Представлен (https://letsencrypt.org/2015/09/14/our-first-cert.html) первый сертификат от проекта Let’s Encrypt (https://letsencrypt.org), нацеленного (https://www.opennet.me/opennews/art.shtml?num=42379) на создание простого, общедоступного и контролируемого сообществом удостоверяющего центра, развиваемого под эгидой организации Linux Foundation при участии Electronic Frontier Foundation (EFF), Mozilla, Cisco, Akamai, Automattic, Identrust и Мичиганского университета. В настоящее время сертификат доступен только для тестирования на странице helloworld.letsencrypt.org (http://helloworld.letsencrypt.org/) и требует ручного добавления в браузер информации о корневом сертификате Let's Encrypt.В течение месяца планируется завершить процесс перекрёстного утверждения корневого сертифитката Let's Encrypt с сертификатом другого удостоверяющего центра, что даст возможность принимать сертификаты Let's Encrypt без ручных манипуляций с браузерами. Кроме того, планируется интегрировать корневой сертификат Let's Encrypt в список заслуживающих доверия сертификатов, поставляемый в составе браузеров.
Заявки на включение в хранилище корневых сертификатов сегодня отправлены компаниям Mozilla, Google, Microsoft и Apple, контролирующим разработку основных web-браузеров.
Общедоступный запуск сервиса запланирован на 16 ноября, после которого любой желающий сможет получить сертификат для HTTPS без лишней волокиты, протос продемонстрировав контроль над доменом через создание специальной записи на DNS-сервере или размещение кодовой фразы в файле на web-сервере. Для получения сертификата Let's Encrypt для собственного домена до официального начала работы сервиса предлагается отправить заявку (https://docs.google.com/forms/d/15Ucm4A20y2rf9gySCTXD6yoLG6T...) на участие в бета-тестировании.URL: https://letsencrypt.org/2015/09/14/our-first-cert.html
Новость: http://www.opennet.me/opennews/art.shtml?num=42962
Ребята забыли отправить запрос в oracle для включения сертификата в список доверенных у java )))
Может тебе ещё и код подписывать этим сертификатом разрешить?
А почему бы и нет?
ПЗ: Я другой аноним
Код подписывается приватным ключом. Сертификат служит другим целям - является контейнером для публичного ключа владельца и удостоверяющей служебной информации.
Разговор о том, что приложения java просто так ходить на сайты за Https не смогут без импортирования ключа в java
Взлетит или нет -- в любом случае УРА!!!
должен взлететь )
Не верится, что им дадут развернуться. Слишком коммерциализирован рынок СА. Удостоверяющие центры просто так свой хлеб не отдадут.
> Не верится, что им дадут развернуться. Слишком коммерциализирован рынок СА. Удостоверяющие
> центры просто так свой хлеб не отдадут.возможно будут какие-нить очень ограниченые в возможностях сертификаты - только для web Например, сроком на 3 месяца, только для домена (www.mydomain.com), без поддоменов.
Ну и конечно всякие почты, джабберы и прочее - пойдут лесом.
> Ну и конечно всякие почты, джабберы и прочее - пойдут лесомИ как по вашему это технически реализуемо ?
https://community.letsencrypt.org/t/frequently-asked-questio...Can I use certificates from Let’s Encrypt for code signing or email encryption?
No. Email encryption and code signing require a different type of certificate than Let’s Encrypt will be issuing.
Это другое. Самое соединение с stmp/pop3/imap-сервером, при условии совпадения домена, должно установиться без каких-либо проблем. А "different type of certificate" тут похоже пишут про S/MIME.
Эксперт в треде.
Там есть определенные поля OID которые определяют применимость сертификата для тех или иных действий.
>> Ну и конечно всякие почты, джабберы и прочее - пойдут лесом
> И как по вашему это технически реализуемо ?сертификат будет только для www.mydomain.com, но не для mydomain.com
И чо? Кто мешает повесить на www. жаббер, емыл,...?
>почты, джабберы и прочее - пойдут лесом.Что мешает для таких случаев использовать GPG ?
Меня больше беспокоит, что такое отлиое начинание могут попытатся скомпромитировать.
> [...] такое отлиое начинание могут попытатся скомпромитировать.Могут попытаться? Оптимист, однако. Да обязательно, безусловно, несомненно, стопроцентно найдётся гадина, которая будет совать палки в колёса. И не одна гадина. И не одну палку.
"Я гарантирую это" (C)
>>почты, джабберы и прочее - пойдут лесом.
> Что мешает для таких случаев использовать GPG ?GPG существует курнадцать лет. Что мешало его сделать стандартом де-факто за время, необходимое для прихода в Пекин по-пластунски?
> Меня больше беспокоит, что такое отлиое начинание могут попытатся скомпромитировать.Как можно скомпрометировать то, что уже при рождении к ферам скомпрометировано?
> Меня больше беспокоит, что такое отлиое начинание могут попытатся скомпромитировать.
> скомпромитироватьнапример, безграмотные анонимусы.
> например, безграмотные анонимусы.Возвращайся к сабжу. Пускай Grammar Nazi сам делает свою работу.
"развиваемого под эгидой организации ..."
Но и конторы которые "слово держат за неё", как бы очень даже серьёзные.
Сертификат на один домен давно уже можно получить даром, например у WoSign на 3 года. Можно получить даже для домена третьего уровня, для которого Whois не прописан. Let’s Encrypt всего лишь пытаются автоматизировать процесс и лучше бы они скооперировались с каким нибудь существующим центром сертификации.
А платным центрам остаётся брать деньги за подтверждение личности/компании.
Спамеры получили контроль над сервером и начинают слать спам.Почтовые серверы проверяют письма, но не трогают шифрованные с сертификатом.
Мечта спамера - сертификат.
Сервис Let's spam... Нет, не так: Let's encrypt позволяет им сделать это в автоматическом режиме менее, чем за 1 секунду.
Внимание, вопрос: назови хоть одну дорожащую репутацией коммерческую компанию которая согласится в этом участвовать.
Деньги берутся не просто так, а за подтверждение личности/компании. А этот сервис - ещё одна отличная попытка дискредитации и демонизирования open-source сообществ в глазах общества. Наряду со всякими так факами со сцены и небритыми грязными жиробасами, которые требуют выбросить блобнутые мобилы и перестать пользоваться блобнутым интернетом.
> Деньги берутся не просто так, а за подтверждение личности/компании.В ваши 90-е это, возможно, так. В наше время уже довольно давно есть StartSSL, который раздаёт сертификаты на год за возможность прочитать почту webmaster/postmaster@domain и wosign, который за что-то похожее (не проверял) раздаёт сертификаты на 3 года.
То, о чём вы говорите - подтверждение личности/существования компании и всё такое - это EV-сертификаты. А обычные платные, без этой расширенной проверки, тоже вполне дают за возможность прочитать почту.
Так-то, на мой вкус, проверка возможности сделать запись в DNS побезопаснее будет проверки на возможность получать почту с определённых ящиков. Создание html-файлика - да, оно как-то не очень безопасно, но если будет возможность через создание DNS-записи доказать, что ты главнее и попросить аннулировать сертификат, выданный по файлику, вреда будет не так много.
> за возможность прочитать почту webmaster/postmaster@domain и wosignУ вас бред. Никто почту не читает. Они отправляют письмо с кодом подтверждения на почту администратора домена и вы сами его оттуда копируете в форму на сайте.
>У вас бред. Никто почту не читает.Он имел в виду, что если ТЫ ЧИТАЕШЬ почту webmaster/postmaster@domain , можешь приехватить себе холявный сертификатик.
Нет, написано четко, что они дают сертификат за возможность чтения почты. Что является либо бредом, либо прямой ложью.
> Нет, написано четко, что они дают сертификат за возможность чтения почты. Что
> является либо бредом, либо прямой ложью.Это только сокращённый вариант фразы "За возможность прочитать письмо, скопировать оттуда ссылку и открыть в браузере". Так как ключевое всё-таки в данном случае - именно возможность прочитать письмо, я решил, что вполне можно сократить текст. Но вам, конечно, виднее, что хотел сказать kemko, чем самому kemko.
> Почтовые серверы проверяют письма, но не трогают шифрованные с сертификатом.Ещё один эксперт в треде. Наличие или отсутствие сертификата не влияет на возможность сервера фильтровать спам. Шифруется трафик; письма на сервере и клиенте если и шифруются, то отнюдь не с помощью SSL/TLS-сертификата. Шифрование бывает разное и может осуществляться на раных уровнях независимо.
Я не понимаю, почему нельзя было кроме доменной привязки предложить персональные сертификаты частным лицам. Пусть фирмы друг друга имеют, продавая друг другу воздух, их бы это не коснулось.
> Я не понимаю, почему нельзя было кроме доменной привязки предложить персональные сертификаты
> частным лицам. Пусть фирмы друг друга имеют, продавая друг другу воздух,
> их бы это не коснулось.Нужно с чего то начинать!
Чем больше хочешь отрелизить за раз, тем больше багов в проде ;)))
Интересна реакция гугла и микрософта на подобные центры.
https://helloworld.letsencrypt.org/Chrome уже отмечает как trust.
Firefox, Opera и Edge пока нет.
NET::ERR_CERT_AUTHORITY_INVALID
Версия не самая свежая?
>Версия не самая свежая?Самая свежая версия Chrome ругается на этот сертификат. И вообще Chrome использует системные списки корневых сертификатов, поэтому нормальная работа у Вас, это отклонение от нормы. Может Вы сами ранее добавляли их корневой сертификат или у Вас троян проксирует все SSL соединения используя свой корневой сертификат, который Chrome почему то считает доверенным.
Дата выдачи 13.09.15
Срок действия 12.12.15Гыы )))
> Дата выдачи 13.09.15
> Срок действия 12.12.15
> Гыы )))Для тестирования.
с одной стороны - отличная новость, ибо многие сайты до сих пор работают по хттп (если еще это дело не будет прогибаться под правообладателей и пр - так будет и вовсе замечательно с:). С другой - прибавится количество самопальных сайтов с хттпс
> с одной стороны - отличная новость, ибо многие сайты до сих пор
> работают по хттп (если еще это дело не будет прогибаться под
> правообладателей и пр - так будет и вовсе замечательно с:). С
> другой - прибавится количество самопальных сайтов с хттпсИллюзия безопасности много хуже отсутствия безопасности.
Я в некотором роде HTTPS-фанатик, но отлично вижу, что -S нужен далеко не всегда. Иногда он явно излишен. Иногда возникант вопрос "Как можно это хостить без поддержки HTTPS?". Иногда - "Как вообще можно разрешать сюда вход по обычному HTTP?"Не стоит переводить *всё* на HTTPS, но многое - стоит.
Пусть вас не смущает трехмесячный срок действия выдаваемых сертификатов. Эти ребята предлагают пользователям автоматизировать процесс обновления их. Одной из причин называется частый простой сайтов изза просроченного сертификата. (Забыли обновить, старый админ уволился, и.т.п)
> Одной из причин называется частый простой сайтов изза просроченного сертификата.Причин чего? Трехмесячного срока? Ну выдавайте на год, на два, на пять. Но ведь нет.
> Причин чего?Причин создания этого удостоверяющего центра.
> Ну выдавайте на год, на два, на пять.А нафига? Выдай тебе сертификат на 5 лет - ты разве через 5 лет не продолбаешь продление с той же вероятностью, что и при любом другом сроке? Ключевое - автоматизация получения следующего сертификата. Ну а если она есть - почему бы не выставить минимальный удобный для УЦ срок?
Знаешь, я всего раз сталкивался с ситуацией "не продлен сертификат". Так что булшит про "частый простой сайтов" я не скушаю.
> Знаешь, я всего раз сталкивался с ситуацией "не продлен сертификат". Так что
> булшит про "частый простой сайтов" я не скушаю.Проекты бывают разные. На совсем серьёзных, наверное, так не лажают. Для проектов а-ля "My Little Бложик" или даже несколько более серьёзный, но с неподкованным владельцем, для которого верхом было поставить и допилить вордпресс - очень даже встречается. Господи, да люди сплошь домены забывают продлить, а ждать, пока DNS-ы сменятся назад на нужные - это как-то дольше, чем положить на старое место новые crt+key и передёрнуть nginx/
Помню, в прошлом году натыкался на просроченный сертификат в личном кабинете у netbynet, да и у меня, на моём домашнем сервере, где максимум что есть - это статистика от munin, недавно сертификат проэкспайрился, заметил через пару дней. Вот уж где бы не задумываясь впилил бы эту штуку от let's encrypt.
> Проекты бывают разные. На совсем серьёзных, наверное, так не лажают. Для проектовАльфа-банк и Сбербанк достаточно серьезные проекты? И у тех, и у других сталкивался с просроченными сертификатами. И там, и там ситуация длилась почти сутки, пока их отсутствующий мониторинг это замечал. Речь идет об их онлайн-банках.
Знал я одного kemko. Потом он куда-то пропал.
> Знал я одного kemko. Потом он куда-то пропал.У него бывает так.
Компании продающие сертификаты уже начали прогибаться. Чего стоит акция reg.ru совместно с GlobalSign где они на каждый зареганный домен выдают бесплатно сертификат сроком на один год.
Я джва года ждал этот УЦ!
> Я джва года ждал этот УЦ!За джва года можно было, вместо чесания языком на опеннете, свой собственный создать. А мешки так и стоят......
> https://github.com/letsencrypt/boulder/
> An ACME-based CA, written in Go.Go? Отлично!
>> https://github.com/letsencrypt/boulder/
>> An ACME-based CA, written in Go.
> Go? Отлично!По существу есть что сказать?
все взлетит. Для комерческой отрасли остаются корпаративщики, а для блогов, сайтов страничек и т.д. отличная новость, теперь адресная строка станет красивее почти везде где не ленивые админы.
> все взлетит. Для комерческой отрасли остаются корпаративщики, а для блогов, сайтов страничек
> и т.д. отличная новость, теперь адресная строка станет красивее почти везде
> где не ленивые админы.Для личных нужд есть StartSSL и WoSign. Впрочем, лично я с радостью переведу свои сервера на сертификаты от Let's Encrypt, как только в основных браузерах(Google Chrome и Mozilla Firefox) они станут считаться валидными.
Сейчас использую от WoSign.
09 АПРЕЛЯ 2015 16:22 Под крылом Linux Foundation будет развиваться некоммерческий удостоверяющий центр06 ИЮНЯ 2015 08:51 Некоммерческий удостоверяющий центр Let's Encrypt сформировал корневой сертификат
15 СЕНТЯБРЯ 2015 08:04 Некоммерческий удостоверяющий центр Let's Encrypt выпустил первый сертификат
АПРЕЛЬ. ИЮНЬ. СЕНТЯБРЬ.
АПРЕЛЬ. ИЮНЬ. СЕНТЯБРЬ.
АПРЕЛЬ. ИЮНЬ. СЕНТЯБРЬ.С такими темпами работы коммерческим УЦ нечего боятся...
Они опубликовали roadmap очень давно. Я сам удивился таким срокам, но, надеюсь, они за это время не балду пинали.
> Они опубликовали roadmap очень давно. Я сам удивился таким срокам, но, надеюсь,
> они за это время не балду пинали.go учили. все трое.
думаешь что они настолько хипсторы?
> думаешь что они настолько хипсторы?да вон, в #26 материал для подозрений дали.