The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Let's Encrypt прекращает поддержку протокола OCSP для проверки отозванных сертификатов"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Let's Encrypt прекращает поддержку протокола OCSP для проверки отозванных сертификатов"  +/
Сообщение от opennews (?), 09-Дек-24, 11:51 
Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим,  принял решение прекратить поддержку протокола  OCSP (Online Certificate Status Protocol), применяемого для проверки отзыва сертификатов. Вместо протокола OCSP предлагается использовать списки отозванных сертификатов (CRL  - Certificate Revocation List), публикуемые сервисом Let's Encrypt начиная с 2022 года. 7 мая 2025 года Let's Encrypt отключит добавление ссылок на адреса OCSP в выдаваемые сертификаты  и прекратит обработку запросов, связанных с использованием расширения "OCSP Must Staple". 6 августа 2025 года обработчики OCSP-запросов будут отключены на серверах...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=62373

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


4. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +12 +/
Сообщение от myster (ok), 09-Дек-24, 12:18 
Кстати, веб-браузеры, сфокусированные на "заботе о конфиденциальности" (типа LibreWolf), по-умолчанию постоянно проверяют все посещаемые ресурсы по этому OCSP, тем самым вся конфиденциальность коту под хвост.
Ответить | Правка | Наверх | Cообщить модератору

6. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +4 +/
Сообщение от Аноним (6), 09-Дек-24, 12:30 
Вот настоящая забота:
https://opennet.ru/56830-tls
https://opennet.ru/53520-https
Ответить | Правка | Наверх | Cообщить модератору

12. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +2 +/
Сообщение от Аноним (12), 09-Дек-24, 12:50 
Францию тоже не забудь сюда добавить, благо новость есть прямо здесь. И весь алианс 5 глаз, которому вообще никакие разрешения не нужны, лол
Ответить | Правка | Наверх | Cообщить модератору

25. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +5 +/
Сообщение от timur.davletshin (ok), 09-Дек-24, 15:29 
Минусующим советую загуглить "France rogue Google certificate attack". Всем чмоки в этом чате )))
Ответить | Правка | Наверх | Cообщить модератору

33. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  –1 +/
Сообщение от anonymous (??), 09-Дек-24, 16:43 
А, ну, это, конечно, всё меняет!
Ты это имел в виду, да?
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

67. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  –3 +/
Сообщение от chdlb (?), 10-Дек-24, 01:06 
ANSSI облажалась и ее выкинули из CA для всех браузеров, а две ссылки сверху это то, что ты должен будешь скушать, используя куяндекс браузер или еще что-то подобное

у Казахстана не получилось пропихнуть MITM, а вот в случае со скрепным браузером им уже никто не помешает, кроме тебя самого, но ведь сколько людей поставили себе корневые сертификаты, когда устанавливали например клиент-банк, ЭЦП, ну вот это вот все

кстати у FF свой корень CA, а хром юзает системный, вот и живите с этим )))

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

78. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +3 +/
Сообщение от timur.davletshin (ok), 10-Дек-24, 09:54 
>>> у Казахстана не получилось пропихнуть MITM

Казахстан не сделал ничего такого, за что стоило бы заблэклистить их CA. Российский же не заблэклистили до сих пор. Казахи пострадали всего-то из-за какого-то озабоченного придурка, который создал багрепорт и начал верещать о том, что вот-вот репрессивный режим начнёт всех слушать. У французов, у немцев, у голландцев (и многих других) государственные CA остаются в дефолтных поставках браузеров и ОС даже после попыток подделывать сертификаты. А как там поживает коммерс Hetzner? Что-то ему было за попытку слушать jabber.ru? Но вы продолжайте носиться с CA Казахстана или Минцифры.

>>> кстати у FF свой корень CA, а хром юзает системный, вот и живите с этим )))

Вы так говорили, будто это что-то плохое. Firefox может прекрасно использовать системный.

Ответить | Правка | Наверх | Cообщить модератору

83. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  –2 +/
Сообщение от chdlb (?), 10-Дек-24, 18:04 
звездун детектед

> Казахстан не сделал ничего такого,

Казахстан сделал, и все правильно что сертификат забанили.

> даже после попыток подделывать сертификаты.

ANSSI облажалась и ее выкинули из CA !!!!!

https://bugzilla.mozilla.org/show_bug.cgi?id=1272156

> Firefox может прекрасно использовать системный.

не может

https://bugzilla.mozilla.org/show_bug.cgi?id=620373
https://bugzilla.mozilla.org/show_bug.cgi?id=449498
https://bugzilla.mozilla.org/show_bug.cgi?id=454036

я не буду что-то коментировать все твои набросы, хватит и этих что я помню по памяти, что ты трындишь

Ответить | Правка | Наверх | Cообщить модератору

84. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от timur.davletshin (ok), 10-Дек-24, 19:00 
>>> я не буду что-то коментировать все твои набросы, хватит и этих что я помню по памяти, что ты трындишь

Неумёха, пока ты гуглишь, я скидываю сертификаты в /usr/local/share/ca-certificates и наблюдаю их в Управлении сертификатами Firefox с пометкой System Trust (зачем-то же этот флажок придумали). Мало того, милый друг, я их же вижу в LibreOffice и Evolution! Но для всего этого надо уметь настраивать NSS.

>>> https://bugzilla.mozilla.org/show_bug.cgi?id=1272156

Какое отношение это имеет к моим тезисам?

>>> Казахстан сделал, и все правильно что сертификат забанили.

Где и кого он заMITM'им?

Ответить | Правка | Наверх | Cообщить модератору

85. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  –2 +/
Сообщение от chdlb (?), 10-Дек-24, 20:12 
> сертификаты в /usr/local/share/ca-certificates

а винде ты их куда будешь складывать?
а ты каждый дистр проверял?
а у тебя FF пакетированный из твоего дистра или с сайта мозиллы?
а только ты видишь эти магические сертификаты или даже тестил их?

/usr/local/share/ca-certificates - у меня например нет такого ))))

и еще, это system-wide хранилище? я думал что это /var/lib/ca-certificates/ca-bundle.pem ))))

> System Trust (зачем-то же этот флажок придумали)

я не знаю где ты его взял, у меня Certificate Manager во вкладке Authorities такого нет,
а из типов только Software Security Device и Builtin Object Token

и никакие сертификаты ниоткуда не подхватываются, и что самое главное что Firefox ничего подобного официально не сапортит (см ссылки), а так конечно да, в теории можно хоть пересобрать его гвоздями прибив к чему угодно

> Где и кого он заMITM'им?

так хорошо, что не дали ничего сделать


> CA остаются в дефолтных поставках браузеров и ОС даже после попыток подделывать сертификаты.
> Какое отношение это имеет к моим тезисам?

не остаются! после того случая этот CA убрали из доверенных, если ты про то что ДРУГИЕ гос CA остаются, ну тогда у тебя лажа с формулировкой, потому что другие госы не делали "попыток подделывать сертификаты", теперь понятно к чему тот линк? что для виновных отозвали, а не та хрень что ты написал, что они остаются безнаказанными

Ответить | Правка | Наверх | Cообщить модератору

86. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от Аноним (86), 10-Дек-24, 20:32 
> а винде ты их куда будешь складывать?

Открываешь файл, импорт, выбрать хранилище корневиков, поставить.
Firefox - security.enterprise_roots.enabled

Ответить | Правка | Наверх | Cообщить модератору

87. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от chdlb (?), 10-Дек-24, 22:58 
security.enterprise_roots.enabled - позволяет использовать СВОИ импортированные сертификаты, но говорит FF использовать system-wide CA bundle, так как это делает тот же Хром, и именно об этом эта ветка, что у FF свое собственное хранилище, а не system-wide, начни читать с первых моих коментов
Ответить | Правка | Наверх | Cообщить модератору

91. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от timur.davletshin (ok), 11-Дек-24, 07:20 
Ты на линуксе, включи настройку и проверь. Или мне тебе надо и скриншот приложить, что системные сертификаты работают?
Ответить | Правка | Наверх | Cообщить модератору

96. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  –1 +/
Сообщение от chdlb (?), 11-Дек-24, 12:26 
скачай с сайта мозиллы английскую версию, не позорься

Agence Nationale de Certification Electronique - Tun Trust Root CA - Bultin Object Token

security.enterprise_roots.enabled true

---

какая у тебя OS?

---

P.S. жаль что для решения рядовых вопросов приходится общаться с таким токсичным как ты

Ответить | Правка | Наверх | Cообщить модератору

98. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  –1 +/
Сообщение от timur.davletshin (ok), 11-Дек-24, 12:43 
> скачай с сайта мозиллы английскую версию, не позорься

Это и есть английская официальная версия, запускалась на Debian 12. Русский интерфейс, т.к. пакет и словарь соответствующие в профиле установалены. Ещё есть версии моего "позора"? Какие скриншоты выложить? Номер билда, архитектура? Оно на самом деле лет 10 как работает именно в такой конфигурации, т.к. у меня именно столько лет шаблону настройки NSS и FF. До этого тоже работало, но я деталей не помню. У меня тогда другой токен был.

>>> P.S. жаль что для решения рядовых вопросов приходится общаться с таким токсичным как ты

Всё дело в том, что кто-то очень сильно безапеляционно начал утверждать чушь. Но тебе не привыкать. Кстати, что там с историей про Казахстан? Или тоже причина твоего звездежа в моей токсичности?

Ответить | Правка | Наверх | Cообщить модератору

103. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от chdlb (?), 11-Дек-24, 19:38 
так ничего не поменялось, я думаю все то же самое, в первую очередь, что ты сказочник

> Русский интерфейс, т.к. пакет и словарь соответствующие в профиле установалены.

какой к черту пакет? распакуй tar и проверь

https://download-installer.cdn.mozilla.net/pub/firefox/relea...

я кстатии проверил пакетированный FF в нескольких RPM дистрах, там security.enterprise_roots.enabled включена по умолчанию, как кстати и в версии с Mozilla CDN, и нигде нет System Trust

сейчас качаю Debian, чтобы поставить родной Mozilla .deb, и другие версии, даже не бубунту, именно Debian (у тебя же 12-ый да?), если заработает, то твоя ошибка выжившего получит премию года )))

> т.к. у меня именно столько лет шаблону настройки NSS и FF.

какому шаблону?

> Или тоже причина твоего звездежа в моей токсичности?

а ты еще и стрелочник ))))

Ответить | Правка | К родителю #98 | Наверх | Cообщить модератору

104. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от chdlb (?), 11-Дек-24, 20:51 
поставил Debian 12 + KDE

версия ESR которая ставится с KDE по умолчанию тоже имеет security.enterprise_roots.enabled true из коробки

скачанный Firefox stable из APT репы мозиллы - аналогично

никакого System Trust там нет

может ты просто признаешься, что ты импортируешь в Firefox системные сертификаты? И не будешь кричать с пеной у рта, что Firefox может использовать системное хранилище сертификатов?

а если не согласен, то давай Steps to reproduce, иначе балабол

Ответить | Правка | К родителю #98 | Наверх | Cообщить модератору

92. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от timur.davletshin (ok), 11-Дек-24, 07:33 
https://imgur.com/a/bCayDDy - каких ещё вам системных сертификатов не хватает? Цепляются и системные и пользовательские. Кстати, специально выделенное Agence Nationale тебя не смущает? А почему национальное агенство Казахстана смущает? Лишь по причине того, что за французскими гос. учреждениями MITM уже замечали, а за казахским... - ты так примера и не смог привести.
Ответить | Правка | К родителю #87 | Наверх | Cообщить модератору

93. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  –1 +/
Сообщение от Аноним (86), 11-Дек-24, 09:24 
Ну начни читать, можешь даже объяснить что значит вот эти твои слова:

> Firefox может прекрасно использовать системный.

не может

Ответить | Правка | К родителю #87 | Наверх | Cообщить модератору

90. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  –1 +/
Сообщение от timur.davletshin (ok), 11-Дек-24, 07:15 
>>> я не знаю где ты его взял, у меня Certificate Manager во вкладке Authorities такого нет,

Вот именно поэтому, деточка, ты и являешься неучем.

>>> а ты каждый дистр проверял?

C официальными сборками Firefox работает. Всё остальное - проблемы дистроклепателей.

>>> так хорошо, что не дали ничего сделать

Я никогда не сомневался, что из "либералов" самые лучшие запрещалкины выходят, когда они до власти дорываются. Далеко за примерами ходить не надо.

>>> не остаются!

Немцы тому примером. Начиная от органов следствия, заканчивая недавним примером c Hetzner. Всех наказали, всех удалили. Ога, аж два раза.

Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

16. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  –2 +/
Сообщение от Pahanivo (ok), 09-Дек-24, 13:56 
Да уж, MITM, так сказать, в каждый дом!
А учитывая, что они сейчас начали всех заставлять ставить "russian trusted root CA" в сервисах, чебурнет все ближе и ближе.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

17. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от Аноним (17), 09-Дек-24, 14:09 
Так ты просто ставь Яндекс Чебурбраузер и всё.
Ответить | Правка | Наверх | Cообщить модератору

27. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +3 +/
Сообщение от Pahanivo (ok), 09-Дек-24, 15:51 
> Так ты просто ставь Яндекс Чебурбраузер и всё.

Откровенного трояна еще не хватало.

Ответить | Правка | Наверх | Cообщить модератору

32. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +3 +/
Сообщение от Аноним (-), 09-Дек-24, 16:35 
Это не троян. Это ФСБ-шная шпионская программа.
Ответить | Правка | Наверх | Cообщить модератору

60. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +6 +/
Сообщение от Аноним (60), 09-Дек-24, 21:12 
----
Штирлиц вошёл в туалет, там крупно синела надпись "Штирлиц русский шпион!"... Штирлиц достал из кармана карандаш, аккуратно закрасил слово "шпион" и написал поверху "разведчик"...
----

Если ФСБшная, то видимо разведческая.  Шпионская это ФБР, Моссад или чья там еще...

Ответить | Правка | Наверх | Cообщить модератору

89. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от Аноним (89), 11-Дек-24, 02:57 
феэсбээ, вообще-то - контрразведка, как и фэбээр.
Ответить | Правка | Наверх | Cообщить модератору

68. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от chdlb (?), 10-Дек-24, 01:08 
в каких сервисах?
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

20. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +1 +/
Сообщение от Аноним (20), 09-Дек-24, 14:52 
>государственный корневой сертификат интегрирован только в продукты Яндекс.Браузер и Атом.

Попробовал скачать браузер Атом (https://atom.browser.ru/), пишет что "Сайт заблокирован, Если вы владелец сайта, просто оплатите аккаунт".
Неужели это тот браузер, который мы действительно заслуживаем?

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

22. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от Аноним (22), 09-Дек-24, 15:14 
https://browser.ru/

> С 13 сентября 2024 года Atom перестанет быть доступным для скачивания и обновления

Ответить | Правка | Наверх | Cообщить модератору

35. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от нах. (?), 09-Дек-24, 16:51 
Место тут проклято.

Ответить | Правка | Наверх | Cообщить модератору

46. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от Аноним (20), 09-Дек-24, 18:41 
>С 13 сентября 2024 года Atom перестанет быть доступным для скачивания и обновления

С чего бы такое?

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

81. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от Vladjmir (ok), 10-Дек-24, 15:53 
Не взлетел.
Ответить | Правка | Наверх | Cообщить модератору

11. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +2 +/
Сообщение от Аноним (17), 09-Дек-24, 12:40 
В дилло такой фигни нет и ледибёрде.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

29. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +1 +/
Сообщение от timur.davletshin (ok), 09-Дек-24, 15:54 
"Используется политика владельца CA", - так было бы корректнее выразиться. Поставь security.pki.crlite_mode = 2, для надёжности ещё отруби OCSP, и не нагнетай.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

7. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +1 +/
Сообщение от Аноним (17), 09-Дек-24, 12:32 
Все время говорил что сбор данных есть, а местные эксперты не верили. Вот одну из технологий отключили. Но ещё кучу оставили. Но хома продолжит хавать что дают.
Ответить | Правка | Наверх | Cообщить модератору

13. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +1 +/
Сообщение от Аноним (13), 09-Дек-24, 12:54 
Все время говорил что есть вредно, а местные эксперты не верили. Ведь в еде встречаются неорганические соединения, соль, сахар и даже спирт. Но хома продолжит хавать что дают.
Ответить | Правка | Наверх | Cообщить модератору

42. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +1 +/
Сообщение от fuggy (ok), 09-Дек-24, 17:59 
И кто говорил что Let's Encrypt чья корова и кто её доит.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

66. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от нах. (?), 09-Дек-24, 23:03 
Теперь вопрос стоит иначе - а зачем они эту корову зарезали-то?

(наиболее вероятный правильный ответ - что они все же дол...6ы)

Ответить | Правка | Наверх | Cообщить модератору

19. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +2 +/
Сообщение от Тоже_Аноним_Естественно (?), 09-Дек-24, 14:25 
Редкая по нынешним временам приятная новость. Ещё бы DNS на такой же манер бы перевели.
Ответить | Правка | Наверх | Cообщить модератору

24. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +3 +/
Сообщение от Аноним (24), 09-Дек-24, 15:27 
Ага всё в hosts будет. Возвращаемся на начало интернета.
Ответить | Правка | Наверх | Cообщить модератору

45. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +2 +/
Сообщение от Akteon (?), 09-Дек-24, 18:40 
А что, идейа. БД будет где-то гигабайт 10. Недорого совсем.
Ответить | Правка | Наверх | Cообщить модератору

76. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от Аноним (76), 10-Дек-24, 07:38 
DVD Name System, наконец-то!
Ответить | Правка | Наверх | Cообщить модератору

21. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от Аноним (20), 09-Дек-24, 14:59 
Мне, с моей колокольни просто кажется, что ребята поплыли в обслуживании приходящих запросов, и просто пытаются оптимизировать свой бизнес "что бы у нас все было, а нам за это ничего не  было".
Ну типа ВНЕЗАПНО оказалось, что для обслуживания процедур поддержания удостоверяющего центра, необходимо принимать миллионы запросов, на один сгенерированный церт.
Послать всех в веб "сами скачивайте мы все опубликовали" - способ всяких сбербанков "договор присоединения мы опубликовали в интернете, идите сами скачивайте" самый простой из возможных.
Ответить | Правка | Наверх | Cообщить модератору

26. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +4 +/
Сообщение от keydon (ok), 09-Дек-24, 15:34 
Если бы хотели "оптимизировать" свой бизнес, то просто продавали бы логи запросов рекламщикам.
Хватило бы и на новые сервера чтобы запросы обслуживать и команду и еще осталось бы.
Ответить | Правка | Наверх | Cообщить модератору

47. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +4 +/
Сообщение от Аноним (20), 09-Дек-24, 18:44 
>то просто продавали бы логи запросов рекламщикам.

А с чего ты решил, что они самые "непродажные"?
Потому что нет открытой инфы о сделках?
Ну так можно и без денег - придут из одной государственной конторы и пояснят им кто чья корова, и кому их можно доить.

Ответить | Правка | Наверх | Cообщить модератору

57. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от OpenEcho (?), 09-Дек-24, 20:23 
> А с чего ты решил, что они самые "непродажные"?

Кому продавать? Самим себе? Кто там в списках "безвозмездных" меценатов?

Ответить | Правка | Наверх | Cообщить модератору

70. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от keydon (ok), 10-Дек-24, 01:19 
> А с чего ты решил, что они самые "непродажные"?
> Потому что нет открытой инфы о сделках?
> Ну так можно и без денег - придут из одной государственной конторы
> и пояснят им кто чья корова, и кому их можно доить.

Если бы я был аморальным !@#$%^ и получал кучу денег за данные из логов, то я бы молчал в тряпочку и точно бы не поднимал вопрос насчет конфиденциальности OCSP.

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

31. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  –2 +/
Сообщение от нах. (?), 09-Дек-24, 16:08 
Да просто не смогли эти данные продать. Логи не окупились - давайте их отключим вместе с сервисом который они логали.

А помните, помните сколько вони было от "разработчиков" мразилы и хромонога что crl ооооочень долго загружать, никак ниможна, аграменный объем (это когда сайтов с https вообще было хрен да нихрена) и надо их запретить-запретить?

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

41. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от Аноним (41), 09-Дек-24, 17:00 
Все правильно говорили.
Ответить | Правка | Наверх | Cообщить модератору

43. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от Аноним (43), 09-Дек-24, 18:36 
> А помните, помните сколько вони было от "разработчиков" мразилы и хромонога что crl ооооочень долго загружать, никак ниможна, аграменный объем (это когда сайтов с https вообще было хрен да нихрена)

В этом плане ничего и не изменилось, это всё ещё огромный объём, который только увеличился с тех пор. Разница в том, что сейчас, во-первых, есть доиашний гигабит по оптике везде, где это имеет значение (т.е. в городах-миллонниках стран первого мира), и, во-вторых, к браузеру прикрутили фильтр Блума. Сам CRL как был огромным и неудобным файлом, так и остался. Ну хоть OCSP костыль выкинули, и на том спасибо. Крайне неудачная идея была, чмо-то уровня протокола FTP.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

48. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +1 +/
Сообщение от Аноним (20), 09-Дек-24, 18:46 
фильтр Блума — это вероятностная структура данных!
он может сказать вам со 100% вероятностью, что элемент отсутствует в наборе данных, но сказать со 100% вероятностью, что элемент находится в наборе, он не может (возможны ложно положительные результаты).
Ответить | Правка | Наверх | Cообщить модератору

56. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +1 +/
Сообщение от нах. (?), 09-Дек-24, 20:22 
> фильтр Блума — это вероятностная структура данных!
> он может сказать вам со 100% вероятностью, что элемент отсутствует в наборе
> данных, но сказать со 100% вероятностью, что элемент находится в наборе,
> он не может (возможны ложно положительные результаты).

вот при положительном результате - уже можно потратить даже десять секунд ценного времени юзера и проверить список по настоящему, а не по косвенным признакам.

хотя на самом деле, разумеется, и эта деятельность бессмысленна, и никаких адских требований к ресурсам в проверке списков напрямую нет.


Ответить | Правка | Наверх | Cообщить модератору

71. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от keydon (ok), 10-Дек-24, 01:20 
> фильтр Блума — это вероятностная структура данных!
> он может сказать вам со 100% вероятностью, что элемент отсутствует в наборе
> данных, но сказать со 100% вероятностью, что элемент находится в наборе,
> он не может (возможны ложно положительные результаты).

Внезапно (да?) этого достаточно для CRL.

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

63. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от Аноним (63), 09-Дек-24, 21:50 
> Мне, с моей колокольни просто кажется, что ребята поплыли в обслуживании приходящих запросов, и просто пытаются оптимизировать свой бизнес "что бы у нас все было, а нам за это ничего не  было".

Там настолько простые запросы что их сотнями тысяч RPS сможет и какая-нибудь малинка раздавать, лишь бы трафика хватило.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

88. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от RM (ok), 10-Дек-24, 23:43 
осетра таки надо урезать, порядка на 2 минимум
а то 200 000 rps на гигабитном линке это 5 байт на запрос/ответ.
малинка гигабитный линк зарауть то на wire speed или сможет - даже это еще вопрос, а тут rps...
Ответить | Правка | Наверх | Cообщить модератору

100. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от нах. (?), 11-Дек-24, 12:57 
порядков на пять.

Потому что это тебе не гигабитный линк загадить, а делать ровно то что теплая компания гуглезилы сочла нипасильной-нипасильной задачей для браузеров - на каждый(!) запрос прошерстить весь список сертификатов, найти нужный (ну или не найти, в плохом способе реализации, на от..сь), криптографически подписать, помимо обычной tls сессии... чота мне кажется сгорит к хренам тот кипятильник, точнее их нужна будет целая гирлянда на городскую елку, и та тоже сгорит.

Ответить | Правка | Наверх | Cообщить модератору

28. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от Аноним (28), 09-Дек-24, 15:53 
SSL сертификаты на публичных  новостных сайтах - зло. Старые устройства постоянно ругаются так как информация о корневых УЦ у них устарела. Можно конечно новые устройства купить, но сейчас не то время.
Ответить | Правка | Наверх | Cообщить модератору

34. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  –3 +/
Сообщение от нах. (?), 09-Дек-24, 16:48 
> SSL сертификаты на публичных  новостных сайтах - зло. Старые устройства постоянно ругаются

а на новых БЕЗ ssl только страшное красное пустое место с ашипкаашипка показываетсо.

Поэтому извини, конечно, но твой второй ипхон пора выбросить. Время самое то, рождественские скидки.

Ответить | Правка | Наверх | Cообщить модератору

49. Скрыто модератором  +2 +/
Сообщение от Аноним (20), 09-Дек-24, 18:48 
Ответить | Правка | Наверх | Cообщить модератору

37. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от Rev (ok), 09-Дек-24, 16:52 
Так а что делать-то? Гонять весь трафик в открытую, давая провайдерам возможность добавлять туда рекламу и следящие скрипты?
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

44. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от Аноним (43), 09-Дек-24, 18:37 
Можно ещё построить машину времени и вернуться в тот самый тёплый ламповый интернет восьмидесятых, где все друзья.
Ответить | Правка | Наверх | Cообщить модератору

50. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +1 +/
Сообщение от Аноним (20), 09-Дек-24, 18:49 
«Никто никогда не вернётся в 2007 год!»
Ответить | Правка | Наверх | Cообщить модератору

55. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  –3 +/
Сообщение от нах. (?), 09-Дек-24, 20:20 
> Так а что делать-то? Гонять весь трафик в открытую, давая провайдерам возможность
> добавлять туда рекламу и следящие скрипты?

не пользоваться помойными провайдерами, и вообще решать свои проблемы грошовой экономии как-то самому, не перекладывая их на других.

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

62. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от Аноним (63), 09-Дек-24, 21:48 
Охренеть, а если кроме помойного провайдера в радиусе 10 км других нет, может мне ещё и переехать? А чтобы что? Чтобы всякие старьёвщики ходили со своих арахн на пентиумах в интернет клиртекстом? И почему это на тебя перекладывать нельзя, а ты перекладывать можешь? Ну нет уж голубчик, давай-ка я тебя не спрошу и буду и пользоваться дешёвым провайдером, и рекламы от него не видеть. А ежели зазнавшихся старьевщиков-эгоистов от этого коробит, так это ещё лучше.
Ответить | Правка | Наверх | Cообщить модератору

64. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  –2 +/
Сообщение от нах. (?), 09-Дек-24, 22:14 
> Охренеть, а если кроме помойного провайдера в радиусе 10 км других нет, может мне ещё и
> переехать?

можешь прямо по месту прописки продолжить страдать.

Почему кто-то должен за твою ленивую задницу поиметь СЕБЕ проблем? Вот опеннет - отлично ради таких как ты подставил ВСЕХ своих посетителей под еще один трекинг (а ведь долго держался...) Без которого мы прекрасно бы обошлись.

Ответить | Правка | Наверх | Cообщить модератору

82. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +1 +/
Сообщение от Аноним (63), 10-Дек-24, 17:52 
> Почему кто-то должен за твою ленивую задницу поиметь СЕБЕ проблем?

А почему наоборот? Причём твоя параноя чисто теоретическая, а баннеры на опеннете видели все.

> Вот опеннет - отлично ради таких как ты подставил ВСЕХ своих посетителей под еще один трекинг (а ведь долго держался...) Без которого мы прекрасно бы обошлись.

В новости же написано что OCSP прикрыли, тебя что-то ещё не устраивает?

Ответить | Правка | Наверх | Cообщить модератору

99. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от нах. (?), 11-Дек-24, 12:49 
лично я баннер увидел ровно один раз. (точнее - заметил, он был, надо признать, очень аккуратно впихнут в чудо-дизайн этогосайта - даже менее вырвиглазен чем тутошняя официальная реклама, поэтому замечен как что-то чужеродное был не с первого явно раза)

И больше не увижу, поскольку ровно с этого момента мегафоновским интернетом без vpn не пользуюсь.

(чего в общем-то ждать от компании где целиком пятиэтажное офисное здание в очень дорогом районе очень дорогого городишки занято вовсе не сотовой связью)

И если ты "не параноик" - то учти, что они и с ssl прекрасно видят куда ты ходишь. И пишут. Опер про всех писать велел.

Ответить | Правка | Наверх | Cообщить модератору

101. Скрыто модератором  +/
Сообщение от Аноним (63), 11-Дек-24, 18:16 
Ответить | Правка | Наверх | Cообщить модератору

102. Скрыто модератором  +/
Сообщение от нах. (?), 11-Дек-24, 19:21 
Ответить | Правка | Наверх | Cообщить модератору

75. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от Аноним (75), 10-Дек-24, 07:31 
Не используй просто всякие Ростелекомы, локальные провайдеры такой фигней обычно не страдают.
Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

53. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от Аноним (53), 09-Дек-24, 19:51 
А без ТЛС трёхбуквенная организация тебе внедрит вредоносное ПО в каждую страницу. А браузер послушно исполнит.
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

58. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  –2 +/
Сообщение от нах. (?), 09-Дек-24, 20:26 
> А без ТЛС трёхбуквенная организация тебе внедрит вредоносное ПО в каждую страницу.
> А браузер послушно исполнит.

кругом враги! Как жыть!

Ответить | Правка | Наверх | Cообщить модератору

65. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от Аноним (65), 09-Дек-24, 23:00 
>кругом враги! Как жыть!

Шапочка из фольги абсолютно защищает от всех трехбуквенных (отечественных и зарубежных), но существенно увеличивается риск Кащенко.

Ответить | Правка | Наверх | Cообщить модератору

59. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от Аноним (59), 09-Дек-24, 20:33 
Ну товарищъ майор...
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

61. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +1 +/
Сообщение от Аноним (63), 09-Дек-24, 21:40 
Владельцы старья должны страдать, а владельцы закрытого старья должны страдать втройне.
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

80. Скрыто модератором  +/
Сообщение от Аноним (80), 10-Дек-24, 12:31 
Ответить | Правка | Наверх | Cообщить модератору

51. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от YetAnotherOnanym (ok), 09-Дек-24, 19:12 
> удостоверяющий центр получает информацию о том, когда и какие сайты посещает пользователь в привязке к его IP-адресу

Ой, сюрпрайз-то какой!

Ответить | Правка | Наверх | Cообщить модератору

52. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +1 +/
Сообщение от Аноним (53), 09-Дек-24, 19:50 
>В качестве причины прекращения поддержки OCSP упоминается забота о конфиденциальности. Использование OCSP приводит к тому, что при каждой установке защищённого соединения для проверки действия сертификата клиентская система отправляет запрос на OCSP-сервер удостоверяющего центра, сгенерировавшего сертификат

Пропагандистстский аргумент, рассчитанный на некомпетентных. Есть такая штука, OCSP Stapling. При нём - ничего не отправляется. И OCSP Must Staple. Который требует, чтобы OCSP-ответ был прикреплён.

При этом удостверяющий центр и так в позиции нарушать приватность.

Наверняка их *попросили* об этом разведовательные органы.

Ответить | Правка | Наверх | Cообщить модератору

54. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от нах. (?), 09-Дек-24, 20:19 
> Пропагандистстский аргумент, рассчитанный на некомпетентных. Есть такая штука, OCSP Stapling.

категорически непригодная для нагруженных систем и вредная и опасная даже для твоей домашней странички. (Потому что вебсерверу это все совершенно чуждая деятельность и реализовано оно там... ну как-то так...)

> При нём - ничего не отправляется. И OCSP Must Staple. Который
> требует, чтобы OCSP-ответ был прикреплён.

А сервер тебе такой - "знаешь куда пройти?"

Никто не обязан поддерживать эту чудовищную несуразицу. Сначала мы внедрили очередное ненужное ненужно которое (ох кто бы мог подумать и было ли ему чем) сливает всю историю посещений, а потом вот - педальный самокат позволяющий частично вернуть как было.

> Наверняка их *попросили* об этом разведовательные органы.

что ж они, фраеры, сдали назад-то? Разведовательному органу, похоже, те логи не пригодились. Ну или пригодились, но не сошлись в цене.

Ответить | Правка | Наверх | Cообщить модератору

73. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  –1 +/
Сообщение от Аноним (73), 10-Дек-24, 04:22 
>категорически непригодная для нагруженных систем и вредная и опасная даже для твоей домашней странички. (Потому что вебсерверу это все совершенно чуждая деятельность и реализовано оно там... ну как-то так...)

Сфигали? Для каждого запроса не требуется свежее прикрепление.

>А сервер тебе такой - "знаешь куда пройти?"

Знаю.

>Никто не обязан поддерживать эту чудовищную несуразицу.

Несуразица это только для вас.

>что ж они, фраеры, сдали назад-то? Разведовательному органу, похоже, те логи не пригодились. Ну или пригодились, но не сошлись в цене.

Не назад, а вперёд. Теперь объекту атаки вообще никак в реалтайме не получить подтверждений. На фоне быстрой ротации сертификатов Let's Encrypt это вредно вдвойне - расследование инцидентов становится намного сложнее, и CT-логи придётся в реалтайме в огромном размере обновлять, чтобы получить хоть какую-то гарантию, что хоть какие-то следы от атаки останутся.

Ответить | Правка | Наверх | Cообщить модератору

72. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от Аноним (72), 10-Дек-24, 04:16 
Почему нельзя оставить альтернативу? Пусть пользователь в настройках конфиденциальности браузера выбирает способ.
Ответить | Правка | Наверх | Cообщить модератору

74. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от Аноним (74), 10-Дек-24, 05:30 
чем OCSP отличается от скачивания CRL с CRL DP? Правильно, ничем
Ответить | Правка | Наверх | Cообщить модератору

79. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +1 +/
Сообщение от Ramiralez (?), 10-Дек-24, 12:26 
Скачивание CRL не дает возможности понять какой именно сертификат клиент собирается проверять.
Ответить | Правка | Наверх | Cообщить модератору

77. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +1 +/
Сообщение от Ivan_83 (ok), 10-Дек-24, 09:02 
Всегда выключал в настройках OCSP как и всякие "безопасные интернеты", антифишинги, антивирусы, антитрекеры и прочую муйню: если я лезу на сайт то это мой выбор и мнение посторонних относительно него меня не интересует.
Ответить | Правка | Наверх | Cообщить модератору

97. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  +/
Сообщение от нах. (?), 11-Дек-24, 12:39 
Ну а проверять вменяемость своего выбора ты как-то собираешься? Или просто нутром чуешь? Раньше (и снова здрасти) мы для этого в том числе использовали crl - если сертификат сайта в этом списке, вряд ли стоит на него заходить.

Кстати, забавно, но ты вряд ли сможешь его выключить. Интересно, не на это ли и разменяли ocsp?

Ответить | Правка | Наверх | Cообщить модератору

94. "Let's Encrypt прекращает поддержку протокола OCSP для провер..."  –1 +/
Сообщение от Ilya Indigo (ok), 11-Дек-24, 10:34 
> Использование OCSP приводит к тому, что при каждой установке защищённого соединения для проверки действия сертификата клиентская система отправляет запрос на OCSP-сервер удостоверяющего центра, сгенерировавшего сертификат. В ответ сервер предоставляет сведения о том, можно ли доверять указанному сертификату. Проблема в том, что удостоверяющий центр получает информацию о том, когда и какие сайты посещает пользователь в привязке к его IP-адресу, что может рассматриваться как утечка конфиденциальных данных.


ssl_stapling on;
ssl_stapling_verify on;
resolver 1.1.1.1 8.8.8.8 valid=300s ipv6=off;

Может я что-то не так понимаю, но мне казалось, исходя из документации к nginx, что nginx сам запрашивает у сервера валидность своих же сертификатов и передаёт клиенту подписанный результат этой проверки.
Никакой утечки и никаких обращений от пользователя тут нет.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру