|
| |
| 2.36, Sw00p aka Jerom (?), 13:04, 07/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
давно бы валидацию через днс сделали бы с оговоркой over dnssec вот и простимулировалибы и защищённый днс
| | |
|
| |
| 2.10, sorrymak (ok), 00:23, 07/07/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Extended Validation Let's Encrypt не предоставляет (и вряд ли когда-то будет), поэтому — увы, но полностью заменить глобальные CA пока невозможно :-(.
| | |
| |
| 3.15, . (?), 05:46, 07/07/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
Технически - не нужно :) А так - дураки должны платить, всё правильно.
| | |
| 3.29, А (??), 10:09, 07/07/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
А, кроме понта, зачем они нужны?
Они держатся только на доверии к проверкам со стороны CA, а доверия уже давно нет, к тому же CA уже давно один другого скушали, осталось совсем немного, и они - уже потеряли доверие.
Т.е. выписывать серт "с зеленой полосой" можно, конечно (смотрится симпатично в браузере), но реально все понимают, что полоса эта мало к безопасности добавляет.
| | |
| |
| 4.32, Аноним (-), 10:53, 07/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
Реально если ваш SBOL сломали спецслужбы, то скорее всего вам лично ничего не грозит(кроме военных действий и краха экономики), а вот если это неизвестный друх из разряда высококвалифицированных воришек, ваши накопления могут прилично пострадать.
| | |
| 4.35, Snaut (ok), 12:16, 07/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
 > А, кроме понта, зачем они нужны?
> Они держатся только на доверии к проверкам со стороны CA, а доверия
> уже давно нет, к тому же CA уже давно один другого
> скушали, осталось совсем немного, и они - уже потеряли доверие.
> Т.е. выписывать серт "с зеленой полосой" можно, конечно (смотрится симпатично в браузере),
> но реально все понимают, что полоса эта мало к безопасности добавляет.
добавляет. при этом CA звонит доверенному лицу и спрашивает подтверждение того, что именно его организация подала запрос на генерацию сертификата
| | |
| |
| |
| 6.40, Snaut (ok), 15:18, 07/07/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> А польза-то где?
в больших организациях кто-то должен контролировать выдаваемые сертификаты, т.к. как правило сертификатов и систем очень много и сразу несколько человек имеют доступ до веб-интерфейса заказа сертификатов у CA. теоретически возможна ситуация, что кто-то из них выпустит сертификат для своих корыстных целей.
| | |
|
|
| 4.49, Аноним (-), 18:37, 08/07/2017 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> А, кроме понта, зачем они нужны?
Ты когда карточкой что-нибудь оплачиваешь, тебе не интересно знать, делаешь ты это на сайте банка или каком-то левом?
| | |
| |
| 5.55, Snaut (ok), 10:39, 10/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> А, кроме понта, зачем они нужны?
> Ты когда карточкой что-нибудь оплачиваешь, тебе не интересно знать, делаешь ты это
> на сайте банка или каком-то левом?
мало того, когда увольняется сотрудник, имевший доступ к закрытым ключам сертификатов - инициируется процесс перевыпуска всех сертификатов, к которым он имел доступ. Так делается у нас в банке.
Копии закрытых ключей хранятся на ноутбуке, а ноутбук лежит в сейфе. доступ к которому осуществляется через начальника управления. И этот ноутбук не включается ни в какую сеть! т.е. работа на нем исключительно без сети!
| | |
|
|
|
|
| |
| 2.7, анонимус (??), 23:38, 06/07/2017 [^] [^^] [^^^] [ответить]
| +8 +/– |
Какая разница, фишинговый сайт или нет? Let's Encrypt просто даст возможность защищённого соединения с ним.
| | |
| |
| 3.8, Аноним (-), 23:40, 06/07/2017 [^] [^^] [^^^] [ответить]
| –4 +/– |
Всякие хромоги к таким фишингам подписывают слово «Надёжный», простые пользователи ведутся на это :(
| | |
| |
| 4.11, KonstantinB (ok), 00:30, 07/07/2017 [^] [^^] [^^^] [ответить]
| +19 +/– |
 Простые пользователи ведутся на все, что угодно.
Был такой нашумевший фейковый антивирус для мака, mac defender вроде назывался. Самый обычный фейковый антивирус, только первый, кажется, для os x, и распространялся стандартыми средствами - веб-страничка с нарисованным интерфейсом ОС, вирус-алертами и большая кнопка "вылечить".
Ну так вот, первое время распространители этой разводиловки даже не стали стараться рисовать интерфейс макоси. Даже для мака показывали нарисованный ранее интерфейс винды, с проводником, диском C:, обратными слешами и кнопкой "пуск", единственное отличие - что для макоси отдавали маковый бинарь. И что думаете? Полмиллиона установок за неделю.
А вы говорите, в хроме там "надежный".
| | |
| 4.30, А (??), 10:11, 07/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Всякие хромоги к таким фишингам подписывают слово «Надёжный», простые пользователи
> ведутся на это :(
Ну это проблема 1) перевода (в английском - Secure, что немного другое значает), и 2) пользоваталей (которым надо голову включать, потому что никто за них не знает, что им надо - мало ли, может, юзер сам на online.sderbank.ru вместо online.sberbank.ru зашел?)
В общем, не надо на больную голову валить. Тем более что и сейчас никто хацкерам не мешает купить домен (и серт на него) "sderbank.ru", причем хоть обычный, хоть wildcard.
| | |
| |
| 5.62, . (?), 08:05, 12/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Тем более что и сейчас никто хацкерам не мешает купить домен (и серт на него)
> "sderbank.ru", причем хоть обычный, хоть wildcard.
не мешает. А вот EV - помешает то, что при этом надо предъявлять правдоподобные документы (и чаще всего - на бумаге, никаких факсов), и читать их будет вполне себе такой настоящий нотариус - соответственно, еще никаких денег-паролей не сперев, ты уже вешаешь на себя статью о подделке документов, ну, или показываешь свои настоящие документы, в результате появляется невиртуальная жопа, за которую тебя могут взять.
Происходит все это небыстро и неавтоматически, поэтому велик риск вообще не встретить на свободе письмо счастья с подтверждением выдачи сертификата. Проще у того лоха отжать мобилу (вместе со всеми банками-онлайн, хехехе)
| | |
|
|
|
| 2.23, ryoken (ok), 07:37, 07/07/2017 [^] [^^] [^^^] [ответить]
| +5 +/– |
 > Эх и раздолье фишинговым сайтам будет…
let's Encrypt это про сертификат. Про защиту от фишинга не к ним. Там голова поди нужна :D.
| | |
|
| |
| 2.13, h31 (ok), 03:29, 07/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
 Геодомены - в смысле company.ru и company.de?
Их ограниченное количество и меняются они нечасто, так что можно прописать их в subjectAltName. Я думаю, wildcard в такой ситуации вообще вряд ли поможет - было бы очень странно, если бы стандарт X.509 позволял бы указывать шаблон вида company.*.
| | |
| |
| 3.16, . (?), 05:49, 07/07/2017 [^] [^^] [^^^] [ответить]
| –2 +/– | |
>... можно прописать их в subjectAltName
А разве LE понимает SAN-ы?!?!? 8-о
| | |
| |
| 4.22, ssh (ok), 07:13, 07/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
 > геодомены в смысле msk.ru, spb.ru
Имхо, проблемы быть не должно, так как вебсерверы обслуживающие @.msk.ru и my.msk.ru могут быть разными, а следовательно использовать разные пары ключ/сертификат.
| | |
| 4.34, Аноним (-), 11:07, 07/07/2017 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> геодомены в смысле msk.ru, spb.ru
Если владелец msk.ru подписал себе *.msk.ru, то это уже вопрос к разместившему там поддомен, зачем ему такие риски...
p.s. и да на хостинге можно из гипервизора подписать все крутящиеся на сервере домены на себя, но это уже проблема другого уровня правда?
| | |
|
| 3.18, . (?), 06:20, 07/07/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>... можно прописать их в subjectAltName
А разве LE понимает SAN-ы?!?!? 8-о
| | |
| |
| 4.37, Sw00p aka Jerom (?), 13:07, 07/07/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> А разве LE понимает SAN-ы?!?!? 8-о
коментом выше дали ссылочку на фаг
Can I get a certificate for multiple domain names (SAN certificates)?
Yes, the same certificate can apply to up to 100 different names using the Subject Alternative Name (SAN) mechanism. The resulting certificates will be accepted by browsers for any of the domain names listed in them.
| | |
|
|
|
| 1.27, Аноним (-), 09:09, 07/07/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
мне эта хрень с форсингом хттпс не нравится тем, что серт отзывать может не только вледелец домена, но и другая сторона. в будущем, когда браузеры перестанут работать с хттп, т.н. корпорации бобра могут воспользоваться этим положением для борьбы с неугодными.
| | |
| |
| 2.33, Гость (??), 11:04, 07/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
Все верно, еще каких-нибудь 10-15 лет и приплыли. Как и бесконечный форсинг ipv6. Очевидно, чекистам нужен контроль за каждой вашей кофеваркой, другого применения ему нету.
| | |
| 2.52, XoRe (ok), 21:01, 09/07/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > мне эта хрень с форсингом хттпс не нравится тем, что серт отзывать
> может не только вледелец домена, но и другая сторона.
Если для вас это так важно, используйте свой CA, его никто не сможет отозвать.
| | |
| |
| 3.59, . (?), 17:03, 11/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Если для вас это так важно, используйте свой CA, его никто не
> сможет отозвать.
к сожалению, мой тикет все еще 'INVALID'.
https://bugzilla.mozilla.org/show_bug.cgi?id=647959
- может, переоткроете? Правда, кто будет платить webtrust.org ? (очаровательной организации, неспособной настроить сайт на собственном корневом домене, но подписанной проверять профпригодность всех остальных, ага)
(надеюсь, очевидно, почему использовать self-signed - плохая, никуда не годная идея? )
| | |
| |
| 4.63, XoRe (ok), 18:29, 17/07/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> (надеюсь, очевидно, почему использовать self-signed - плохая, никуда не годная идея? )
Честно говоря, нет. Я про случай, когда вам одному нужно ходить на свои ресурсы.
| | |
|
|
|
| 1.31, Аноним (-), 10:46, 07/07/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Хорошее начало, теперь подумай кому выгодно утянуть в летц энкрипт клиентов других ЦА.
| | |
| 1.41, Аноним (-), 15:34, 07/07/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Народ, кто каким альтернативным клиентом Let's Encrypt пользуется? Опишите, каким и почему именно он.
| | |
| |
| 2.44, Ergil (ok), 18:14, 07/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
 https://github.com/hlandau/acme
Перебрал методично все альтернативные клиенты, что были представлены ссылками на сайте LE, этот понравился больше всех и удобством, и гибкостью настройки. Использую у себя и у всех клиентов.
| | |
|
| 1.46, Умная Маша (?), 20:11, 07/07/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Это всё хорошо и радостно. Зажравшихся CA давно пора было прищемить. И скоро 90% интернетов будет работать на сертификатах Let's Encrypt. И опять все яйца будут в одной кошёлке. Когда ж это кончится, а?
| | |
| 1.53, Аноним (-), 21:22, 09/07/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Моё мнение, закрытые ключи уже давно у АНБ, если вообще не они генерировали эти самые ключи. Доверия к let's encrypt ноль.
| | |
| |
| 2.54, Crazy Alex (ok), 22:08, 09/07/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Во-первых, подобное можно вообще про любой CA сказать, здесь отличие только в бесплатности и автоматизации (читай - отсутствии мороки).
Во-вторых - и что? На один случай, когда прятаться надо от спецслужб сотни тысяч - когда прятаться надо от обычного ворья.
В-третьих - если у тебя с АНБ проблемы в любом случае надо что-то покруче, чем стандартное браузерное шифрование.
| | |
| |
| 3.58, . (?), 16:51, 11/07/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Во-первых, подобное можно вообще про любой CA
очевидно, про wosign - нельзя, китайские спецслужбы оказались явно достаточно компетентны, чтобы не пускать конкурентов.
(а комода, помнится, жила/живет в GB?) У US, внезапно, нет эксклюзивного права на создание CA.
> Во-вторых - и что? На один случай, когда прятаться надо от спецслужб сотни тысяч - когда
> прятаться надо от обычного ворья.
от обычного ворья очень плохо прятаться за скриптованной системой, хранящей ключи в открытом виде прямо на сервере и подтверждающей владение тупым автоматическим запросом - для обычного ворья как раз гораздо проще и понятнее получение физического доступа к серверу/взлом/кража домена, чем встраивание в магистральные каналы операторов. Угадайте, для кого как раз обычнее и доступнее - второе?
> В-третьих - если у тебя с АНБ проблемы
у тебя могут быть проблемы не с самой АНБ, а с вшивым мексом-аутсорсером в фирме-контрактере фирмы-аусторсера АНБ, по совместительству работающим на местную банду. Ну или все то же самое - с ФСБ, и не мекс, а узбек, и не аутсорсер, а бандит под "крышей" (или кто-то, оплативший его услугу).
Напоминаю, что наш друг Сноуден примерно таким и являлся (только работал не на местную банду, а на ФСБ. Ну или "и на ФСБ - тоже подрабатывал").
| | |
|
| 2.56, Snaut (ok), 15:41, 10/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Моё мнение, закрытые ключи уже давно у АНБ, если вообще не они
> генерировали эти самые ключи. Доверия к let's encrypt ноль.
вы процедуру выпуска сертификатов вообще знаете? закрытые ключи генерируются исключительно по время генерации запроса на выдачу сертификата и хранится он только и исключительно у владельца того, кто генерирует запрос на выпуск сертификата.
не нужно выдумать того, в чем вы не разбираетесь
| | |
| |
| 3.57, анон (?), 02:49, 11/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
Да вы похоже тоже так себе эксперт. Речь идет о ключе которым подписан корневой сертификат. Такой ключ позволяет выпустить любую цепочку.
| | |
| |
| 4.60, Snaut (ok), 17:06, 11/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Да вы похоже тоже так себе эксперт. Речь идет о ключе которым
> подписан корневой сертификат. Такой ключ позволяет выпустить любую цепочку.
есть более простые способы, просто свой CA сертификат распространить через windows обновление (обновления доверенных корневых сертификатов). Нафиг АНБ геморрой с закрытыми ключами, доступ до чего-то получать. будьте проще.
и выписывай хоть любой сертификат
| | |
|
|
| 2.61, KonstantinB (ok), 21:53, 11/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
У АНБ точно так же могут быть ключи и от Verisign, Thawte и прочих комод. А если нет разницы, зачем платить больше?
| | |
|
|
