https://www.opennet.ru/openforum/vsluhforumID3/111675.html Некоммерческий удостоверяющий центр Let&#8217;s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, анонсировал (https://letsencrypt.org/2017/07/06/wildcard-certificates-coming-jan-2018.html) предоставление возможности использования сертификатов, охватывающих группу поддоменов по маске (например, *.example.com). Сертификаты с масками можно будет генерировать начиная с января 2018 года, в рамках ввода в эксплуатацию второй версии API ACME. <br><br><br><br>Для подтверждения доменов, для которых будут запрашиваться сертификаты с маской, первое время будет допустима только верификация через DNS, подтверждающая владение базовым доменом. В дальнейшем не исключена реализация и других методов верификации. Создатели Let's Encrypt надеются, что подобная возможность, часто упоминаемая в пожеланиях пользователей и заметно упрощающая работу при задействовании на сайте нескольких поддоменов, будет способствовать достижению цели проекта - 100% охват сайтов протоколом HTTPS (сейчас доля са https://www.opennet.ru/openforum/vsluhforumID3/111675.html#63 Mon, 17 Jul 2017 15:29:55 GMT &gt; (надеюсь, очевидно, почему использовать self-signed - плохая, никуда не годная идея? ) <br><br>Честно говоря, нет. Я про случай, когда вам одному нужно ходить на свои ресурсы.<br> https://www.opennet.ru/openforum/vsluhforumID3/111675.html#62 Wed, 12 Jul 2017 05:05:21 GMT &gt; Тем более что и сейчас никто хацкерам не мешает купить домен (и серт на него) <br>&gt; "sderbank.ru", причем хоть обычный, хоть wildcard.<br><br>не мешает. А вот EV - помешает то, что при этом надо предъявлять правдоподобные документы (и чаще всего - на бумаге, никаких факсов), и читать их будет вполне себе такой настоящий нотариус - соответственно, еще никаких денег-паролей не сперев, ты уже вешаешь на себя статью о подделке документов, ну, или показываешь свои настоящие документы, в результате появляется невиртуальная жопа, за которую тебя могут взять.<br><br>Происходит все это небыстро и неавтоматически, поэтому велик риск вообще не встретить на свободе письмо счастья с подтверждением выдачи сертификата. Проще у того лоха отжать мобилу (вместе со всеми банками-онлайн, хехехе)<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/111675.html#61 Tue, 11 Jul 2017 18:53:40 GMT У АНБ точно так же могут быть ключи и от Verisign, Thawte и прочих комод. А если нет разницы, зачем платить больше?<br> https://www.opennet.ru/openforum/vsluhforumID3/111675.html#60 Tue, 11 Jul 2017 14:06:05 GMT &gt; Да вы похоже тоже так себе эксперт. Речь идет о ключе которым <br>&gt; подписан корневой сертификат. Такой ключ позволяет выпустить любую цепочку.<br><br>есть более простые способы, просто свой CA сертификат распространить через windows обновление (обновления доверенных корневых сертификатов). Нафиг АНБ геморрой с закрытыми ключами, доступ до чего-то получать. будьте проще. <br><br>и выписывай хоть любой сертификат<br> https://www.opennet.ru/openforum/vsluhforumID3/111675.html#59 Tue, 11 Jul 2017 14:03:33 GMT &gt; Если для вас это так важно, используйте свой CA, его никто не <br>&gt; сможет отозвать.<br><br>к сожалению, мой тикет все еще 'INVALID'. <br>https://bugzilla.mozilla.org/show_bug.cgi?id=647959<br>- может, переоткроете? Правда, кто будет платить webtrust.org ? (очаровательной организации, неспособной настроить сайт на собственном корневом домене, но подписанной проверять профпригодность всех остальных, ага)<br><br>(надеюсь, очевидно, почему использовать self-signed - плохая, никуда не годная идея? )<br><br> https://www.opennet.ru/openforum/vsluhforumID3/111675.html#58 Tue, 11 Jul 2017 13:51:16 GMT &gt; Во-первых, подобное можно вообще про любой CA<br><br>очевидно, про wosign - нельзя, китайские спецслужбы оказались явно достаточно компетентны, чтобы не пускать конкурентов.<br>(а комода, помнится, жила/живет в GB?) У US, внезапно, нет эксклюзивного права на создание CA.<br><br>&gt; Во-вторых - и что? На один случай, когда прятаться надо от спецслужб сотни тысяч - когда<br>&gt; прятаться надо от обычного ворья.<br><br>от обычного ворья очень плохо прятаться за скриптованной системой, хранящей ключи в открытом виде прямо на сервере и подтверждающей владение тупым автоматическим запросом - для обычного ворья как раз гораздо проще и понятнее получение физического доступа к серверу/взлом/кража домена, чем встраивание в магистральные каналы операторов. Угадайте, для кого как раз обычнее и доступнее - второе?<br><br>&gt; В-третьих - если у тебя с АНБ проблемы <br><br>у тебя могут быть проблемы не с самой АНБ, а с вшивым мексом-аутсорсером в фирме-контрактере фирмы-аусторсера АНБ, по совместительству работающим на местную банду. Ну или все то же сам https://www.opennet.ru/openforum/vsluhforumID3/111675.html#57 Mon, 10 Jul 2017 23:49:00 GMT Да вы похоже тоже так себе эксперт. Речь идет о ключе которым подписан корневой сертификат. Такой ключ позволяет выпустить любую цепочку. <br> https://www.opennet.ru/openforum/vsluhforumID3/111675.html#56 Mon, 10 Jul 2017 12:41:03 GMT &gt; Моё мнение, закрытые ключи уже давно у АНБ, если вообще не они <br>&gt; генерировали эти самые ключи. Доверия к let's encrypt ноль.<br><br>вы процедуру выпуска сертификатов вообще знаете? закрытые ключи генерируются исключительно по время генерации запроса на выдачу сертификата и хранится он только и исключительно у владельца того, кто генерирует запрос на выпуск сертификата. <br><br>не нужно выдумать того, в чем вы не разбираетесь<br> https://www.opennet.ru/openforum/vsluhforumID3/111675.html#55 Mon, 10 Jul 2017 07:39:57 GMT &gt;&gt; А, кроме понта, зачем они нужны?<br>&gt; Ты когда карточкой что-нибудь оплачиваешь, тебе не интересно знать, делаешь ты это <br>&gt; на сайте банка или каком-то левом?<br><br>мало того, когда увольняется сотрудник, имевший доступ к закрытым ключам сертификатов - инициируется процесс перевыпуска всех сертификатов, к которым он имел доступ. Так делается у нас в банке. <br>Копии закрытых ключей хранятся на ноутбуке, а ноутбук лежит в сейфе. доступ к которому осуществляется через начальника управления. И этот ноутбук не включается ни в какую сеть! т.е. работа на нем исключительно без сети!<br>