The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +/
Сообщение от opennews (ok) on 06-Июн-15, 09:07 
Развиваемый под эгидой организации Linux Foundation проект Let’s Encrypt (https://letsencrypt.org/), нацеленный на создание простого, общедоступного и контролируемого сообществом удостоверяющего центра, объявил (https://letsencrypt.org/2015/06/04/isrg-ca-certs.html) о создании корневого и промежуточного (https://en.wikipedia.org/wiki/Intermediate_certificate_autho...) сертификатов, а также сертификатов, которые будут использоваться для формирования цифровых подписей для других сертификатов. Запуск сервиса запланирован на середину 2015 года, более точно дата старта будет объявлена в течение нескольких недель. В настоящее  время открытые ключи для корневого (https://letsencrypt.org/isrgrootx1.txt) и промежуточных (https://letsencrypt.org/letsencryptauthorityx1.txt) сертификатов (https://letsencrypt.org/letsencryptauthorityx2.txt) уже доступны для загрузки.


Для подписи пользовательских сертификатов будут применяться промежуточные сертификаты, которые кроме подписи корневым сертификатом Let's Encrypt также перекрёстно подписаны организацией IdenTrust. С одной стороны такой подход позволяет обезопасить корневой сертификат и напрямую его не использовать, разместив в offline-хранилище. С другой стороны, перекрёстное утверждение даст возможность принимать сертификаты Let's Encrypt в уже выпущенных браузерах до того, как информация о корневом сертификате Let's Encrypt будет добавлена браузерами в список заслуживающих доверия сертификатов. В настоящее время сгенерированы только RSA-ключи, в дальнейшем планируется создание и ключей ECDSA. Для хранения сертификатов задействован аппаратный HSM-модуль, отвечающий всем требованиям по защите ключей в удостоверяющих центрах.
<center><a href="https://letsencrypt.org/images/isrg-keys.png"><img src="http://www.opennet.me/opennews/pics_base/0_1433569678.png" style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border=0></a></center>


Проект Let's Encrypt основан при участии Electronic Frontier Foundation (EFF), Mozilla, Cisco, Akamai, Automattic, Identrust и Мичиганского университета, которые объединили свои усилия в области повышения безопасности Сети через повсеместное внедрение HTTPS. Для достижения данной цели планируется снять барьеры при получении SSL-сертификатов, сделав процедуру бесплатной, предельно простой (https://letsencrypt.org/howitworks/) и лишённой бюрократических проволочек при проверке владельца. Все операции по генерации и отзыву сертификатов будут проводиться публично и будут доступны для независимого инспектирования сообществом.

<center><a href="https://letsencrypt.org/images/howitworks_authorization.png&... src="http://www.opennet.me/opennews/pics_base/0_1416327607.png" style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border="0"></a></center>

Для прохождения верификации перед получением сертификата достаточно (https://letsencrypt.org/howitworks/technology/) будет продемонстрировать контроль над доменом через создание специальной записи на DNS-сервере или путём размещения файла с ключом на web-сервере. Все операции будут автоматизированы, на web-сервере можно будет запустить специальный скрипт, который сам выполнит обратную проверку и на выходе предоставит готовые сертификаты и инструкцию по их подключению. Операции по получению, настройке и обновлению сертификатов будут проводиться с использованием протокола ACME (https://github.com/letsencrypt/acme-spec), которому планируется придать статус открытого стандарта (RFC). Для тестирования доступны инструментарий (https://github.com/letsencrypt/lets-encrypt-preview) для серверов на базе Apache, компоненты (https://github.com/letsencrypt/boulder) удостоверяющего центра, а также клиентские и серверные модули (https://github.com/letsencrypt/node-acme) для Node.js


URL: https://letsencrypt.org/2015/06/04/isrg-ca-certs.html
Новость: http://www.opennet.me/opennews/art.shtml?num=42379

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +/
Сообщение от Нанобот (ok) on 06-Июн-15, 09:07 
>сертификаты, которые кроме подписи корневым сертификатом Let's Encrypt также перекрёстно подписаны организацией IdenTrust

а разве один сертификат может быть одновременно подписан несколькими ключами?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +/
Сообщение от Sw00p aka Jerom on 06-Июн-15, 13:20 
да, у pgp такое
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

36. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +/
Сообщение от Аноним (??) on 09-Июн-15, 16:34 
> да, у pgp такое

У PKI тоже.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

2. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  –7 +/
Сообщение от анонимус (??) on 06-Июн-15, 09:29 
Офигеть, они наконец осилили openssl!

> В настоящее время сгенерированы только RSA-ключи, в дальнейшем планируется создание и ключей ECDSA.

Ну... Ещё не до конца, видимо.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +10 +/
Сообщение от Kotan on 06-Июн-15, 10:10 
Ты идиот? Думаешь, только в генерации ключа все проблемы?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +5 +/
Сообщение от Аноним (??) on 06-Июн-15, 10:33 
В САШ ECDSA запатентован как-то, что затрудняет его СВОБОДНОЕ использование на их территории и в подконтрольных колониях.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

21. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  –2 +/
Сообщение от Аноним (??) on 07-Июн-15, 10:17 
Это АНБ попализирует ECDSA уязвимости в Китае и Росии для упрощения дешифрации.

»Сладок запретный плод»

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

28. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +3 +/
Сообщение от Аноним (??) on 07-Июн-15, 23:29 
>АНБ попализирует

Да ты поэт! :)

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

6. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +1 +/
Сообщение от YetAnotherOnanym (ok) on 06-Июн-15, 10:42 
> Офигеть, они наконец осилили openssl!

Не только. Они, наконец-то, выпросили у спонсоров деньги на USB-токен.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  –6 +/
Сообщение от Аноним (??) on 06-Июн-15, 10:15 
>Для прохождения верификации перед получением сертификата достаточно будет продемонстрировать контроль над доменом

И зачем нужны сертификаты? Не для того ли, чтобы защититься от тех, кто "продемонстрировал контроль над доменом"?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  –3 +/
Сообщение от ЯЯ on 06-Июн-15, 10:47 
Ты думаешь, что если ты в своей локалочке подменил DNS-записи это распространиться на весь интернет?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

23. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +2 +/
Сообщение от mine (ok) on 07-Июн-15, 19:29 
Он намекает на возможность взломать веб-сервер и продемонстрировать "владение". Правда, при этом и так получаешь ключ, так что...

ПС
В Аду тебя ждёт отдельная сковородка от граммар-наци.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +3 +/
Сообщение от th3m3 (ok) on 06-Июн-15, 12:55 
Скорее бы уже запустились.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +1 +/
Сообщение от Аноним (??) on 06-Июн-15, 15:03 
Я джва года ждал…
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +/
Сообщение от Kodir (ok) on 06-Июн-15, 19:50 
Вот блин какой облом хапугам из коммерческих центров! Столько времени доить юзеров тупо на идее "на тебе сертификат, теперь юзеры могут доверять твоему домену".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  –1 +/
Сообщение от anonymous (??) on 06-Июн-15, 20:16 
Так уже есть. http://www.startssl.com/ - сертификат бесплатно без смс.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

31. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +1 +/
Сообщение от SunXE (ok) on 08-Июн-15, 11:07 
Умаешься для каждого поддомена отдельный ключик получать.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

40. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +/
Сообщение от example on 20-Июн-15, 02:27 
Ну так скрипт напиши.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

14. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +1 +/
Сообщение от Аноним (??) on 06-Июн-15, 20:52 
Путаешь теплое с мягким.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +/
Сообщение от Какаянахренразница (ok) on 06-Июн-15, 21:29 
Скорее, облом хапугам из контор на три буквы (АНБ и т.п.). Столько времени раздавали юзерам свои сертификаты (в последнее время даже бесплатно), а они всё равно хотят прятаться.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

12. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +1 +/
Сообщение от count0krsk (ok) on 06-Июн-15, 19:52 
Добавлю в избранное, авось пригодится...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +2 +/
Сообщение от Какаянахренразница (ok) on 06-Июн-15, 21:26 
Хачу.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +/
Сообщение от Аноним (??) on 06-Июн-15, 23:17 
Круто. Теперь шифровальщикик и прочие мрази будут юзать https.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +1 +/
Сообщение от Аноним (??) on 06-Июн-15, 23:39 
А что им раньше мешало это делать с самоподписными сертификатами?
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +1 +/
Сообщение от Аноним (??) on 06-Июн-15, 23:44 
https://buy.wosign.com/free/
http://www.startssl.com/?app=1

И не только с самоподписными.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +1 +/
Сообщение от dr Equivalent (ok) on 07-Июн-15, 01:52 
Э, а Nginx?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  –2 +/
Сообщение от Stax (ok) on 07-Июн-15, 19:14 
Зачем это вообще нужно? Какие задачи они пытаются решить? В каких ситуациях пользователь сможет доверять сайту, подписанному этим сертификатом больше, чем самоподписанному?

Очень надеюсь, что ни в какие браузеры и ОС этот корневой сертификат не возьмут. Потому что иначе пропадет возможность отличать самоподписанные сертификаты от нормальных - фактически любые текущие самоподписанные сертификаты замаскируются под "как бы нормальный". Абсолютно никакой удостоверяющей ценности данные сертификаты не несут, степень защищенности ресурса с этими сертификатами НИЧЕМ не отличается от ресурса с самоподписанным сертификатом, но пропадет предупреждение безопасности. И чего добились, спрашивается?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +6 +/
Сообщение от Аноним (??) on 07-Июн-15, 20:30 
Господи, из каких пещер вы лезете.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  –1 +/
Сообщение от Stax (ok) on 07-Июн-15, 22:31 
Так вы попробуйте подумать и ответить на мои вопросы. Я же пишу, что не понимаю - возможно, что-то упускаю. Попробуйте нормально объяснить...
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

29. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +/
Сообщение от Sb (??) on 08-Июн-15, 00:37 
Слушайте, Вы как-будто первый раз тролля видите...:)
Для чего надо, я ничего не понимаю, теперь другие смогут вот так...
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

25. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +/
Сообщение от Аноним (??) on 07-Июн-15, 21:45 
Ты рехнулся, что ли? Это будет обычный центр сертификации, только бесплатный.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

27. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  –2 +/
Сообщение от Stax (ok) on 07-Июн-15, 22:41 
> Ты рехнулся, что ли? Это будет обычный центр сертификации, только бесплатный.

Давайте порассуждаем. Попробуйте ответить на вопросы.

1) Зачем нужен https? Что он дает по сравнению с http? В каких случаях он защищает от сниффинга данных? В каких случаях он защищает от полной подделки сервера?
2) Какая роль сертификационного центра и инфраструктуры доверия для защиты от подделки сервера / данных?
3) В чем конкретно разница между самоподписанным сертификатом, о котором ничего не известно и сертификатом, выданном неизвестно кому новым сертификационным центром, про который ничего не известно?
4) В тех случаях, когда нам все-таки важно удостовериться, что владелец настоящий, на просто абстрактно использовать шифрованный канал без гарантий оригинальности владельца/данных - насколько набор непроверенных костылей (скрипт + ACME, который еще не RFC + простая автоматическая верификация) гарантирует оригинальность владельца по сравнению с EV-сертификацией?

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

30. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +/
Сообщение от Аноним (??) on 08-Июн-15, 10:58 
Как переведут большинство на этот https, так сразу выкатят чтонибудь новое за место https
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

32. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +2 +/
Сообщение от Crazy Alex (ok) on 08-Июн-15, 14:48 
Не мели ерунду, а? Эта штука будет решать ровно ту же задачу, что и нынешние сертификаты - защита коннекшна от average Joe, под что попадает большинство юз-кейсов - от покупок в интернет-магазинах до авторизации в личных блогах. Всё серьёзное использует дополнительные меры - 2FA в разных видах, свои ключи, свой VPN-софт и так далее.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

35. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +/
Сообщение от vn971 (ok) on 09-Июн-15, 15:06 
3. Вы, как мне кажется, не поняли предлагаемую технологию. Сертификат будет подтверждаться заранее. Например, как владелец домена, я сегодня генерю свой сертификат, получаю подпись этого сертификата удостоверяющим центром. И потом через три месяца, когда ко мне захочет зайти человек из кафешки, я буду знать что Lets Encrypt подписывал лишь мой личный сертификат. Заметь что Lets Encrypt никогда не будет заходить на мой сайт через кафешку.

Чтобы реально взломать мой домен используя Lets Encrypt нужно будет взломать соединение от сервера Lets Encrypt до моего сервера. Это не то же самое что взломать server to client соединение. Также, я уверен что в Lets Encrypt будут дополнительные ограничивающие правила.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

37. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +/
Сообщение от Аноним (??) on 09-Июн-15, 16:37 
> 3. Вы, как мне кажется, не поняли предлагаемую технологию. Сертификат будет подтверждаться
> заранее. Например, как владелец домена, я сегодня генерю свой сертификат, получаю
> подпись этого сертификата удостоверяющим центром. И потом через три месяца, когда
> ко мне захочет зайти человек из кафешки, я буду знать что
> Lets Encrypt подписывал лишь мой личный сертификат. Заметь что Lets Encrypt
> никогда не будет заходить на мой сайт через кафешку.

Как ты это узнаешь в реалтайме, а, чувак?

> Чтобы реально взломать мой домен используя Lets Encrypt нужно будет взломать соединение
> от сервера Lets Encrypt до моего сервера. Это не то же
> самое что взломать server to client соединение. Также, я уверен что
> в Lets Encrypt будут дополнительные ограничивающие правила.

Ты точно знаешь или просто уверен на ровном месте? И, кстати, каким теремом эти "правила" тебя ограничат?

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

38. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +/
Сообщение от vn971 (ok) on 09-Июн-15, 16:58 
> Как ты это узнаешь в реалтайме, а, чувак?

Приложения (например, браузер) спрашивают у сервера его сертификат и подпись этого сертификата удостоверяющим центром.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

39. "Некоммерческий удостоверяющий центр Let's Encrypt сформирова..."  +/
Сообщение от Аноним (??) on 09-Июн-15, 22:13 
>сертификатом, выданном неизвестно кому новым сертификационным центром, про который ничего не известно?

Они продемонстрируют соответствие тем же критериям, что и все остальные десятки Root CA, которым доверяет твой браузер.

>насколько набор непроверенных костылей (скрипт + ACME, который еще не RFC + простая автоматическая верификация) гарантирует оригинальность владельца по сравнению с EV-сертификацией?

Так они и не будут выдавать EV-сертификацию. Большинство сайтов ее все равно не имеет и получать не собирается. А проверка на обычный сертификат без "зеленой полоски" и так проводится автоматически, за те деньги, которые обычный сертификат стоит, никто не почешется вручную что-то проверять.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру