, вреда будет не так много.


"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Эргил , 15-Сен-15 19:30 
>  за возможность прочитать почту webmaster/postmaster@domain и wosign

У вас бред. Никто почту не читает. Они отправляют письмо с кодом подтверждения на почту администратора домена и вы сами его оттуда копируете в форму на сайте.


"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено i_stas , 15-Сен-15 20:53 
>У вас бред. Никто почту не читает.

Он имел в виду, что если ТЫ ЧИТАЕШЬ почту webmaster/postmaster@domain , можешь приехватить себе холявный сертификатик.


"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Эргил , 15-Сен-15 20:55 
Нет, написано четко, что они дают сертификат за возможность чтения почты. Что является либо бредом, либо прямой ложью.

"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено kemko , 16-Сен-15 11:16 
> Нет, написано четко, что они дают сертификат за возможность чтения почты. Что
> является либо бредом, либо прямой ложью.

Это только сокращённый вариант фразы "За возможность прочитать письмо, скопировать оттуда ссылку и открыть в браузере". Так как ключевое всё-таки в данном случае - именно возможность прочитать письмо, я решил, что вполне можно сократить текст. Но вам, конечно, виднее, что хотел сказать kemko, чем самому kemko.


"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Аноним , 16-Сен-15 01:46 
> Почтовые серверы проверяют письма, но не трогают шифрованные с сертификатом.

Ещё один эксперт в треде. Наличие или отсутствие сертификата не влияет на возможность сервера фильтровать спам. Шифруется трафик; письма на сервере и клиенте если и шифруются, то отнюдь не с помощью SSL/TLS-сертификата. Шифрование бывает разное и может осуществляться на раных уровнях независимо.


"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Соколов , 15-Сен-15 09:34 
Я не понимаю, почему нельзя было кроме доменной привязки предложить персональные сертификаты частным лицам. Пусть фирмы друг друга имеют, продавая друг другу воздух, их бы это не коснулось.

"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено VoDA , 15-Сен-15 09:55 
> Я не понимаю, почему нельзя было кроме доменной привязки предложить персональные сертификаты
> частным лицам. Пусть фирмы друг друга имеют, продавая друг другу воздух,
> их бы это не коснулось.

Нужно с чего то начинать!

Чем больше хочешь отрелизить за раз, тем больше багов в проде ;)))


"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено ananimas009 , 15-Сен-15 09:35 
Интересна реакция гугла и микрософта на подобные центры.

"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Аноним , 15-Сен-15 14:02 
https://helloworld.letsencrypt.org/

Chrome уже отмечает как trust.
Firefox, Opera и Edge пока нет.


"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Аноним , 15-Сен-15 15:43 
NET::ERR_CERT_AUTHORITY_INVALID

"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Аноним , 15-Сен-15 22:52 
Версия не самая свежая?

"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Аноним , 16-Сен-15 09:14 
>Версия не самая свежая?

Самая свежая версия Chrome ругается на этот сертификат. И вообще Chrome использует системные списки корневых сертификатов, поэтому нормальная работа у Вас, это отклонение от нормы. Может Вы сами ранее добавляли их корневой сертификат или у Вас троян проксирует все SSL соединения используя свой корневой сертификат, который Chrome почему то считает доверенным.


"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Аноним , 15-Сен-15 10:17 
Дата выдачи    13.09.15
Срок действия    12.12.15

Гыы )))


"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Какаянахренразница , 15-Сен-15 10:53 
> Дата выдачи 13.09.15
> Срок действия 12.12.15
> Гыы )))

Для тестирования.



"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Аноним , 15-Сен-15 10:18 
с одной стороны - отличная новость, ибо многие сайты до сих пор работают по хттп (если еще это дело не будет прогибаться под правообладателей и пр - так будет и вовсе замечательно с:). С другой - прибавится количество самопальных сайтов с хттпс

"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Аноним , 15-Сен-15 14:31 
> с одной стороны - отличная новость, ибо многие сайты до сих пор
> работают по хттп (если еще это дело не будет прогибаться под
> правообладателей и пр - так будет и вовсе замечательно с:). С
> другой - прибавится количество самопальных сайтов с хттпс

Иллюзия безопасности много хуже отсутствия безопасности.


"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Аноним , 16-Сен-15 01:58 
Я в некотором роде HTTPS-фанатик, но отлично вижу, что -S нужен далеко не всегда. Иногда он явно излишен. Иногда возникант вопрос "Как можно это хостить без поддержки HTTPS?". Иногда - "Как вообще можно разрешать сюда вход по обычному HTTP?"

Не стоит переводить *всё* на HTTPS, но многое - стоит.


"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Аноним , 15-Сен-15 10:43 
Пусть вас не смущает трехмесячный срок действия выдаваемых сертификатов. Эти ребята предлагают пользователям автоматизировать процесс обновления их. Одной из причин называется частый простой сайтов изза просроченного сертификата. (Забыли обновить, старый админ уволился, и.т.п)

"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Аноним , 15-Сен-15 12:05 
> Одной из причин называется частый простой сайтов изза просроченного сертификата.

Причин чего? Трехмесячного срока? Ну выдавайте на год, на два, на пять. Но ведь нет.


"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Аноним , 15-Сен-15 12:55 
> Причин чего?

Причин создания этого удостоверяющего центра.


"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено kemko , 15-Сен-15 13:28 
> Ну выдавайте на год, на два, на пять.

А нафига? Выдай тебе сертификат на 5 лет - ты разве через 5 лет не продолбаешь продление с той же вероятностью, что и при любом другом сроке? Ключевое - автоматизация получения следующего сертификата. Ну а если она есть - почему бы не выставить минимальный удобный для УЦ срок?


"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Аноним , 15-Сен-15 17:51 
Знаешь, я всего раз сталкивался с ситуацией "не продлен сертификат". Так что булшит про "частый простой сайтов" я не скушаю.

"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено kemko , 15-Сен-15 18:03 
> Знаешь, я всего раз сталкивался с ситуацией "не продлен сертификат". Так что
> булшит про "частый простой сайтов" я не скушаю.

Проекты бывают разные. На совсем серьёзных, наверное, так не лажают. Для проектов а-ля "My Little Бложик" или  даже несколько более серьёзный, но с неподкованным владельцем, для которого верхом было поставить и допилить вордпресс - очень даже встречается. Господи, да люди сплошь домены забывают продлить, а ждать, пока DNS-ы сменятся назад на нужные - это как-то дольше, чем положить на старое место новые crt+key и передёрнуть nginx/

Помню, в прошлом году натыкался на просроченный сертификат в личном кабинете у netbynet, да и у меня, на моём домашнем сервере, где максимум что есть - это статистика от munin, недавно сертификат проэкспайрился, заметил через пару дней. Вот уж где бы не задумываясь впилил бы эту штуку от let's encrypt.


"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Эргил , 15-Сен-15 19:32 
> Проекты бывают разные. На совсем серьёзных, наверное, так не лажают. Для проектов

Альфа-банк и Сбербанк достаточно серьезные проекты? И у тех, и у других сталкивался с просроченными сертификатами. И там, и там ситуация длилась почти сутки, пока их отсутствующий мониторинг это замечал. Речь идет об их онлайн-банках.


"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Аноним , 15-Сен-15 17:51 
Знал я одного kemko. Потом он куда-то пропал.

"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено kemko , 15-Сен-15 18:04 
> Знал я одного kemko. Потом он куда-то пропал.

У него бывает так.


"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено мурзилка , 15-Сен-15 11:36 
Компании продающие сертификаты уже начали прогибаться. Чего стоит акция reg.ru совместно с GlobalSign где они на каждый зареганный домен выдают бесплатно сертификат сроком на один год.

"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Аноним , 15-Сен-15 12:02 
Я джва года ждал этот УЦ!

"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Аноним , 15-Сен-15 14:32 
> Я джва года ждал этот УЦ!

За джва года можно было, вместо чесания языком на опеннете, свой собственный создать. А мешки так и стоят......


"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Аноним , 15-Сен-15 12:08 
> https://github.com/letsencrypt/boulder/
> An ACME-based CA, written in Go.

Go? Отлично!


"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Аноним , 15-Сен-15 14:32 
>> https://github.com/letsencrypt/boulder/
>> An ACME-based CA, written in Go.
> Go? Отлично!

По существу есть что сказать?


"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено 0eviy , 15-Сен-15 16:29 
все взлетит. Для комерческой отрасли остаются корпаративщики, а для блогов, сайтов страничек и т.д. отличная новость, теперь адресная строка станет красивее почти везде где не ленивые админы.

"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Эргил , 15-Сен-15 19:35 
> все взлетит. Для комерческой отрасли остаются корпаративщики, а для блогов, сайтов страничек
> и т.д. отличная новость, теперь адресная строка станет красивее почти везде
> где не ленивые админы.

Для личных нужд есть StartSSL и WoSign. Впрочем, лично я с радостью переведу свои сервера на сертификаты от Let's Encrypt, как только в основных браузерах(Google Chrome и Mozilla Firefox) они станут считаться валидными.
Сейчас использую от WoSign.


"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено i_stas , 15-Сен-15 20:49 
09 АПРЕЛЯ 2015 16:22  Под крылом Linux Foundation будет развиваться некоммерческий удостоверяющий центр  

06 ИЮНЯ 2015 08:51  Некоммерческий удостоверяющий центр Let's Encrypt сформировал корневой сертификат

15 СЕНТЯБРЯ 2015 08:04  Некоммерческий удостоверяющий центр Let's Encrypt выпустил первый сертификат

АПРЕЛЬ. ИЮНЬ. СЕНТЯБРЬ.
АПРЕЛЬ. ИЮНЬ. СЕНТЯБРЬ.
АПРЕЛЬ. ИЮНЬ. СЕНТЯБРЬ.

С такими темпами работы коммерческим УЦ нечего боятся...


"Некоммерческий удостоверяющий центр Let's Encrypt выпустил п..."
Отправлено Аноним , 16-Сен-15 02:03 
Они опубликовали roadmap очень давно. Я сам удивился таким срокам, но, надеюсь, они за это время не балду пинали.

"Некоммерческий удостоверяющий центр Let's Encrypt..."
Отправлено arisu , 16-Сен-15 04:41 
> Они опубликовали roadmap очень давно. Я сам удивился таким срокам, но, надеюсь,
> они за это время не балду пинали.

go учили. все трое.


"Некоммерческий удостоверяющий центр Let's Encrypt..."
Отправлено тигар , 16-Сен-15 09:14 
думаешь что они настолько хипсторы?

"Некоммерческий удостоверяющий центр Let's Encrypt..."
Отправлено arisu , 16-Сен-15 10:29 
> думаешь что они настолько хипсторы?

да вон, в #26 материал для подозрений дали.