The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Проект Let's Encrypt опубликовал планы на 2019 год"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от opennews (ok), 03-Янв-19, 12:17 
Некоммерческий удостоверяющий центр Let’s Encrypt (https://letsencrypt.org), контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, подвёл (https://letsencrypt.org/2018/12/31/looking-forward-to-2019.html) итоги прошедшего года и рассказал о планах на 2019 год. В 2018 году доля запросов страниц по HTTPS увеличилось с 76% до 77%. Проектом Let's Encrypt выдано (https://letsencrypt.org/stats/) 87 млн сертификатов, охватывающих около 150 млн доменов (год назад было охвачено 61 млн доменов и прогнозировался рост до 120 млн к концу 2018 года). В 2019 году сервис планирует преодолеть планку в 120 млн активных сертификатов и  215 млн сайтов.


В 2019 году планируется внедрить многопозиционную систему проверки, при которой подтверждение полномочий на получение сертификата для домена производится с использованием нескольких проверок, выполняемых из территориально разнесённых подсетей, привязанных к разным автономным системам. Данная система позволит минимизировать риски получения сертификатов на чужие домены путём проведения целевых атак, перенаправляющих трафик через (https://www.opennet.me/opennews/art.shtml?num=48679) подстановку (https://www.opennet.me/opennews/art.shtml?num=48494) фиктивных марштрутов при помощи BGP. При использовании многопозиционной системы проверки атакующему потребуется одновременно добиться перенаправления маршрутов для нескольких автономных систем провайдеров с разными аплинками, что значительно сложнее, чем перенаправление единичного маршрута.


Из других планов отмечается формирование общедоступного журнала Certificate Transparency (https://www.certificate-transparency.org/) (CT), в котором будут отражены все выданные сертификаты. Публичный лог даст возможность проводить независимый аудит всех изменений и действий удостоверяющего центра. Для защиты от искажения данных задним числом при хранении в логе Certificate Transparency применяется древовидная структура "Дерево Меркла" (Merkle Tree), в которой каждая ветка верифицирует все нижележащие ветки и узлы, благодаря совместному (древовидному) хешированию. Имея конечный хэш пользователь может удостовериться в корректности всей истории операций, а также в корректности прошлых состояний БД (корневой проверочный хэш нового состояния базы вычисляется с учётом прошлого состояния).


В наступившем году также планируется ввести в эксплуатацию корневой и промежуточный сертификаты, созданные с использованием алгоритма ECDSA, более эффективного, чем ныне используемый RSA. В планах также упоминается подготовка для nginx модуля для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment). В прошлом году подобный модуль уже был включён (https://www.opennet.me/opennews/art.shtml?num=48335) в состав Apache httpd.


Текущая серверная инфраструктура Let's Encrypt обрабатывает примерно 5.5 миллиарда запросов в день. В 2019 году прогнозируется рост нагрузки на 40%. Оборудование размещено в двух датацентрах. Серверы, хранилища, HSM, коммутаторы и межсетевые экраны занимают 55 юнитов в стойках. Поддержанием инфраструктуры занимается команда из шести инженеров, трудоустроенных на постоянной основе. В 2019 году запланировано внедрение более быстрых систем хранения для серверов с СУБД.

Запланированный на 2019 год бюджет  составит 3.6 млн долларов, что на 600 тысяч долларов больше, чем бюджет 2018 года. Средства собираются в основном за счёт финансовой помощи от крупных спонсоров (https://letsencrypt.org/sponsors/), таких как Cisco, OVH, Mozilla, Google Chrome, Electronic Frontier Foundation и Internet Society.


URL: https://letsencrypt.org/2018/12/31/looking-forward-to-2019.html
Новость: https://www.opennet.me/opennews/art.shtml?num=49896

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проект Let's Encrypt опубликовал планы на 2019 год"  –22 +/
Сообщение от A.Stahl (ok), 03-Янв-19, 12:17 
Зашёл, увидел что никто ещё не отписался и попробовал написать какую-то злую шутку.
Но, блин, проект настолько со всех сторон хорош, что ничего саркатического не придумалось.
Вот этим он и плох. Плох тем, что в него даже плюнуть нет повода.
Фух, нашёл таки изъян. Аж полегчало.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Проект Let's Encrypt опубликовал планы на 2019 год"  +7 +/
Сообщение от Аноним (2), 03-Янв-19, 12:24 
Заходит как то в бар по https бесконечное число математиков, а бармен им и говрит: Let's Encrypt!
Умом не блещу, простити.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Проект Let's Encrypt опубликовал планы на 2019 год"  –1 +/
Сообщение от Аноним (4), 03-Янв-19, 12:31 
Это на факториал намек?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

60. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Sw00p aka Jerom (?), 03-Янв-19, 22:41 
скорее на теорему Вильсона ;)

(n - корень из(n)) факториал, не сравним с 0 по модулю n

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

68. "Проект Let's Encrypt опубликовал планы на 2019 год"  –1 +/
Сообщение от Аноним (68), 03-Янв-19, 23:59 
Заявка на и получение сертификата - тебя Д Е А Н О Н И М И З И Р У Е Т
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Проект Let's Encrypt опубликовал планы на 2019 год"  +2 +/
Сообщение от Аноним (5), 03-Янв-19, 12:41 
Я тебе помогу, смотри:

"Глобальная централизованная цензура, подконтролем небольшой уютненькой конторки) Зато с иллюзией безопасности)."

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

14. "Проект Let's Encrypt опубликовал планы на 2019 год"  +5 +/
Сообщение от Аноним (14), 03-Янв-19, 13:08 
ой. 100500 удостоверяющих центров. И даже бесплатные сертификаты много кто выдает
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

27. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Аноним (27), 03-Янв-19, 14:55 
Зловреды имеют реальные сертификаты. Штыри имеют реальные сертификаты. Совместными усилиями этих как бы противоположностей система сертификации полностью дискредитирована. Вывод - баловство все это. ... Ну кому-то надо было крикнуть: "А король-то голый!"
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

99. "Проект Let's Encrypt опубликовал планы на 2019 год"  +2 +/
Сообщение от Аноним (99), 04-Янв-19, 14:15 
> Зловреды имеют реальные сертификаты.

А не должны? Шифрование трафика не про безопасность сайта. Шифрование трафика про безопасность передачи данных между клиентом и сервером. Зеленый замок показывает, что данные по пути не доступны посторонним.
Если ты собрался бороться со зловредами, то борись на уровне доменов и их регистрации. Если есть домен, то владелец должен иметь возможность получить сертификат для шифрования. Цензура на уровне выдачи сертификатов не нужна, и глупо агитировать за введение. Ударит она не только по зловредам уже (как 282). Что там сервер хостит, не CAбачье дело, их дело подтвердить контроль над доменом и выдать сертификат шифрования.
> Штыри имеют реальные сертификаты.

Кто?

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

100. "Проект Let's Encrypt опубликовал планы на 2019 год"  –1 +/
Сообщение от Иван Семеныч (?), 04-Янв-19, 14:54 
> Шифрование трафика про безопасность передачи данных между клиентом и сервером

С этим и ssh справляется, без всяких удостоверяющих центров. А HTTPS ещё и подтверждает, что сервер -- тот за кого себя выдаёт.

Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

116. "Проект Let's Encrypt опубликовал планы на 2019 год"  +1 +/
Сообщение от Аноним (116), 05-Янв-19, 19:49 
В ssh ты соединяешься со знакомым тебе сервером, возможно даже подконтрольным. Удачи в масштабах веба ssh-подход делать. Предлагаешь автоматически устанавливать соединение без проверки? Человеки посередине будут рады, а шифрование бессмысленным. Предлагаешь показывать юзерам диалог? Они этого не хотят.

> А HTTPS ещё и подтверждает, что сервер -- тот за кого себя выдаёт.

https://habr.com/post/425261/
https://www.troyhunt.com/extended-validation-certificates-ar.../
> EV-сертификаты мертвы
> Десять крупнейших в мире сайтов: нигде нет EV

Поэтому нет, не подтверждает что тот, за кого себя выдает. Подтверждает что тот, с кем ты устанавливаешь шифрованное соединение, владеет этим доменом, а не кто-то другой. И что никто посередине не может изменить трафик, подменив информацию или вставив свой скрипт, как в http. А домен может быть любым, хоть фишинговым paipal, делающим вид, что он paypal. Это не проблема HTTPS и CA.
Юзер должен смотреть на домен, если не хочет попасть. А HTTPS только подтверждает шифрованную связь с этим доменом из адресной строки, в этом его суть и основное массовое применение.

Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

129. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от пох (?), 11-Янв-19, 16:16 
> В ssh ты соединяешься со знакомым тебе сервером, возможно даже подконтрольным.

алиса, это сервер, сервер - это алиса!

> Предлагаешь автоматически устанавливать соединение без проверки?

если тебя не интересует реальная безопасность, то - да.

> Человеки посередине будут рады, а шифрование бессмысленным.

в большинстве случаев они и так рады, и шифрование- бессмысленно, независимо от их радости.
Котики твои никому не нужны, ни шифрованные, ни нет.

> Предлагаешь показывать юзерам диалог? Они этого не хотят.

значит им не надо ничего показывать, и безопасность им не нужна

> Подтверждает что тот, с кем ты устанавливаешь шифрованное соединение, владеет этим доменом, а не
> кто-то другой.

тоже необязательно - подтверждает что тот с кем устанавливаешь соединение, сумел убедить робота полоумного, что он "владеет этим доменом".

то есть до эпохи DV было надежнее - убеждать надо было _людей_, и человеческими методами - документами на бумаге. А чувак, ломанувший инфраструктуру dns, внезапно, вовсе не мог поменять твой сертификат на свой.

> Юзер должен смотреть на домен, если не хочет попасть.

юзер не хочет на него смотреть, он хочет котиков и без лишних усилий
к тому же масса интересных экспериментов с юникодными доменами как бы должна уже навести на некоторые разумные мысли - но, увы, нет.

Ответить | Правка | ^ к родителю #116 | Наверх | Cообщить модератору

36. "Проект Let's Encrypt опубликовал планы на 2019 год"  +5 +/
Сообщение от EHLO (?), 03-Янв-19, 16:05 
Выдаёт кто угодно, а забанить глобально может одна шарага. Максимум полторы.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

48. "Проект Let's Encrypt опубликовал планы на 2019 год"  +5 +/
Сообщение от rshadow (ok), 03-Янв-19, 18:09 
Вот прилетят рептилоиды, а у вас тут всего лишь какой то сран*й https для защиты Земли.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

15. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Аноним (-), 03-Янв-19, 13:10 
> Зашёл, увидел что никто ещё не отписался

Сообщение от opennews (ok), 03-Янв-19, 12:17
Сообщение от A.Stahl (ok), 03-Янв-19, 12:17

Не все мониторят опеннет в режиме реального времени, лишь бы оставить свое «первый|-|ах».

> и попробовал написать какую-то злую шутку. Но, блин, проект настолько со всех сторон хорош, что ничего саркатического не придумалось.

И далеко не у всех начианает зудеть чуть пониже спины, если не удается отметится в новости.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

39. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Аноним (39), 03-Янв-19, 17:04 
> Сообщение от opennews (ok), 03-Янв-19, 12:17
> Сообщение от A.Stahl (ok), 03-Янв-19, 12:17

Сама новость датирована 03.01.2019 11:48
Время первого сообщения, это не время новости, а время начала обсуждения. Дата первого ответа и исходного сообщения всегда совпадают.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

28. "Проект Let's Encrypt опубликовал планы на 2019 год"  –7 +/
Сообщение от OpenEcho (?), 03-Янв-19, 15:02 
Сидят Цукерберг(Ц) с Брином(Б), пиво пьют:
Ц- Ок, безмозглое стадо загнали в стойло, а че делать с параноиками ?
Б- Надо делать то же самое что и с общим стадом, дать им на халяву что нибудь, то что они любят...
Ц- Кажется они пекуться сильно о их приватных данных которые наxеp никому не уcрались...
Б- Так давай им дадим шифрование, один хер с нашими мощностями если надо, то ломанем...
Ц- Классная идея... Давай, я найду хомяков и оплачу им поддержку центра сертификации SSL
Б- Ок, а я тогда возьму на себя где хранить certificate transparency, нам ведь нужна статистика, мета и граф, а параноикам видимость честности.
Ц- Ок, то что надо, и волки сыты и овцы целы, на том и порешим, куда мотнемся теперь кайфануть...
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

50. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от rshadow (ok), 03-Янв-19, 18:11 
Это сработало бы, но они сами относятся либо к первому, либо ко второму типу =) Круг замкнут.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

102. "Проект Let's Encrypt опубликовал планы на 2019 год"  –2 +/
Сообщение от Аноним (102), 04-Янв-19, 20:06 
Дело в том, что ssl в большинстве случае - это шапочка из фольги для скрытия ничего не значащих данных типа обсуждения погоды на сегодня. Ну и помогает это лишь от случайных "хакеров". Опасность социальных сетей в том, что люди добровольно сдают себя службам на 3 буквы, тщательно расписывая свои интересы, контакты, своё прошлое, настоящее и планы на будущее. Потому сами по себе центры SSL-сертификации совсем не опасны, а вот от поведения, характерного для соц. сетей, это ну никак не спасёт.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

114. "Проект Let's Encrypt опубликовал планы на 2019 год"  +1 +/
Сообщение от OpenEcho (?), 05-Янв-19, 16:17 
Всем 'минусувальщикам' и вам посвящается:

> центры SSL-сертификации совсем не опасны

Вы очень глубоко заблуждаетесь.
Каждый браузер по умолчанию при посещении HTTPS ресурса - проверяет SSL сертификат на валиднось опираясь на поставляемые вместе с браузером корневые центры сертификации И(!!!) проверяет если SSL сертификат не был отозван посещая OSCP сервер центра сертификации, который выдал сертификат.

Т.е. брождение по интернету индивидума очень легко отследить(каждый коннект - стучит на OSCP, показывая IP клиента), а так же составить рейтинг посещения определенных ресурсов. Именно поэтому гугля грозится в будущем вообще игнорировать сайты без SSL, ну и естественно прихвостень ака продажная лиса, под видом заботы о пользователях тоже планирует сделать тоже самое.
(Пока что есть возможность избежать этого просто отключив проверку по OSCP в браузере или настроив веб сервак таким образом, чтобы он говорил клиенту не бегать на OSCP а делает это вместо клиента, но таких серваков - раз, два и обчелся и не факт что это будет поддерживаться браузерами всегда)

SSL сертификат защищает только от men-in-a-middle, но раскрывает хождения по интернету если OSCP проверка включена в браузере. Теперь, если любители веры в их защищенность будут читать внимательно terms&policies на сайтах которые они посещают, то увидят, что практически все говорят о том, что раскроют данные при необходимости сильным мира сего. В итоге, в большинстве случаев, SSL просто защита от недобросовестных работников инернет провайдера и промежуточных роутеров, которые могут просматривать проходящий не шифрованный трафик.

Внедряя повсеместно SSL, слежка очень сильно облегчается, клиент не может сказать что он это не он а провайдер подменивщий траффик, ну и еще много полезностей, которые позволят гугле и Со. отсечь конкурентов в дата майнинге.

Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

127. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от freehckemail (ok), 09-Янв-19, 17:35 
> Пока что есть возможность избежать этого просто отключив проверку по OSCP в браузере

Ну-ну, вы думайте, какие советы даёте. Выставлять это глобально -- очень плохая затея. Особенно если пользователь совершает покупки в интернете, например, могут запросто оказаться скомпрометированы данные банковской карты и всё, привет.

> SSL сертификат защищает только от men-in-a-middle

Man-in-the-middle

> В итоге, в большинстве случаев, SSL просто защита от недобросовестных работников инернет провайдера и промежуточных роутеров, которые могут просматривать проходящий не шифрованный трафик.

Так это, в общем-то никогда и не скрывалось. PKI именно для того и придуман. Казуалам на самом деле стоит бояться не крупных мира сего, а как раз самых, что ни на есть, заурядных кракеров в ISP.

> Внедряя повсеместно SSL, слежка очень сильно облегчается

Опять же, облегчается слежка за казуалами. Мы же можем продолжать использовать Tor и прочие анонимайзеры.

Ответить | Правка | ^ к родителю #114 | Наверх | Cообщить модератору

128. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от OpenEcho (?), 10-Янв-19, 22:01 
>Ну-ну, вы думайте, какие советы даёте. Выставлять это глобально -- очень плохая затея.

Да согласен 100%, просто из полезной фичи сделали каку, покупать и ходить в банк онлайн все же реже, чем просто бродить в нете.
Для банков и покупок вообще-то надо держать отдельный профиль, а для всего остального все же лучше ИМХО прикрыть дыру.
Вот почему то ходить по дому в трусах, а на работу в костюме - это нормально, а вот держать раздельные учетки экаунтов или профилей - ну это просто страшно аж как тяжело для народа.

Ответить | Правка | ^ к родителю #127 | Наверх | Cообщить модератору

124. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Sirota (ok), 07-Янв-19, 04:43 
Кто-нибудь остановит эту свинью Шталя?
Оно везде, как протечка канализации.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Проект Let's Encrypt опубликовал планы на 2019 год"  –16 +/
Сообщение от Онаним (?), 03-Янв-19, 12:46 
Выдачу сертификатов на год внедрить не планируется? Нет. Мимо.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Проект Let's Encrypt опубликовал планы на 2019 год"  +8 +/
Сообщение от Аноним (-), 03-Янв-19, 12:55 
Не осилил автопродление?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

16. "Проект Let's Encrypt опубликовал планы на 2019 год"  –11 +/
Сообщение от Онаним (?), 03-Янв-19, 13:12 
Не вижу смысла плясать вокруг автопродления и прибиваться гвоздями к сторонней системе, если ныне за $5-$8 можно купить сертификат на год (а на 2-3 выйдет ещё дешевле).
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

18. "Проект Let's Encrypt опубликовал планы на 2019 год"  +11 +/
Сообщение от Аноним (-), 03-Янв-19, 13:17 
Ясно, не осилил.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Проект Let's Encrypt опубликовал планы на 2019 год"  –1 +/
Сообщение от А (??), 03-Янв-19, 13:27 
Автопродление на вайлдкард как, умник?
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

21. "Проект Let's Encrypt опубликовал планы на 2019 год"  +4 +/
Сообщение от Аноним (-), 03-Янв-19, 13:30 
Провайдер DNS с API.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

23. "Проект Let's Encrypt опубликовал планы на 2019 год"  –5 +/
Сообщение от Онаним (?), 03-Янв-19, 13:56 
Потом это извращение с 6 инженерами сломают, и оно наавтовыдаёт вайлдкардов на чужие домены. Нахер.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

24. "Проект Let's Encrypt опубликовал планы на 2019 год"  –3 +/
Сообщение от Онаним (?), 03-Янв-19, 14:06 
Вообще это один из редких случаев, когда доверия к крупным корпорастам с их немеряными ресурсами сильно больше.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

38. "Проект Let's Encrypt опубликовал планы на 2019 год"  +1 +/
Сообщение от имя (?), 03-Янв-19, 16:59 
Ага, как к примеру симантек которого все браузеры забанили, ибо админка была с дефолтным паролем.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

49. "Проект Let's Encrypt опубликовал планы на 2019 год"  –7 +/
Сообщение от . (?), 03-Янв-19, 18:10 
главное - верь! симантек плахой, плахой, а вот у шести инженегров транспаренсия (попутно намертво фиксирующая кто ты и где какие сертификаты брал до того) и вообще все прекрасно.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

67. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от .. (?), 03-Янв-19, 23:58 
И как оно это фиксирует?

А в других местах не спрашивают кто ты такой совсем? Бери и заказывай анонимно, да?

Letsencrypt-ом можно генерить серты без рута, на любом хосте с любым email, потом копировать и использовать на другом хосте, только DNS менять и всё.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

92. "Проект Let's Encrypt опубликовал планы на 2019 год"  –1 +/
Сообщение от . (?), 04-Янв-19, 13:15 
> А в других местах не спрашивают кто ты такой совсем?

а других я меньше склонен подозревать в том, что ответы они сольют гуглю - был, пока эти другие вообще были. Но они таки именно за это гуглем и уничтожены.

А транспаренсия эта теперь для всех обязательна, а кто тебя туда не слил - корову отнимут.

> Letsencrypt-ом можно генерить серты без рута, на любом хосте с любым email

нельзя. ну то есть без рута можно, он не для генерации сертификата, но где админу локалхоста разобраться...

> потом копировать и использовать на другом хосте, только DNS менять и всё.

угу, только. И раз в три месяца, а лучше раз в месяц всю насквозь дырявую процедуру повторять. Зато - безопасТно!

гугль о тебе позаботится, детка,тебе не надо ничего такого делать, просто используй встроенный в твой веб-сервер модуль.

Оно, кстати, вообще-то и безопаснее твоего "только dns менять под дудку гугля", но где тебе и это-то понять...

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

44. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Аноним (-), 03-Янв-19, 17:30 
Неплохо меняешь тему
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

54. "Проект Let's Encrypt опубликовал планы на 2019 год"  –1 +/
Сообщение от Аноним (54), 03-Янв-19, 18:33 
6 инженеров занимаются серверами, там бы и одного, максимум двух хватило.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

56. "Проект Let's Encrypt опубликовал планы на 2019 год"  +5 +/
Сообщение от _ (??), 03-Янв-19, 18:42 
Нет сынок, не хватило бы. Почитай в энторнетах про 24/7 и про 5-6-7 девяток, зачем оно и чего для него нужно ...
🙂
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

53. "Проект Let's Encrypt опубликовал планы на 2019 год"  +1 +/
Сообщение от Ключевский (?), 03-Янв-19, 18:29 
certbot, не поверишь. Certbot и API твоего провайдера DNS. Все прекрасно работает.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

58. "Проект Let's Encrypt опубликовал планы на 2019 год"  –1 +/
Сообщение от хотел спросить (?), 03-Янв-19, 22:06 
Unfortunately, namecheap’s API is not supported in DNS validation, which means you need to enter the DNS records manually. (And renew manually)

Here are the steps. (From certbot.eff.org 197)
certbot --manual --preferred-challenges dns (and it will output the txt records you need to add)
(Remember, it’s two DNS records instead of one!)

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

104. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от А (??), 04-Янв-19, 21:12 
Нормальный днс не осилить арендовать или поднять? Даже есть специальные днс-серверы, куда ты делегируешь ту часть зоны, которая нужна для проверки, и которые умеют нужное API.

И, да, certbot не один такой скрипт. И написать свой модуль проверки через днс не велика сложность.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

109. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от хотел спросить (?), 05-Янв-19, 02:27 
> Нормальный днс не осилить арендовать или поднять? Даже есть специальные днс-серверы, куда
> ты делегируешь ту часть зоны, которая нужна для проверки, и которые
> умеют нужное API.
> И, да, certbot не один такой скрипт. И написать свой модуль проверки
> через днс не велика сложность.

А арендовать и поднять (какой-нить VPS), может тогда проще сертификат купить?

И нормальный это какой? У меня десятки доменных имен, если я даже потеряю в год на каждом на пятерке баксов, то мне проще купить дешевый сертификат от какого-нибудь комодо.

А вообще я обновляю пока руками.

Писать нет времени.

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

30. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от . (?), 03-Янв-19, 15:09 
э, хде, за 5-8? Или там опять какие-то перепродаваны, "вчера еше были по три, а сегодня только по 50" ?

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

37. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Онаним (?), 03-Янв-19, 16:20 
gogetssl.com
Естественно, всё когда-то кончится, но пятый год уже по $5-$8 - и это не "распродажа", а стабильный ценник.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

41. "Проект Let's Encrypt опубликовал планы на 2019 год"  +2 +/
Сообщение от имя (?), 03-Янв-19, 17:08 
Ну да, лучше заплатить и довериться какому-то nonamessl, чем проекту где всё прозрачно и бесплатно.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

46. "Проект Let's Encrypt опубликовал планы на 2019 год"  –2 +/
Сообщение от . (?), 03-Янв-19, 18:03 
да, вы ж так любите все бесплатное

все прозрачно, ага - кроме того, с чего это их такой вдруг альтруизм-то обуял, и почему под зачистку попали ВСЕ достойные конкуренты, совпадение, ну конечно же, просто совпадение.

Как и создание гуглезилой совершенно невыполнимых условий для появления новых CA.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

69. "Проект Let's Encrypt опубликовал планы на 2019 год"  –2 +/
Сообщение от .. (?), 04-Янв-19, 00:01 
Шапочка из фольги не жмёт?
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

70. "Проект Let's Encrypt опубликовал планы на 2019 год"  –2 +/
Сообщение от Онаним (?), 04-Янв-19, 00:04 
gogetssl - реселлер, который за $5 ребрендит comodo (а "родной" такой же серт от комодо у них стоит порядка $8), всё равно куда менее ноунейм, чем летсенкрипт
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

90. "Проект Let's Encrypt опубликовал планы на 2019 год"  +2 +/
Сообщение от Э (?), 04-Янв-19, 12:30 
В $5 вайлдкард тоже входит? Я зашел на их сайт, там какие-то $45 за вайлдкард.
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

93. "Проект Let's Encrypt опубликовал планы на 2019 год"  –2 +/
Сообщение от . (?), 04-Янв-19, 13:18 
ну то есть тебя жаба жмет даже за пятерку на сайт, ты еще дешевле хочешь (ибо вайлкард подразумевает, что у тебя там далеко не девять сайтиков) ? ну проходи, проходи, вон гуглозонд, бери и вставляй, щас все будет бесплатно и без смс
Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

45. "Проект Let's Encrypt опубликовал планы на 2019 год"  –2 +/
Сообщение от . (?), 03-Янв-19, 18:00 
ну я это и подозревал - там проблема, что сертификаты они перепродают (причем довольно стремных CA...впрочем, а кто теперь не стремные), причем чуть не каждый год - разные (что вызовет вопросы у параноиков вроде меня), да еще и каждый участник сделки оставляет о тебе на память кучу всякой ненужной неудаляемой инфы в своих бездонных big data хренилищах.

так что уже, вероятно, проще сдаться и начать строить свою инфраструктуру выгребания сертификатов с le, отдельно механизм, отдельно то место где эти сертификаты используются (и где нужен root equivalent для примения их сервером), отдельно свои сервера на совсем других хостах. Эта война, как и прочие, нами проиграна.

ну и да - считать любой сайт кроме уцелевших "зелененьких" по определению недоверенным. Кому надо шифрование - современный js вполне способен его обеспечить - end2end, и совершенно независимо от нашлепок над tсp. С аутентификацией пользователем сервера, увы, сложнее (впрочем, разумный справится, а умеющего только синее от зеленого отличать и не жалко совсем).


Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

71. "Проект Let's Encrypt опубликовал планы на 2019 год"  –3 +/
Сообщение от Онаним (?), 04-Янв-19, 00:06 
Thawte - это "стрёмный CA". По сравнению с LE. Я вас понял.
Ну и конечно же, LE нигде никаких данных не хранит, альтруисты. Коммерческие CA хотя бы явным образом денег за выпуск сертов получают, а вот насчёт источника доходов LE я бы посомневался.
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

94. "Проект Let's Encrypt опубликовал планы на 2019 год"  +1 +/
Сообщение от . (?), 04-Янв-19, 13:22 
так нет же ж уже никакого thawte, корпорация правильных вещей зобанила вместе с симантеком.
А комода, честно говоря, так себе попахивает.

> Ну и конечно же, LE нигде никаких данных не хранит, альтруисты.

те же что и комода им сливает - угадай, кто у нас владельцы обоих двух transparency списков?

но ты просто сравни, что о тебе хочет комода (отнюдь не только имя на кредитке), а что может узнать LE.

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

98. "Проект Let's Encrypt опубликовал планы на 2019 год"  +2 +/
Сообщение от Аноним (99), 04-Янв-19, 13:45 
> Кому надо шифрование - современный js вполне способен его обеспечить - end2end, и совершенно независимо от нашлепок над tсp.

Ого, какой петросян нашелся. А как ты изначальный js передашь неизменным без нашлепок над tcp? Через libastral?

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

52. "Проект Let's Encrypt опубликовал планы на 2019 год"  –1 +/
Сообщение от rshadow (ok), 03-Янв-19, 18:12 
Перессылку почтовыми голубями поддерживают? Нет. Мимо.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Проект Let's Encrypt опубликовал планы на 2019 год"  +1 +/
Сообщение от Аноним (7), 03-Янв-19, 12:52 
интересно как скоро это дело начнет монетизироваться
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Проект Let's Encrypt опубликовал планы на 2019 год"  –1 +/
Сообщение от Аноним (5), 03-Янв-19, 12:59 
В новом дивном коммунистическом мире успешность измеряться будет не в деньгах)
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

79. "Проект Let's Encrypt опубликовал планы на 2019 год"  +2 +/
Сообщение от Аноним (79), 04-Янв-19, 05:45 
... а в баллах!
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Проект Let's Encrypt опубликовал планы на 2019 год"  –4 +/
Сообщение от Аноним (12), 03-Янв-19, 13:07 
Не волнуйтесь, наверняка уже. Продают бигдату о серверах и используемом на них софте, а может и поинтереснее вещи. Автоматизация смены сертификата требует рут, все как на ладони.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

26. "Проект Let's Encrypt опубликовал планы на 2019 год"  +3 +/
Сообщение от Аноним (26), 03-Янв-19, 14:46 
А чуть дальше "как все", не пробовали?
Лови - https://github.com/diafygi/acme-tiny
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

105. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от А (??), 04-Янв-19, 21:13 
В чем отличие от acme.sh, не подскажете?
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

115. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от OpenEcho (?), 05-Янв-19, 16:28 
> В чем отличие от acme.sh, не подскажете?

Да в принципе - ни чем, за исключением того, что провести аудит кода легче с 200 строчками на питоне, вместо  6288 на shell-e

Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

122. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Аноним (122), 06-Янв-19, 19:38 
Есть dehydrated с 1782 строчками на шелле, которые умеют больше (например, проверка доменов через DNS и создание закрытого ключа для новых/обновляемых сертификатов), чем те 200 на питоне.
Ответить | Правка | ^ к родителю #115 | Наверх | Cообщить модератору

126. "Проект Let's Encrypt опубликовал планы на 2019 год"  –1 +/
Сообщение от OpenEcho (?), 09-Янв-19, 16:11 
> Есть dehydrated с 1782 строчками на шелле

dehydrated написан на баше. На башизмах. Если уж нужна многофункциональность, то лучше уж acme.sh, который работает на чистом sh

Ответить | Правка | ^ к родителю #122 | Наверх | Cообщить модератору

57. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от . (?), 03-Янв-19, 19:23 
вот не надо о них такую хрень думать.
ocsp они продают - то есть на сайте может не быть гуглоаналитики, но твой заход на него, пусть и не с точностью до урла, уже посчитан и добавлен к твоей истории.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

91. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Klk (?), 04-Янв-19, 12:58 
Про OCSP Stapling на стороне сервера слышали, не?

А у себя в браузере запросы OCSP сами выключайте, если на сервере настроен stapling - OK, если нет - нечего отчитываться куда ходили.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

95. "Проект Let's Encrypt опубликовал планы на 2019 год"  +1 +/
Сообщение от . (?), 04-Янв-19, 13:28 
слышал, но в моем сервере ресолвера и прочей опасной хрени, извините, не будет пока гугль и тут не начнет шантажировать.

> А у себя в браузере запросы OCSP сами выключайте, если на сервере настроен
> stapling - OK

не, не ок - если он выключен, то и доставшийся от чужого сервера на халяву не проверяется, afaik. (хехе - а вот теперь попробуйте потестировать, в мире без нормальных сертификатов)

> если нет - нечего отчитываться куда ходили

в целом, шанс нарваться на валидный но доставшийся хорошим ребятам сертификат, да еще и так что твой траффик в этот же момент достался им же - надо иметь уникальное везение, но все же вам не мешало бы оговориться что "нечего проверять, не украден ли или прочавкан сертификат и не пора ли давным-давно ему не верить"
А crl "очень долго грузились" и вообще гугль по ним никак не мог понять, на какой сайт вы зашли.

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

117. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Аноним (117), 05-Янв-19, 19:54 
> Автоматизация смены сертификата требует рут, все как на ладони.

Кто ж вам такую чушь сказал?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

10. "Проект Let's Encrypt опубликовал планы на 2019 год"  +2 +/
Сообщение от Аноним (10), 03-Янв-19, 12:59 
Всего 6 инженеров для такой инфраструктуры -- это показатель.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Проект Let's Encrypt опубликовал планы на 2019 год"  +1 +/
Сообщение от Аноним (17), 03-Янв-19, 13:16 
Показатель нормы прибыли
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

33. "Проект Let's Encrypt опубликовал планы на 2019 год"  +2 +/
Сообщение от _ (??), 03-Янв-19, 15:56 
Да всё нормально, в малоизвестной лавочке Sun к примеру было правило что региональный офис мог иметь столько инженеров, сколько Лямов в год оне зарабатывают. Ещё тех баксофффф 🧐
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

11. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Аноним (14), 03-Янв-19, 13:06 
>В планах также упоминается подготовка для nginx модуля для автоматизации получения и обслуживания сертификатов с использованием протокола ACME

Зачем добавлять глюки и тормоза nginx если webroot работает сразу и хорошо.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Аноним (12), 03-Янв-19, 13:08 
Чтобы получить бэкдор в нгинкс.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

40. "Проект Let's Encrypt опубликовал планы на 2019 год"  +4 +/
Сообщение от имя (?), 03-Янв-19, 17:05 
Какой бэкдор, опенсорц же? Скорее у вас бэкдор мозга.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

80. "Проект Let's Encrypt опубликовал планы на 2019 год"  –2 +/
Сообщение от Аноним (80), 04-Янв-19, 07:28 
>Какой бэкдор, опенсорц же?

А ты, конечно же, перед каждым обновлением _лично_ вычитываешь весь код системы?

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

82. "Проект Let's Encrypt опубликовал планы на 2019 год"  +1 +/
Сообщение от .. (?), 04-Янв-19, 09:00 
А давайте тогда всех подозревать в бэкдорах, и нгинкс, и линь и все остальные опен сорц проекты.

Верить только тем только у кого закрытый исходный код, ведь они продают его за деньги, а значит частные и бэкдоров там нет.

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

83. "Проект Let's Encrypt опубликовал планы на 2019 год"  +1 +/
Сообщение от .. (?), 04-Янв-19, 09:01 
честные*
Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

103. "Проект Let's Encrypt опубликовал планы на 2019 год"  +3 +/
Сообщение от Аноним (103), 04-Янв-19, 20:31 
Заявлять об открытости софта, о возможности проверить его на вредоносный код.
@
Не читать его код, ведь надо просто верить в непогрешимость опенсорса.

Это уже что-то из разряда сектантства получается.

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

112. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Atlz (?), 05-Янв-19, 10:49 
Зачем весь? Достаточно вычитать изменения с прошлого обновления.
Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

113. "Проект Let's Encrypt опубликовал планы на 2019 год"  +1 +/
Сообщение от Аноним (113), 05-Янв-19, 13:14 
Зря анона заминусили. Безопасность опенсорса мнимая. Из тысячи скачавших сотня заглянет в сорцы ради интереса, только десяток будет читать код, из них двое-трое поймут, о чем там вообще идет речь. Если они будут достаточно сознательны, то запостят о найденном майнере, если нет - ваши проблемы. В конце концов это опенсорс, и вам тут никто ничего не обязан.
Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

123. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Аноним (122), 06-Янв-19, 19:57 
> двое-трое поймут, о чем там вообще идет речь

И хорошо, если из этих двоих-троих хотя бы один удосужится проверить соответствие бинарника(-ов) прочитанным исходникам.

Да и отсутствие условного майнера в условном nginx-е не означает "чистоты" кода сторонних библиотек. Так что либо параноить с вычиткой кода *всех* компонентов системы и самостоятельной их сборкой, либо полагаться на всё ту же честность разработчиков и мейнтейнеров. Опенсорс даже от "secutiry through obscurity" не полностью защищает, о гарантиях безопасности и говорить нечего — их нет.

Ответить | Правка | ^ к родителю #113 | Наверх | Cообщить модератору

19. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Аноним (19), 03-Янв-19, 13:19 
читаю комменты, сообщество обслуживающего системы персонала нынче не то.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Проект Let's Encrypt опубликовал планы на 2019 год"  +41 +/
Сообщение от Бананимemail (?), 03-Янв-19, 13:32 
Ставь лайк, если прочитал это на опеннете без https :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от username (??), 03-Янв-19, 14:17 
D'oh!
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

31. "Проект Let's Encrypt опубликовал планы на 2019 год"  –4 +/
Сообщение от Аноним (-), 03-Янв-19, 15:09 
Ставь лайк, если иконка HTTPS Everywhere у тебя красного цвета.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Аноним (42), 03-Янв-19, 17:10 
В кино нет иконки HTTPS Everywhere красного цвета, ставьте мою мне и минус чуваку выше.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

43. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Аноним (42), 03-Янв-19, 17:11 
Попытка номер 2 :(

У кого нет иконки HTTPS Everywhere красного цвета, ставьте плюс мне и минус чуваку выше.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

61. "Проект Let's Encrypt опубликовал планы на 2019 год"  +1 +/
Сообщение от Аноним (61), 03-Янв-19, 22:49 
Т9?
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

62. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Аноним (62), 03-Янв-19, 23:19 
> Т9?

Жестчайшее :) Да и не привык ещё, постоянно забываю после написания проверять, что он мне там наугадывал.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

81. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Аноним (80), 04-Янв-19, 07:29 
Свали на ютуб. Там еще подписку можешь выклянчить.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

32. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Это я (?), 03-Янв-19, 15:26 
ECDSA же небезопасен по причине наличия бэкдора... Или тут эта уязвимость не критична?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Аноним (61), 03-Янв-19, 16:01 
А пруф будет?
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

64. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Аноним (64), 03-Янв-19, 23:33 
Пруфы, а они такое слово знают вообще? Для начала и конца.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

85. "Проект Let's Encrypt опубликовал планы на 2019 год"  –1 +/
Сообщение от Это я (?), 04-Янв-19, 09:13 
Dual EC DRBG
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

86. "Проект Let's Encrypt опубликовал планы на 2019 год"  +3 +/
Сообщение от Аноним (86), 04-Янв-19, 10:32 
Это алгоритм ГПСЧ. Е ECDSA у него общее лишь то, что и там и там используется математика эллиптических кривых.
Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

88. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Это я (?), 04-Янв-19, 11:16 
Только этот ГПСЧ является частью стандарта для ECDSA.
Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

111. "Проект Let's Encrypt опубликовал планы на 2019 год"  +1 +/
Сообщение от хотел спросить (?), 05-Янв-19, 02:39 
> Только этот ГПСЧ является частью стандарта для ECDSA.

Уже не является

В OpenSSL реализованы все части NIST SP 800-90A, включая Dual_EC_DRBG, несмотря на его сомнительную репутацию. При этом создатели OpenSSL отметили, что они стремятся сделать OpenSSL полным и поэтому реализуют даже небезопасные алгоритмы. OpenSSL не использовал Dual_EC_DRBG по-умолчанию, и в 2013 году было обнаружено, что реализация OpenSSL Dual_EC_DRBG не работает и никто не мог ее использовать.[18]

Брюс Шнайер сообщил в декабре 2007 года, что Майкрософт добавила поддержку Dual_EC_DRBG в Windows Vista, хотя по умолчанию она не включена, и Шнайер предупредил о потенциальном бэкдоре.[26] Windows 10 и более поздние версии будут заменять вызовы Dual_EC_DRBG на вызовы генератора на основе AES.[27]

9 сентября 2013 года, из-за информации полученной от Сноудена, а также из-за доклада New York Times о бэкдоре в Dual_EC_DRBG, NIST объявил, что переиздает SP 800-90A и открывает SP 800-90B/C для общественного обсуждения. Сейчас NIST «настоятельно рекомендует» не использовать Dual_EC_DRBG.[28][29] Публикация бэкдора в принятом стандарте стало для NIST серьезным конфузом.[30]

RSA Security сохранила Dual_EC_DRBG как генератор по умолчанию в BSAFE даже после того, как бэкдор стал широко известен. После широко распространившегося беспокойства по поводу бэкдора была предпринята попытка найти программное обеспечение, которое использовало Dual_EC_DRBG, среди которого выделялся BSAFE. В 2013 году, начальник службы безопасности RSA Сэм Карри предоставил сайту Ars Technica обоснование выбора ошибочного стандарта Dual_EC_DRBG по умолчанию по сравнению с альтернативными генераторами.[31] Техническая часть заявления широко критиковалась криптографами.[32] 20 декабря 2013 года агентство Reuters сообщило, что RSA принял секретный платеж в размере 10 миллионов долларов от АНБ, чтобы установить Dual_EC_DRBG по умолчанию в двух продуктах шифрования.[23][33]

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

84. "Проект Let's Encrypt опубликовал планы на 2019 год"  +2 +/
Сообщение от Это я (?), 04-Янв-19, 09:07 
Погуглите по этой фразе: "Dual EC: A Standardized Back Door".
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

51. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от . (?), 03-Янв-19, 18:12 
конечно некритична - пропихивают-то ее именно те, кто этот бэкдор придумали.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

34. "Проект Let's Encrypt опубликовал планы на 2019 год"  +3 +/
Сообщение от Аноним (61), 03-Янв-19, 15:57 
>контролируемый сообществом

Это каким? Случайно не https://en.wikipedia.org/wiki/United_States_Intelligence_Com... ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

55. "Проект Let's Encrypt опубликовал планы на 2019 год"  +1 +/
Сообщение от Alexeyemail (??), 03-Янв-19, 18:33 
Хороший проект, и результаты интересные.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

59. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Аноним (59), 03-Янв-19, 22:23 
горькими слезами плачут глупые турки из comodo - их тупо заменили на shell script
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

97. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от . (?), 04-Янв-19, 13:34 
наоборот - им поубивали всех конкурентов.
но они, конечно, догадываются, кто будет следующим.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

65. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Аноним (64), 03-Янв-19, 23:41 
Да тут сотрудники провайдеров все слезами заливают. У них то https в каждой бочке бигдату уводит. ESNI и остатки уведет.
>Certificate Transparency

А тут пора самим УЦ повеситься на древе Меркла. Дюпами барыжить рожки обломаются.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

72. "Проект Let's Encrypt опубликовал планы на 2019 год"  +1 +/
Сообщение от Онаним (?), 04-Янв-19, 00:10 
Конкретно мы абонентский трафик за исключением случаев диагностики никак не анализируем, и вообще за это могут по голове настучать очень больно. За РФ не скажу, может у вас это принято.
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

75. "Проект Let's Encrypt опубликовал планы на 2019 год"  –1 +/
Сообщение от ы (?), 04-Янв-19, 01:07 
Верим-верим!
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

96. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от . (?), 04-Янв-19, 13:31 
у крупных не принято, дорого и нафиг не надо.
А васян-провайдер может, конечно, и содержимым юзерского траффика приторговывать, demdex там или еще что. У него каналы слабенькие, тотальная слежка недорого встанет.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

66. "Проект Let's Encrypt опубликовал планы на 2019 год"  –4 +/
Сообщение от Аноним (68), 03-Янв-19, 23:58 
Заявка на и получение сертификата - тебя Д Е А Н О Н И М И З И Р У Е Т
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

73. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Онаним (?), 04-Янв-19, 00:10 
So what?
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

74. "Проект Let's Encrypt опубликовал планы на 2019 год"  +3 +/
Сообщение от Аноним (64), 04-Янв-19, 01:05 
https = анонимность ну ты это титан логики и чтения мануалов угу.
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

78. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Аноним (78), 04-Янв-19, 03:03 
Зашифрованный файл на твоей флешке тебя деанонимизирует.
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

87. "Проект Let's Encrypt опубликовал планы на 2019 год"  +3 +/
Сообщение от Аноним (86), 04-Янв-19, 10:38 
Заявка состоит из публичного ключа для его подписи, публичного ключа аккаунта и адреса электронной почты, которые никак на деле не используется, а потому не обязан быть реальным. По факту, это такой description ключа аккаунта для отзыва сетификата, который из-за потенциального задела на будущее должен иметь формат адреса электронной почты.
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

89. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от GG (ok), 04-Янв-19, 12:25 
Адрес почты используется как минимум чтобы напоминать о заканчивающихся сертификатах тем недоадминам, которые не осилили автоматизировать их обновление.
Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

101. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Monster (?), 04-Янв-19, 19:26 
тут, похоже, собрались крутые спецы по LE.. :)
Вопросик, парни: я так и не смог победить автопродление wildcard сертификата.
С моим паршивым знанием наглийского, читая инструкции с оффсайта LE, сделал вывод что это невозможно.
Я правильно понял, или всё-таки можно настроить автопродление wildcard?
Если можно - не обломайтесь ткнуть в ссылку или хотя бы в ключевые слова, мне не удалось найти способа.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

106. "Проект Let's Encrypt опубликовал планы на 2019 год"  –1 +/
Сообщение от А (??), 04-Янв-19, 21:16 
В acme.sh есть, к примеру, скрипты работы с днс-провайдерами, и автопродление они умеют. Вы пробовали его?
Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

107. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Monster (?), 05-Янв-19, 00:54 
мммм... нет.
Они умеют автопродление именно wildcard?
У меня в процессе сначала требуется залить в зону запись, потом организовать веб со специфическим урлом для проверки. - Я использую certbot.
Как-то так сложилось, что первый мануал по LE был по нему. И всё практически сразу заработало. И работало, пока LE не разрешили wildcard. И теперь раз в 3 месяца у меня возникает желание от wildcard отказаться - но с кучей сертов много больше возни.
Все варианты автоматического продления, что удалось найти в инетах - относятся к простым сертификатам.
За наводку - спасибо, поковыряю. Я не великий (пока) спец в скриптах, опасаюсь запускать то, что не понимаю. К сожалению, понимаю пока далеко не всё.
Ответить | Правка | ^ к родителю #106 | Наверх | Cообщить модератору

108. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Monster (?), 05-Янв-19, 01:43 
Да, судя по описанию пакета acme.sh - Вы правы.
и поиск по acme.sh дал ссылку на гайд. Правда, надо настроить динамическую зону на bind (ни разу ещё не пробовал), и как-то не совсем понятно там... но это из-за слабого знания языка и общей моей "не в темности". Поэксперементирую.
Ещё раз спасибо за наводку!
Ответить | Правка | ^ к родителю #106 | Наверх | Cообщить модератору

118. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Anonim (??), 06-Янв-19, 04:07 
Подтверждение сертификатов на звезду на данный момент работает только через DNS авторизацию. Соотв читать как настроитиь DNS авторизацию автоматом в вашем любимом выписываетеле сертификатов для ЛЕ.
Я не знаю настолько хорошо петон, чтобы проверить код их бота для выписки (дла еще со всеми зависимостями) и дать ему права на изменения в своем DNSе и своем Вебе, поэтому нашел давно уже dehydrated (когда он еще носил девичью фамилию letsencrypt.sh), прост как пробка, написан на шеле, зависимости только от небольшого количества достаточно стандартных Unix утилит, вся авторизация которая сложнее чем положить файл для веб авторизации, а также для дерганья вашего любимого веб (да и не обязательно веб) сервера  делается через внешние хуки. В интернете легко находятся варианты для всяких популярных DNS сервисов и веб сервсисов, амазонов итд итп. т.к. я ими не пользуюсь, по писал сам. там не сложно написать свой хук на все что угодно. (хук писать нат шеле не обязательно, внешняя программа с известными параметрами, на чем вы её напишите - ваше дело.) При этом у хука не обязательно должны быть права напрямую дергать как ДНС так и веб сервер :) что мне особенно нравится. Например сертификаты я после дополнительной проверки раскладываю папетом.
есть также помянутый уже acme.sh, он посложнее, там тоже есть дергалки на всякие популярные DNSы итд..
Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

119. "Проект Let's Encrypt опубликовал планы на 2019 год"  –1 +/
Сообщение от пох (?), 06-Янв-19, 11:43 
"читать как настроить в dns кучу дырявого и опасного функционала, которого просто не должно быть в статичных внешних зонах, исключительно для удовлетворения шантажистов из гугля и около".

или вы руками файл зоны переписываете? (ну, в смысле , ваш скрипт именно его редактирует, а не пользуется динамикой)

Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору

120. "Проект Let's Encrypt опубликовал планы на 2019 год"  +1 +/
Сообщение от Anonim (??), 06-Янв-19, 13:12 
мой переписывает специально для него заточенный инклюд и релоадид зону.  Исключительно потому, что у меня нет динамических зон. Можно сделать и динамический апдейт. Кажется я даже примеры видел такие для бинда. Если понимать, как работает апдейт, то не вижу в чем проблема сделать через апдейт.

Причем у меня это делает не хук, хук кладет куда надо задание, внешний скрипт его подхватывает, проверяет на "вшивость" и только по прохождении проверки делает изменения. (причем на совсем другом хосте, чем крутится выписывальщик сертификатов). Хук ждет положенное время и проверяет, что данные появидись на NSax и только по появлению нужного ответа возвращается к проверке. Если данные почемуто не появились, то шлет писмо мне и фейлится.

Ответить | Правка | ^ к родителю #119 | Наверх | Cообщить модератору

121. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от . (?), 06-Янв-19, 14:00 
> мой переписывает специально для него заточенный инклюд и релоадид зону.

а, то есть вы пошли самым сложным путем.

ну да, когда-нибудь примерно так и придется делать. Платить комоде, с ее-то "честностью", за *  просто глупо, да и они рано или поздно попадут под каток.

Ответить | Правка | ^ к родителю #120 | Наверх | Cообщить модератору

125. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Arch (?), 07-Янв-19, 17:12 
Есть так-то GlobalSign и Entrust еще. Вроде помирать не собираются. В том же LeaderSSL берете (реселлер) и все.
Ответить | Правка | ^ к родителю #121 | Наверх | Cообщить модератору

130. "Проект Let's Encrypt опубликовал планы на 2019 год"  +/
Сообщение от Subcreator (ok), 13-Янв-19, 20:09 
"Автопродление wildcard сертификата."

Не работает оно. certbot и acme.sh - точно!
В acme багрепорт тупо закрыли.

Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру