| |
| 2.3, Аноним (-), 00:54, 14/06/2016 [^] [^^] [^^^] [ответить]
| +25 +/– |
А можно какое-нибудь сравнение удостоверяющих центров по уровню пафоса? Желательно с наглядным представлением в нормализованных единицах.
| | |
| |
| 3.13, Аноним (-), 09:35, 14/06/2016 [^] [^^] [^^^] [ответить]
| +/– | |
Ну, LE - это половина микропафоса, а Старт - примерно четверть.
Зато не получить серт на несколько поддоменов домена, зато риск остаться без серта, если проект им кажется коммерческим... И т.д.
| | |
| |
| 4.18, имхо (?), 12:46, 14/06/2016 [^] [^^] [^^^] [ответить]
| +/– | |
Несколько — это сколько? Оказалось что сейчас выдают на 5 (под)доменов и 6й автоматом к первому — www добавляет (у меня так получилось когда сделал сертификат на пять доменов). А также в этом году стали поддерживать кириллические (idn) домены. Конкуренция?
PS. Пользуюсь и тем и другим (а даже глобалсигном, когда бесплатно EV раздают :)
| | |
| 4.42, Онаним (?), 17:11, 15/06/2016 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Зато не получить серт на несколько поддоменов домена, зато риск остаться без серта, если проект им кажется коммерческим... И т.д.
Это у кого такая хрень? У LE?
| | |
|
|
| |
| 3.20, пох (?), 13:14, 14/06/2016 [^] [^^] [^^^] [ответить] | –5 +/– | какой ужас, да, руками надо что-то делать, аж раз в году Если вам дороги ваши д... большой текст свёрнут, показать | | |
| |
| 4.22, Crazy Alex (ok), 14:34, 14/06/2016 [^] [^^] [^^^] [ответить]
| +4 +/– |
 Ну вот когда я поднимаю хост я не думаю "а может, мне здесь не нужно шифрование, давай telnet подниму", даже если это хост в домашней локалке. Я просто стандартно леплю sshd. Точно так же мне в голову не придёт поднимать ftp - будет или webdav over https или sftp.
Ровно так же когда я что-то архивирую в облако я не собираюсь каждый раз решать - а есть ли там что-то такое, что надо шифровать? - я просто шифрую всё и сплю спокойно.
Так и с Let's Encrypt - это хорошая страховка для того, чтобы не забыли добавить https там, где вдруг оказалось что-то, что надо прикрыть. Да, руками делать что-то, что может быть автоматизировано - плохая идея. Особенно если раз в год - либо забудешь сделать, либо забудешь, как делал, либо этот год закончится в самый неподходящий момент.
А насчёт скриптов - я что-то не видел реальных претенизий/багов/уязвимостей у них - одни невнятные стоны.
| | |
| |
| 5.24, пох (?), 15:01, 14/06/2016 [^] [^^] [^^^] [ответить] | –2 +/– | телнет в фрюниксах - штука _отдельная_, требующая совершенно отдельных телодвиже... большой текст свёрнут, показать | | |
| |
| 6.27, Crazy Alex (ok), 16:15, 14/06/2016 [^] [^^] [^^^] [ответить]
| +1 +/– | |
К.О.: self-signed плох тем, что на него исключения добавлять надо, вестимо. то же и со своим CA - нормально, пока доступ строго внутри организации, где можно его везде запихать. Если речь идёт о том, чтобы на сайт мог заходить кто-то сторонний - то не самое радостное решение. А делать "только для своих" опять чревато тем, что вдруг окажется, что ходит на него кто-то ещё.
А насчёт безопасности - эта новость к собственно сертфикатам имеет отношения ровно ноль. И да, я не знаю, что там с той стороны. Как не знаю, что с той стороны у StartSSL или, допустим, гугла, который сто лет как аналогичным образом проверял владельца домена для гуглоаппсов - без каких-либо проблем. И пофиг - пока я не видел ни одной новости вида "ааа, клиента летсенкрипт взломали из-за кривых скриптов", а времени прошло немало и куча людей им пользуется. За let's encrypt, по крайней мере, более-менее известные игроки стоят, в отличие от StartSSL. Я ж его не вместо корпоративного CA предлагаю - а именно вместо подобных левых конторок или, паче, вместо нешифрованного http.
Что до "доверенных центров" - надо просто понимать, в каком контексте им можно доверять. Как и в любых вопросах безопасности - первое - модель угроз. Для коммерции, допустим - никаких проблем. Для того, чтобы гарантированно отсечь разных недохакеров - тем более. А если в шпионов играешь - ну да, другие меры нужны, кто б спорил.
| | |
| |
| 7.30, пох (?), 17:14, 14/06/2016 [^] [^^] [^^^] [ответить] | –1 +/– | if security _is_ issue - надо поудалять все идиотские доверенные центры сразу ... большой текст свёрнут, показать | | |
| |
| |
| 9.40, пох (?), 11:46, 15/06/2016 [^] [^^] [^^^] [ответить] | –2 +/– | упс, ннниипоел У тебя лично столько на всякий случай, не включая мозг, пошифро... текст свёрнут, показать | | |
|
|
|
|
|
|
|
| |
| 3.10, Аноним (-), 05:40, 14/06/2016 [^] [^^] [^^^] [ответить]
| +3 +/– |
только не сделать автопродление и не автоматизировать получение сертификатов на новые домены
| | |
| 3.17, Ilya Indigo (ok), 11:12, 14/06/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Китайцы уже давным-давно бесплатно дают только на год.
Причём на сайте у них написано, что на 3, но когда дело доходит до оформления заказа и символической оплаты, то оказывается, что при сроках на 2 и 3 года, оплата не такая уж и символическая, а вполне материальная.
| | |
| |
| 4.19, Аноним (-), 13:02, 14/06/2016 [^] [^^] [^^^] [ответить]
| –2 +/– | |
- У китайцев условия меняются со временем. На днях товарищ делал бесплатно на 2 года. Хуже что их CRL-сервера далеки и не особо шустры. OCSP stapling до них иногда отваливается. Поэтому, китайский сертификаты не особо годны для боевых серверов.
- StartTLS требовал авторизацию по паспорту.
- Let’s Encrypt поставь-нашу-шнягу-с-зависимостями-на-каждый-свой-сервер и молись каждые 3 месяца тоже идут лесом.
Собственно, выбирать не из чего.
| | |
| |
| 5.29, ZiNk (ok), 16:43, 14/06/2016 [^] [^^] [^^^] [ответить]
| +3 +/– |
 > Let’s Encrypt поставь-нашу-шнягу-с-зависимостями-на-каждый-свой-сервер и молись каждые 3 месяца тоже идут лесом.
Вот тут - https://github.com/diafygi/acme-tiny - один маленький пистоновый скрипт. Можно ввернуть в любимую башелапшу и всунуть в cron/systemd time unit по вкусу. Есть ещё кучка клиентов по вкусу.
Но если руки растут из того же места, что и ноги, то тогда беда-печаль, да.
| | |
| 5.34, CHERTS (??), 20:58, 14/06/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Пару дней назад получал у WoSign, на 3 года без проблем, а так примерно каждую неделю беру у них 1 сертификат, тоже проблем нет.
С OCSP stapling в последних версиях nginx (наверно с 1.9.x) тоже проблем нет, использую такой хак:
для сайтов:
server {
listen XXXX:443 http2 ssl;
server_name yyyy.ru;
....
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /etc/nginx/ssl/wosign-ca.pem;
ssl_stapling_responder http://127.0.0.1:9001/request/;
...
}
в основном nginx.conf
http {
....
server {
listen 127.0.0.1:9001;
server_name ocsp.localhost;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
location / {
return 503;
}
location ~ ^/request/(.*)$ {
allow 127.0.0.1;
deny all;
proxy_pass http://ocsp6.wosign.com/ca6/server1/free/$1;
}
}
}
| | |
| |
| 6.38, . (?), 11:31, 15/06/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
> С OCSP stapling в последних версиях nginx (наверно с 1.9.x) тоже проблем
> нет, использую такой хак:
ну и чем этот хак поможет в случае таймаута этой штуки, на которую люди и жаловались:
> proxy_pass http://ocsp6.wosign.com/ca6/server1/free/$1;
? Правильный ответ - ничем.
А тотальная зависимость работы твоего сервера от доступности и неподмененности ns'ов гугля - это вот правильно, это верно. Товарищ майор одобряет.
| | |
|
|
| 4.21, Аноним (-), 13:27, 14/06/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Пять дней назад сделали бесплатный на три года у этих китайцев как раз. У них так часто и так сильно меняются правила сервиса?
| | |
| |
| 5.45, Ilya Indigo (ok), 00:08, 16/06/2016 [^] [^^] [^^^] [ответить]
| +/– |
Видимо да.
Сегодня зарегистрировал аж 5 доменов на 3 года. Действительно на 3 года и бесплатно в автоматическом режиме быстро легко и удобно.
Только вот я не понял чем бесплатный домен Domain Control verification который предлагается на 1 год, отличается от обычного, который предлагают на 3 года?
И ещё я генерировал запрос оной коммандой
h=host && p=path && sudo openssl genrsa -out $p/ssl.key/$h.key 4096 && sudo openssl req -new -sha512 -key $p/ssl.key/$h.key -out $p/ssl.csr/$h.csr && cat $p/ssl.csr/$h.csr
И я наивно предполагал, что он в итоге получится 4096 с sha512, но в итоге он 2048 с sha256.
| | |
|
|
|
|
| |
| 2.7, alex (??), 03:16, 14/06/2016 [^] [^^] [^^^] [ответить]
| +/– |
и почему нельзя просто циклом пройтись и отправить письмо каждому адресату отдельно?
не ручками ж поди отправить нажимают
| | |
| |
| 3.8, КЭП (?), 03:27, 14/06/2016 [^] [^^] [^^^] [ответить]
| +/– |
Распределение очереди для ускорения отдачи большими пачками в очередь MTA.
| | |
|
|
| |
| |
| 3.35, Какаянахренразница (ok), 22:09, 14/06/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > там адреса навроде admin@domain
Шобы, значить, при потере контроля над доменом потерять всё сразу? Ну-ну...
| | |
| |
| 4.37, . (?), 11:26, 15/06/2016 [^] [^^] [^^^] [ответить]
| +/– |
угу, я надысь порадовался, что у меня этот самый мэйл @соседний домен.
Забавное в этом то что a) стырить _оплаченый_ и _непоэкспайрившийся_ домен у меня попытался _регистратор_ b) и этого регистратора зовут, оппа - networksolutions.com (там, похоже, уже не только весь менеджмент, но и владельцы - совсем-совсем индусские и совсем-совсем тупые. Стырить у них не вышло бы в любом случае, но, весьма вероятно, неделю-две ничего бы у меня нормально не работало. Но звоночек, да - какими бы регалиями ни была обвешана организация и какие бы за ней не числились прошлые заслуги - от такого поворота ты никогда не застрахован.)
| | |
|
|
|
| 1.11, КЭП (?), 05:40, 14/06/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ага тестировать почту не нужно перед отправкой в локальном окружении...
| | |
| 1.14, Аноним (-), 09:36, 14/06/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
А че - не плохой способ оплаты сертификатов, вы нам базу адресов - мы вам сертификаты по дешевке.
| | |
| 1.15, qwerty (??), 09:57, 14/06/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– |
и чего?
Сервис предлагается как есть?
Хотите что то? платите деньги, вы же теперь в капиталистический стране.
| | |
| |
| 2.23, rediska (ok), 14:57, 14/06/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > Хотите что то? платите деньги, вы же теперь в капиталистический стране.
если гулаг и всякие тормозиллы начали форсить этот хттпс, то пусть теперь раздают всем сертификаты :) мой сайт прекрасно обходился 16 лет без хттпс, и вдруг, ВНЕЗАПНО он стал небезопасным, хотя никакие приватные данные не отправляется (регистрации-то нет, ага).
не вижу смысла платить за то что мне не нужно.
| | |
| |
| 3.31, пох (?), 18:15, 14/06/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
> раздают всем сертификаты :) мой сайт прекрасно обходился 16 лет без
> хттпс, и вдруг, ВНЕЗАПНО он стал небезопасным, хотя никакие приватные данные
> не отправляется (регистрации-то нет, ага).
в стране где уже реальные люди реально сидят за "лайк", вообще-то странно не понимать, что приватными данными является сам факт того, что кто-то с конкретного айпишника в конкретный момент зашел на конкретную страничку твоего сайта (а не "серия недешифрованного мусора улетела в направлении сервера где-то далеко", как это выглядело бы в случае https).
А учитывая общее идиотское движение в сторону ipv6 с его "засвети свой mac-адрес всему миру" - там не только айпишник.
> не вижу смысла платить за то что мне не нужно.
ну вот для тебя и сделали бесплатное. Обычного бесплатного качества, наслаждайся.
| | |
| |
| 4.32, Аноним (32), 19:12, 14/06/2016 [^] [^^] [^^^] [ответить]
| +/– |
 >А учитывая общее идиотское движение в сторону ipv6 с его "засвети свой mac-адрес всему миру" - там не только айпишник.
Пофиксили уже. Везде по умолчанию генерируется дополнительный временный адрес, с него система и лезет в сеть.
| | |
| |
| |
| 6.41, пох (?), 11:57, 15/06/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Ядро Linux "по умолчанию" use_tempaddr ставит в 0.
да это, вроде, и в официальных документах (в смысле, на v6, не ядро) именно так и озвучено, и я не слышал, чтобы тут что-то меняли - mac preferred, generated optional, ничего нового десять лет как нету, и в ведре линукса тоже. И опять же - попадешься-то не ты, кому "нечего скрывать", а твой пользователь, в миру человек может хороший и грамотный, да вот подобными тонкостями, в силу совсем других профессиональных навыков, не обремененный.
И, в общем-то, опять же - живем-то в стране, где и айпишники упорно пытаются привязать к паспорту (а используя места, где еще не проверяют - ты подставляешь владельца). Так что шифруем щательней - пока всех не обязали использовать зарегистрированный на госуслугах "правильный" сертификат, хехехе.
| | |
|
|
|
|
|
| |
| |
| |
| 4.47, пох (?), 14:55, 16/06/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
"тосамоеписьмо" что-то не нашлось.
P.S. одни цифирки - это оно? Жаль, придется отказаться от подобных мэйлов на будущее.
| | |
|
|
|
|
