Удостоверяющий центр Digicert намерена 11 июля отозвать около 50 тысяч TLS-сертификатов уровня EV (Extended Validation). Отзыву подлежат сертификаты, выданные через аккредитованные удостоверяющие центры, не фигурирующие в отчётах для аудита...Подробнее: https://www.opennet.me/opennews/art.shtml?num=53334
Диверсия?
Саботаж
Бритва Хенлона.
Есть только два типа центров сертификации:
Let’s Encrypt и ненужный мусор,который скоро отомрёт.
И собственные сертификаты для ограниченного круга лиц и служб.
Есть два типа людей: те, которые делят всё на два типа, и те, которые такой глупостью не занимаются.
И среди тех, кто такой глупостью не занимается, есть множество людей которые делят на два типа только те понятия, которые удобно делить именно на два типа.
Есть два типа языков программирования: с явной типизацией и с неявной )
Есть только один тип с явной типизацией. Остальное - мусор, не заслуживающий внимания.
и даже с явной типизацией есть два типа, жрущих ресурсы системы: мусор и сборщик мусора
А как же https://www.buypass.com/?
заметим, товарищи, потом этот аноним этими же самыми руками будет рассказывать нам про зонды от микрософта или там эппла.а в случае леценкрипт - сам вставляет, причем "добровольно и с песнями!"
Интересно, в итоге, законодательством какой страны будет регулироваться интернет?
Беларуси
Законодательством страны, которая любой другой стране может надавать по ушам, в военном, финансом и политическом превосходстве... Или что то поменялось в джунглях???
Суббота.. хорошо.Рабует только, что браузеры в массе своей болт клали на проверку, что серт отозван и все продолжит работать.. А на странные далобы от маргинальных браузеров все забьют :)
В чем разница между самоподписным сертификатом и lests encrypt?Кроме как в зелёной иконке и немалой вероятностью, что ваш приватный ключ уже не такой и приватный?
В том что люди, заходя на самоподписанный сайт, будут срать кирпичами от "STOP RIGHT THERE CRIMINAL SCUM!" на весь экран в своём неуютном хроме. Маленькую ссылочку "continue to the site" многие даже искать не станут. А уж читать сертификат и понимать, почему он вызвал такой алерт - и подавно.
Вывод: если твоя ЦА - быдло - покупай цердефекаты.
> если твоя ЦА - быдло - покупай цердефекаты.Небыдлу плевать на MITM?
А можно поподробнее мнение профессионала на тему как утекает приватный ключ, если отправляется только подписанный этим ключом запрос на выпуск LE-сертификата?
очень просто: это ты думаешь, что отправляется только что-то там, что тебе показалось правильным. А самообновляющийся (!) код шитбота (имеющий полный доступ ко всем твоим ключам, которые, кстати, сам же и сгенерит как ему хочется) отправит то, что ему скажет хозяин. И, кстати, тут же снова обновится, никакого палева.Хотя, разумеется, "тысясигласс" не заметит даже если прямо в открытую его сливать - как не замечал пять лет грепа по json в "простой, надежной, безопасной, с минимумом сторонних зависимостей" альтернативе шитбота.
А меж тем закон о бэкдорах успешно миновал сенат.
> это ты думаешь, что отправляется только что-то там, что тебе показалось правильным. А самообновляющийся (!) код шитбота (имеющий полный доступ ко всем твоим ключам, которые, кстати, сам же и сгенерит как ему хочется) отправит то, что ему скажет хозяин. И, кстати, тут же снова обновится, никакого палева.Если ты такой болван, что используешь certbot-auto, это не значит, что все остальные такие же.
ЦА выписывающему сертификат зачем нужен приватный когда можно выписать себе другой, а среди логов обновлений сертификатов каждый месяц найди где ты обновлял а где ЦА для себя.
А это далеко не единственная и не главнвя причина не использовать certbot-auto.
В том, что мозги надо иметь, чтобы понимать, почему иконка зелёная, и что происходит с приватным ключом (а чего не происходит).
Хром и мозила убили EV сертификаты отображая в браузере как обычный бесплатные LE сертификат, а чтобы увидеть информацию о сертификате это ещё постараться надо.
У меня рядом со значком замка отображается название организации для EV-сертификатов. Я отстал от жизни, и в не-ESR выпусках уже не так?
Вместо жирной зелёной строки теперь такое же как у всех серенький замочек.Отличие выражается в том, что если нажать на этот замочек появится всплывающее окно:
DV/OV - "Защищенное соединение" зеленым цветом.
EV - "Защищенное соединение" зеленым цветом. И снизу сереньким "Сертификат выдан: ООО Кишки и Ленточки".Разницу между DV и OV сертификатом можно увидеть только по наполнению полей внутри самого сертификата. У OV заполнены O, L, S, C
EV от OV как раз и отличались всегда специальной пометкой внутри браузеров "зеленая строка". Уже 2018-ом году EV был мёртв. Google и Mozilla его убили даже MS его оставил только в Богом забытом ишаке и то, потому что ишак никто не обновляет. Может вам пора обновиться?
Эпопея с тотальным внедрением HTTP2 вынуждающим к выпуску сертификатов привела к тому что DV стали бесплатными или стоить $10, если они на год, а EV стал не нужен. Нехер воздухом торговать.
Отсутствие видимого отличия между DV и OV вынуждает тем кто продаёт OV предоставлять какие-то услуги наряду с продажей воздуха за деньги, типа удобный личный кабинет, API всякое итп.
> Может вам пора обновиться?68.10.0esr пока вполне актуален. Причём 68 версия вышла в 2019 году, так что сказки про 2018 вызывают сомнения.