| 1.2, Аноним (2), 08:22, 15/09/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
 Ребята забыли отправить запрос в oracle для включения сертификата в список доверенных у java )))
| | |
| |
| 2.3, 111 (??), 08:35, 15/09/2015 [^] [^^] [^^^] [ответить]
| –2 +/– |
Может тебе ещё и код подписывать этим сертификатом разрешить?
| | |
| |
| |
| 4.37, iZEN (ok), 15:47, 15/09/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Код подписывается приватным ключом. Сертификат служит другим целям - является контейнером для публичного ключа владельца и удостоверяющей служебной информации.
| | |
|
| 3.62, Аноним (2), 10:17, 16/09/2015 [^] [^^] [^^^] [ответить]
| +/– |
Разговор о том, что приложения java просто так ходить на сайты за Https не смогут без импортирования ключа в java
| | |
|
|
| 1.6, Аноним (-), 08:56, 15/09/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Не верится, что им дадут развернуться. Слишком коммерциализирован рынок СА. Удостоверяющие центры просто так свой хлеб не отдадут.
| | |
| |
| 2.7, Адекват (ok), 09:07, 15/09/2015 [^] [^^] [^^^] [ответить]
| –2 +/– |
 > Не верится, что им дадут развернуться. Слишком коммерциализирован рынок СА. Удостоверяющие
> центры просто так свой хлеб не отдадут.
возможно будут какие-нить очень ограниченые в возможностях сертификаты - только для web Например, сроком на 3 месяца, только для домена (www.mydomain.com), без поддоменов.
Ну и конечно всякие почты, джабберы и прочее - пойдут лесом.
| | |
| |
| 3.8, Аноним (-), 09:16, 15/09/2015 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Ну и конечно всякие почты, джабберы и прочее - пойдут лесом
И как по вашему это технически реализуемо ?
| | |
| |
| |
| 5.23, kemko (ok), 11:44, 15/09/2015 [^] [^^] [^^^] [ответить]
| +/– |
 Это другое. Самое соединение с stmp/pop3/imap-сервером, при условии совпадения домена, должно установиться без каких-либо проблем. А "different type of certificate" тут похоже пишут про S/MIME.
| | |
| |
| 6.65, SnoWLight (?), 10:54, 16/09/2015 [^] [^^] [^^^] [ответить]
| +/– |
Там есть определенные поля OID которые определяют применимость сертификата для тех или иных действий.
| | |
|
|
| 4.63, Адекват (ok), 10:23, 16/09/2015 [^] [^^] [^^^] [ответить]
| +/– |
>> Ну и конечно всякие почты, джабберы и прочее - пойдут лесом
> И как по вашему это технически реализуемо ?
сертификат будет только для www.mydomain.com, но не для mydomain.com
| | |
|
| 3.13, Аноним (-), 09:45, 15/09/2015 [^] [^^] [^^^] [ответить]
| +3 +/– | |
>почты, джабберы и прочее - пойдут лесом.
Что мешает для таких случаев использовать GPG ?
Меня больше беспокоит, что такое отлиое начинание могут попытатся скомпромитировать.
| | |
| |
| 4.19, Какаянахренразница (ok), 10:50, 15/09/2015 [^] [^^] [^^^] [ответить]
| +10 +/– |
 > [...] такое отлиое начинание могут попытатся скомпромитировать.
Могут попытаться? Оптимист, однако. Да обязательно, безусловно, несомненно, стопроцентно найдётся гадина, которая будет совать палки в колёса. И не одна гадина. И не одну палку.
"Я гарантирую это" (C)
| | |
| 4.31, Аноним (-), 14:30, 15/09/2015 [^] [^^] [^^^] [ответить]
| +/– |
>>почты, джабберы и прочее - пойдут лесом.
> Что мешает для таких случаев использовать GPG ?
GPG существует курнадцать лет. Что мешало его сделать стандартом де-факто за время, необходимое для прихода в Пекин по-пластунски?
> Меня больше беспокоит, что такое отлиое начинание могут попытатся скомпромитировать.
Как можно скомпрометировать то, что уже при рождении к ферам скомпрометировано?
| | |
| 4.58, arisu (ok), 04:37, 16/09/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > Меня больше беспокоит, что такое отлиое начинание могут попытатся скомпромитировать.
> скомпромитировать
например, безграмотные анонимусы.
| | |
|
|
| 2.10, _KUL (ok), 09:26, 15/09/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
 "развиваемого под эгидой организации ..."
Но и конторы которые "слово держат за неё", как бы очень даже серьёзные.
| | |
| 2.21, Аноним (21), 11:15, 15/09/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Сертификат на один домен давно уже можно получить даром, например у WoSign на 3 года. Можно получить даже для домена третьего уровня, для которого Whois не прописан. Let’s Encrypt всего лишь пытаются автоматизировать процесс и лучше бы они скооперировались с каким нибудь существующим центром сертификации.
А платным центрам остаётся брать деньги за подтверждение личности/компании.
| | |
| |
| 3.40, клоун (?), 17:48, 15/09/2015 [^] [^^] [^^^] [ответить]
| –3 +/– | |
Спамеры получили контроль над сервером и начинают слать спам.
Почтовые серверы проверяют письма, но не трогают шифрованные с сертификатом.
Мечта спамера - сертификат.
Сервис Let's spam... Нет, не так: Let's encrypt позволяет им сделать это в автоматическом режиме менее, чем за 1 секунду.
Внимание, вопрос: назови хоть одну дорожащую репутацией коммерческую компанию которая согласится в этом участвовать.
Деньги берутся не просто так, а за подтверждение личности/компании. А этот сервис - ещё одна отличная попытка дискредитации и демонизирования open-source сообществ в глазах общества. Наряду со всякими так факами со сцены и небритыми грязными жиробасами, которые требуют выбросить блобнутые мобилы и перестать пользоваться блобнутым интернетом.
| | |
| |
| 4.43, kemko (ok), 17:56, 15/09/2015 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Деньги берутся не просто так, а за подтверждение личности/компании.
В ваши 90-е это, возможно, так. В наше время уже довольно давно есть StartSSL, который раздаёт сертификаты на год за возможность прочитать почту webmaster/postmaster@domain и wosign, который за что-то похожее (не проверял) раздаёт сертификаты на 3 года.
То, о чём вы говорите - подтверждение личности/существования компании и всё такое - это EV-сертификаты. А обычные платные, без этой расширенной проверки, тоже вполне дают за возможность прочитать почту.
Так-то, на мой вкус, проверка возможности сделать запись в DNS побезопаснее будет проверки на возможность получать почту с определённых ящиков. Создание html-файлика - да, оно как-то не очень безопасно, но если будет возможность через создание DNS-записи доказать, что ты главнее и попросить аннулировать сертификат, выданный по файлику, вреда будет не так много.
| | |
| |
| 5.46, Эргил (?), 19:30, 15/09/2015 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> за возможность прочитать почту webmaster/postmaster@domain и wosign
У вас бред. Никто почту не читает. Они отправляют письмо с кодом подтверждения на почту администратора домена и вы сами его оттуда копируете в форму на сайте.
| | |
| |
| 6.50, i_stas (ok), 20:53, 15/09/2015 [^] [^^] [^^^] [ответить]
| +/– |
 >У вас бред. Никто почту не читает.
Он имел в виду, что если ТЫ ЧИТАЕШЬ почту webmaster/postmaster@domain , можешь приехватить себе холявный сертификатик.
| | |
| |
| 7.51, Эргил (?), 20:55, 15/09/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
Нет, написано четко, что они дают сертификат за возможность чтения почты. Что является либо бредом, либо прямой ложью.
| | |
| |
| 8.66, kemko (ok), 11:16, 16/09/2015 [^] [^^] [^^^] [ответить] | –1 +/– | Это только сокращённый вариант фразы За возможность прочитать письмо, скопирова... текст свёрнут, показать | | |
|
|
|
|
| 4.54, Аноним (-), 01:46, 16/09/2015 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Почтовые серверы проверяют письма, но не трогают шифрованные с сертификатом.
Ещё один эксперт в треде. Наличие или отсутствие сертификата не влияет на возможность сервера фильтровать спам. Шифруется трафик; письма на сервере и клиенте если и шифруются, то отнюдь не с помощью SSL/TLS-сертификата. Шифрование бывает разное и может осуществляться на раных уровнях независимо.
| | |
|
|
|
| 1.11, Соколов (?), 09:34, 15/09/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я не понимаю, почему нельзя было кроме доменной привязки предложить персональные сертификаты частным лицам. Пусть фирмы друг друга имеют, продавая друг другу воздух, их бы это не коснулось.
| | |
| |
| 2.14, VoDA (ok), 09:55, 15/09/2015 [^] [^^] [^^^] [ответить]
| +5 +/– |
 > Я не понимаю, почему нельзя было кроме доменной привязки предложить персональные сертификаты
> частным лицам. Пусть фирмы друг друга имеют, продавая друг другу воздух,
> их бы это не коснулось.
Нужно с чего то начинать!
Чем больше хочешь отрелизить за раз, тем больше багов в проде ;)))
| | |
|
| |
| |
| |
| |
| 5.61, Аноним (21), 09:14, 16/09/2015 [^] [^^] [^^^] [ответить]
| +/– | |
>Версия не самая свежая?
Самая свежая версия Chrome ругается на этот сертификат. И вообще Chrome использует системные списки корневых сертификатов, поэтому нормальная работа у Вас, это отклонение от нормы. Может Вы сами ранее добавляли их корневой сертификат или у Вас троян проксирует все SSL соединения используя свой корневой сертификат, который Chrome почему то считает доверенным.
| | |
|
|
|
|
| 1.16, Аноним (-), 10:18, 15/09/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
с одной стороны - отличная новость, ибо многие сайты до сих пор работают по хттп (если еще это дело не будет прогибаться под правообладателей и пр - так будет и вовсе замечательно с:). С другой - прибавится количество самопальных сайтов с хттпс
| | |
| |
| 2.33, Аноним (-), 14:31, 15/09/2015 [^] [^^] [^^^] [ответить]
| +/– |
> с одной стороны - отличная новость, ибо многие сайты до сих пор
> работают по хттп (если еще это дело не будет прогибаться под
> правообладателей и пр - так будет и вовсе замечательно с:). С
> другой - прибавится количество самопальных сайтов с хттпс
Иллюзия безопасности много хуже отсутствия безопасности.
| | |
| 2.56, Аноним (-), 01:58, 16/09/2015 [^] [^^] [^^^] [ответить]
| +3 +/– | |
Я в некотором роде HTTPS-фанатик, но отлично вижу, что -S нужен далеко не всегда. Иногда он явно излишен. Иногда возникант вопрос "Как можно это хостить без поддержки HTTPS?". Иногда - "Как вообще можно разрешать сюда вход по обычному HTTP?"
Не стоит переводить *всё* на HTTPS, но многое - стоит.
| | |
|
| 1.18, Аноним (-), 10:43, 15/09/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Пусть вас не смущает трехмесячный срок действия выдаваемых сертификатов. Эти ребята предлагают пользователям автоматизировать процесс обновления их. Одной из причин называется частый простой сайтов изза просроченного сертификата. (Забыли обновить, старый админ уволился, и.т.п)
| | |
| |
| 2.25, Аноним (-), 12:05, 15/09/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Одной из причин называется частый простой сайтов изза просроченного сертификата.
Причин чего? Трехмесячного срока? Ну выдавайте на год, на два, на пять. Но ведь нет.
| | |
| |
| 3.28, kemko (ok), 13:28, 15/09/2015 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> Ну выдавайте на год, на два, на пять.
А нафига? Выдай тебе сертификат на 5 лет - ты разве через 5 лет не продолбаешь продление с той же вероятностью, что и при любом другом сроке? Ключевое - автоматизация получения следующего сертификата. Ну а если она есть - почему бы не выставить минимальный удобный для УЦ срок?
| | |
| |
| 4.41, Аноним (-), 17:51, 15/09/2015 [^] [^^] [^^^] [ответить]
| +/– |
Знаешь, я всего раз сталкивался с ситуацией "не продлен сертификат". Так что булшит про "частый простой сайтов" я не скушаю.
| | |
| |
| 5.44, kemko (ok), 18:03, 15/09/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Знаешь, я всего раз сталкивался с ситуацией "не продлен сертификат". Так что
> булшит про "частый простой сайтов" я не скушаю.
Проекты бывают разные. На совсем серьёзных, наверное, так не лажают. Для проектов а-ля "My Little Бложик" или даже несколько более серьёзный, но с неподкованным владельцем, для которого верхом было поставить и допилить вордпресс - очень даже встречается. Господи, да люди сплошь домены забывают продлить, а ждать, пока DNS-ы сменятся назад на нужные - это как-то дольше, чем положить на старое место новые crt+key и передёрнуть nginx/
Помню, в прошлом году натыкался на просроченный сертификат в личном кабинете у netbynet, да и у меня, на моём домашнем сервере, где максимум что есть - это статистика от munin, недавно сертификат проэкспайрился, заметил через пару дней. Вот уж где бы не задумываясь впилил бы эту штуку от let's encrypt.
| | |
| |
| 6.47, Эргил (?), 19:32, 15/09/2015 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Проекты бывают разные. На совсем серьёзных, наверное, так не лажают. Для проектов
Альфа-банк и Сбербанк достаточно серьезные проекты? И у тех, и у других сталкивался с просроченными сертификатами. И там, и там ситуация длилась почти сутки, пока их отсутствующий мониторинг это замечал. Речь идет об их онлайн-банках.
| | |
|
|
| |
| 5.45, kemko (ok), 18:04, 15/09/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Знал я одного kemko. Потом он куда-то пропал.
У него бывает так.
| | |
|
|
|
|
| 1.22, мурзилка (?), 11:36, 15/09/2015 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Компании продающие сертификаты уже начали прогибаться. Чего стоит акция reg.ru совместно с GlobalSign где они на каждый зареганный домен выдают бесплатно сертификат сроком на один год.
| | |
| |
| 2.34, Аноним (-), 14:32, 15/09/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Я джва года ждал этот УЦ!
За джва года можно было, вместо чесания языком на опеннете, свой собственный создать. А мешки так и стоят......
| | |
|
| 1.39, 0eviy (ok), 16:29, 15/09/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 все взлетит. Для комерческой отрасли остаются корпаративщики, а для блогов, сайтов страничек и т.д. отличная новость, теперь адресная строка станет красивее почти везде где не ленивые админы.
| | |
| |
| 2.48, Эргил (?), 19:35, 15/09/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
> все взлетит. Для комерческой отрасли остаются корпаративщики, а для блогов, сайтов страничек
> и т.д. отличная новость, теперь адресная строка станет красивее почти везде
> где не ленивые админы.
Для личных нужд есть StartSSL и WoSign. Впрочем, лично я с радостью переведу свои сервера на сертификаты от Let's Encrypt, как только в основных браузерах(Google Chrome и Mozilla Firefox) они станут считаться валидными.
Сейчас использую от WoSign.
| | |
|
| 1.49, i_stas (ok), 20:49, 15/09/2015 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
09 АПРЕЛЯ 2015 16:22 Под крылом Linux Foundation будет развиваться некоммерческий удостоверяющий центр
06 ИЮНЯ 2015 08:51 Некоммерческий удостоверяющий центр Let's Encrypt сформировал корневой сертификат
15 СЕНТЯБРЯ 2015 08:04 Некоммерческий удостоверяющий центр Let's Encrypt выпустил первый сертификат
АПРЕЛЬ. ИЮНЬ. СЕНТЯБРЬ.
АПРЕЛЬ. ИЮНЬ. СЕНТЯБРЬ.
АПРЕЛЬ. ИЮНЬ. СЕНТЯБРЬ.
С такими темпами работы коммерческим УЦ нечего боятся...
| | |
| |
| 2.57, Аноним (-), 02:03, 16/09/2015 [^] [^^] [^^^] [ответить]
| +/– |
Они опубликовали roadmap очень давно. Я сам удивился таким срокам, но, надеюсь, они за это время не балду пинали.
| | |
| |
| 3.59, arisu (ok), 04:41, 16/09/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Они опубликовали roadmap очень давно. Я сам удивился таким срокам, но, надеюсь,
> они за это время не балду пинали.
go учили. все трое.
| | |
| |
| |
| 5.64, arisu (ok), 10:29, 16/09/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> думаешь что они настолько хипсторы?
да вон, в #26 материал для подозрений дали.
| | |
|
|
|
|
|
