The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Let's Encrypt внедрил расширение для координации обновления сертификатов

26.03.2023 07:31

Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, объявил о реализации в своей инфраструктуре поддержки ARI (ACME Renewal Information), расширения протокола ACME, позволяющего передавать клиенту сведения о необходимости обновления сертификатов и рекомендовать оптимальное время для обновления. Спецификация ARI проходит процесс стандартизации комитетом IETF (Internet Engineering Task Force), занимающимся развитием протоколов и архитектуры интернета, и находится на стадии проверки чернового варианта.

До внедрения ARI клиент сам определял политику обновления сертификата, например, периодически запуская процесс обновления через Cron или принимая решения на основе разбора времени жизни сертификата. Подобный подход приводил к трудностям при необходимости досрочного отзыва сертификатов, например, приходилось связываться с пользователями по email и вынуждать их выполнять ручное обновление.

Расширение ARI позволяет клиенту определить рекомендуемое время обновления сертификата, не привязываться к 90-дневному времени жизни сертификатов и не беспокоиться, что может быть пропущен внеплановый отзыв сертификата. Например, в случае досрочного отзыва через ARI обновление может быть инициировано не через 90, а через 60 дней. Кроме того, ARI позволяет эффективно сглаживать пиковую нагрузку на серверы Let's Encrypt, выбирая время для обновления с учётом загруженности инфраструктуры.


     GET https://example.com/acme/renewal-info/

     "suggestedWindow": {
       "start": "2023-03-27T00:00:00Z",
       "end": "2023-03-29T00:00:00Z"
     },


  1. Главная ссылка к новости (https://letsencrypt.org/2023/0...)
  2. OpenNews: Let's Encrypt отзывает 2 млн сертификатов из-за проблем в реализации TLS-ALPN-01
  3. OpenNews: Умер Питер Экерсли, один из основателей Let's Encrypt
  4. OpenNews: Массовый отзыв сертификатов Let's Encrypt
  5. OpenNews: Let's Encrypt преодолел рубеж в миллиард сертификатов
  6. OpenNews: Разработанный проектом Let's Encrypt протокол ACME утверждён в качестве интернет-стандарта
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/58870-letsencrypt
Ключевые слова: letsencrypt
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (154) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.6, BrainFucker (ok), 09:00, 26/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Кроме того, ARI позволяет эффективно сглаживать пиковую нагрузку на серверы Let's Encrypt, выбирая время для обновления с учётом загруженности инфраструктуры. GET https://example.com/acme/renewal-info/

    Но при этом всё равно требуется запрашивать инфу с их серверов поллингом, судя по примеру?

     
     
  • 2.64, Аноним (64), 13:36, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Нагрузка на веб-апи это ничто.
    Вебапи можно заскейлить до космических масштабов почти бесплатно и обрабатывать хоть все запросы разом от всего человечества.

    Нагрузку создаёт генерация новых сертификатов, раньше пользователь по крону генерил сам в удобное время ему. Теперь будет генерить в удобное для ЦА время.

    У летсенкрипт серевер генерации в единственном экземпляре и заскейлить его очень проблематично.
    https://letsencrypt.org/2021/01/21/next-gen-database-servers.html

     
     
  • 3.69, Аноним (69), 13:53, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    могли бы просто дёргать URL на сайте через POST...
     
  • 3.79, BrainFucker (ok), 14:26, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Нагрузку создаёт генерация новых сертификатов, раньше пользователь по крону генерил сам в удобное время ему. Теперь будет генерить в удобное для ЦА время.

    Не сам, а по крону клиент certbot или аналог слал запрос на сервер LE, тот в ответ слал ответный запрос для валидации и потом выдавал подписанный ими сертификат.


    > У летсенкрипт серевер генерации в единственном экземпляре и заскейлить его очень проблематично.

    Не вижу проблемы. Там уже есть API https://acme-v02.api.letsencrypt.org/directory через который происходит запрос нового сертификата, поднять несколько серверов и распределить нагрузку не проблема.

    Сдаётся мне что статью просто перевели криво и дело не в нагрузках.

     
     
  • 4.105, Аноним (105), 17:21, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > поднять несколько серверов и распределить нагрузку не проблема

    Несколько серверов чего именно? REST API? Их и так несколько. Тормозит совершенно в другом месте.

     
  • 3.95, Tron is Whistling (?), 15:24, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    "Почти бесплатно" тут лишнее - до космических масштабов скейлится стоимостью космических же денег.
     
     
  • 4.106, Аноним (105), 18:15, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +13 +/
    Ну давай прикинем хотя бы порядок этих «космических» денег.

    Предположим, что все 8 миллиардов человек один раз в месяц пишут и читают 1 килобайт статических данных. На AWS S3 получем за хранение и доступ к данным:

    Tiered price for: 8192 GB
    8192 GB x 0.0230000000 USD = 188.42 USD
    Total tier cost = 188.4160 USD (S3 Standard storage cost)
    8,024,057,190 PUT requests for S3 Standard Storage x 0.000005 USD per request = 40,120.2859 USD (S3 Standard PUT requests cost)
    8,024,057,190 GET requests in a month x 0.0000004 USD per request = 3,209.6229 USD (S3 Standard GET requests cost)
    9,216 GB x 0.0007 USD = 6.4512 USD (S3 select returned cost)
    9,216 GB x 0.002 USD = 18.432 USD (S3 select scanned cost)
    188.416 USD + 3,209.6229 USD + 40,120.2859 USD + 6.4512 USD + 18.432 USD = 43,543.21 USD (Total S3 Standard Storage, data requests, S3 select cost)
    S3 Standard cost (monthly): 43,543.21 USD

    За трафик:
    Inbound:
    Internet: 9216 GB x 0 USD per GB = 0.00 USD
    Outbound:
    Internet: 9216 GB x 0.09 USD per GB = 829.44 USD
    Data Transfer cost (monthly): 829.44 USD

    Итоговая сумма: 44,372.65 USD

    Пока что космических денег не наблюдается. Я работал с несколькими компаниями, у которых месячные счета были в четыре раза больше.

    Но статические данные это не очень интересно. Всё же API предполагает собой какую-то динамику, да и размер в 1 килобайт какой-то смешной. Пусть это будет те же 16 миллиардов запросов к AWS API Gateway (REST API) в месяц:

    Tiered price for: 16000000000 requests
    333000000 requests x 0.0000035000 USD = 1165.50 USD
    667000000 requests x 0.0000028000 USD = 1867.60 USD
    15000000000 requests x 0.0000023800 USD = 35700.00 USD
    Total tier cost: 1165.50 USD + 1867.60 USD + 35700.00 USD = 38733.1000 USD (REST API requests)
    Tiered price total for REST API requests: 38,733.10 USD
    3.80 USD per hour x 730 hours in a month = 2,774.00 USD for cache memory
    Dedicated cache memory total price: 2,774.00 USD
    38,733.10 USD + 2,774.00 USD = 41,507.10 USD
    REST API cost (monthly): 41,507.10 USD

    Всё ещё тривиальные суммы, особенно учитывая планетарный масштаб. Но ответы на запросы к API Gateway приходят не из вакуума, что-то на том конце должно посчитать и выдать ответ. Для этого мы будем использовать AWS Lambda. Предположим, что запросы обсчитываются с p99 в районе 1 секунды и коду требуется не больше 128 мегабайт памяти и 512 мегабайт дискового пространства для обработки 1 запроса:

    16,000,000,000 requests x 1,000 ms x 0.001 ms to sec conversion factor = 16,000,000,000.00 total compute (seconds)
    0.125 GB x 16,000,000,000.00 seconds = 2,000,000,000.00 total compute (GB-s)
    2,000,000,000.00 GB-s - 400000 free tier GB-s = 1,999,600,000.00 GB-s
    Max (1999600000.00 GB-s, 0 ) = 1,999,600,000.00 total billable GB-s
    Tiered price for: 1999600000.00 GB-s
    1999600000 GB-s x 0.0000166667 USD = 33326.73 USD
    Total tier cost = 33326.7333 USD (monthly compute charges)
    16,000,000,000 requests - 1000000 free tier requests = 15,999,000,000 monthly billable requests
    Max (15999000000 monthly billable requests, 0 ) = 15,999,000,000.00 total monthly billable requests
    15,999,000,000.00 total monthly billable requests x 0.0000002 USD = 3,199.80 USD (monthly request charges)
    0.50 GB - 0.5 GB (no additional charge) = 0.00 GB billable ephemeral storage per function
    33,326.7333 USD + 3,199.80 USD = 36,526.53 USD
    Lambda costs - With Free Tier (monthly): 36,526.53 USD

    Не будем забывать, что исходящий трафик не бесплатный. Цена за гигабайт интернет-трафика в самом дешёвом регионе 0.09USD. 16 миллиардов запросов, минимум 2КБ на запрос обойдутся в 32,768 GB * 0.09 USD  = 2,949.12 USD.

    Итого получаем: 80982.75USD в месяц до скидок и оптимизаций. Всё ещё тривиальная сумма, для проекта такого масштаба это действительно почти бесплатно.

     
     
  • 5.150, anonym444 (?), 22:07, 27/03/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Переиграл и уничтожил. :)
     
     
  • 6.176, Tron is Whistling (?), 00:58, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ды ладно. Там как обычно - "килобайт данных".
    На сколь либо серьёзное применение это не скейлируется никак вообще.
     
  • 5.175, Tron is Whistling (?), 00:56, 04/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А теперь увеличь килобайт до пары мегабайт, и давай посчитаем :)
     
  • 3.102, pashev.ru (?), 16:37, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > У летсенкрипт серевер генерации в единственном экземпляре

    Ну и дураки. Берём корневой сертификат, им подписываем N сертификатов для N серверов, а уже ими подписываем остальные или ещё несколько уровней.

    Но мне кажется, что анонимус сам не в теме.

     
     
  • 4.107, Аноним (105), 18:22, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Локалхостов, так что ж ты им не объяснишь как надо-то? Показал бы класс. А то они тупые, какие-то HSM дорогущие покупают, зачем-то их сетапят в секьюрных датацентрах. А могли бы по простому, скачать с твоего локалхоста пару скриптов на баше, а то и там же выполнять всё. А что, openssl точно такие же сертификаты генерит!
     
  • 3.141, Аноним (141), 12:39, 27/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это какой-то позор, сервис, на который завязали половину интернета, держится на одном аппаратном сервере, причем они с трудом его доапгрейдили (апгрейдят) до всего лишь Dell PowerEdge R7525, который новый стоит не более 10 килоевро. Почему не поставить тогда сервак сразу не с двумя, а с четырьмя сокетами? И за столько лет никто не переделал их boulder на возможность распределенной работы? Вопросы, вопросы...
     
     
  • 4.142, Аноним (141), 12:51, 27/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    При этом у них собралось
    > $17M that we’ve used to change the Internet

    но весь бизнес висит на одной железке.

     
  • 4.147, пох. (?), 17:01, 27/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Там скорее всего и от второго сокета толку никакого.
    Строго последовательная обработка - я даже примерно догадываюсь, почему.

    > И за столько лет никто не переделал их boulder на возможность распределенной работы?

    к счастью. А то бы твои сертификаты уже достались кому-нибудь.

     

  • 1.8, Аноним (8), 09:17, 26/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    не хотите нагрузку - сделайте сертификаты на 25 лет, и никому не надо будет их обновлять.
     
     
  • 2.11, Аноним (11), 09:48, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +10 +/
    этак интернетом смогут пользоваться все, а не только кому дозволено.
     
     
  • 3.83, Аноним (83), 14:36, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >все

    https://www.opennet.me/opennews/art.shtml?num=54206
    https://www.opennet.me/opennews/art.shtml?num=56830

     
     
  • 4.133, Аноним (133), 08:41, 27/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    не вижу связи, не ставьте такой сертификат ca :-)
     
  • 2.31, Аноним (31), 12:04, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +7 +/
    И сразу выкладывайте этот сертификат *. на 25 лет в общий доступ.
    Нам нечего скрывать! И обновление паролей/сертификатов нам не нужны!
     
     
  • 3.38, Аноним (38), 12:31, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И трусы от банковской карточки
     
  • 3.103, pashev.ru (?), 16:39, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Анонимус не в курсе, что сертификаты, включая корневой, и так в открытом доступе.
     
  • 3.129, Бывалый Смузихлёб (??), 07:16, 27/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Только сертификат - не пароль

    Ну обновляй все пароли на всех ресурсах через день. А потом - забавы для попробуй вспомнить к чему-то не часто используемому если комп накрылся или с бэкапами что-то приключилось

    В случае с неприлично короткоживущими сертификатами сабжа дело, похоже, вообще ни в какой не в абстрактной безопасности соединения - может так оказаться, что, по очередному решению американского суда, возомнившего себя мировым, конторе просто отрубят доступ к получению нового сертификата и гарантировано что она сможет проработать не более 3-х месяцев
    Хотя забавней будет, если посредством нового функционала просто тишком будут выдавать рекомендуемые даты обновления за пределами срока действия сертификата )

     
     
  • 4.134, Аноним (133), 08:42, 27/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    именно!
    кто контролирует выпуск сертификатов- контролирует интернет.
     
  • 4.145, Анон_облегчился (?), 16:41, 27/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Срок жизни сертификатов напрямую связан с безопасностью точно так же как и срок ... большой текст свёрнут, показать
     
     
  • 5.148, пох. (?), 17:05, 27/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну да, ну да - ручное обновление с контролем за ручками раз в три года - плоха, плоха и нибизапастна.

    Отдать все управление работающему от рута самообновляющемуся из неконтролируемого источника сертботу - так побидим.

    Все ок, только можно я свалю куда-нибудь в Парагвай, где вообще еще нет компьютеров?

     
     
  • 6.152, Аноним (31), 01:10, 28/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >работающему от рута самообновляющемуся из неконтролируемого источника сертботу

    Кроме сертбота полно других реализаций, но обычно реализация ACME нативно реализована на прокси или в логике конечных приложений если прокси нет.
    Сертботы обычно запускают совсем маленькие наколеночные проекты.

     
     
  • 7.153, пох. (?), 09:26, 28/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну то есть вообще зашибись - сразу конечное приложение работает от рута
    (или от его эквивалента - нам не важен рут, нам важно что про разделение привиллегий девляпс забыл наглухо. У приложения и каждого кто инжектнет в него левый код - есть доступ к закрытому ключу. Вот молодцы-то какие.)

    А мы когда-то, эхх, вручную вводили пароли при рестарте фронтендов. Со всеми соблюдениями регламентов, т.е. нужен владелец пароля от сервера, нужен владелец пароля от ключа, нужен третий что присматривает за этими двумя опасными типами, и ни одного движения без записей в логи.

    Вот же ж как надо было - сразу в приложение затолкать ключ, и вообще нешифрованный, так удобней.

    Чего там, действительно, все равно никто не заметит что его стырили.

     
  • 6.166, К.О. (?), 09:53, 01/04/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > работающему от рута

    Отлично запускается и не от рута.
    Даже на одной машине он может быть не один, это же пачка питоноскриптов.
    Запускай в контейнере по таймеру, ничего кроме директории с сертификатами он не увидит.

     
  • 2.81, Kuromi (ok), 14:27, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Наоборот, ни продвигают идею сокращения срока их жизни и более частого обновления. Чисто статистически если у вас сертификаты были на год а стали на полгода нагрузка от обновлений вырастет в 2 раза. Так что эти подвижки в сторону "выравнивания нагрузки" на самом деле борьба с последствиями своих же решений.
     

  • 1.9, Sadok (ok), 09:38, 26/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Они открыли для себя openssl x509 -dates , судя по примеру?
     
     
  • 2.10, Аноним (10), 09:40, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    openssl не покажет, что сертификат будет досрочно отозван.

     
     
  • 3.17, Sadok (ok), 10:44, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > openssl не покажет, что сертификат будет досрочно отозван.

    да, не проснулся. касаться вопроса "какого карлика CA отзывает сертификат?" не будем

     
     
  • 4.41, Аноним (38), 12:33, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Каэшн не будем, ты ведь пишешь идеальный софт в котором не может быть уязвимостей с идеальными шифрами в которых не бывает коллизий, а главное тебе можно доверять, как и любому наёмному мимокрокодилу
     
     
  • 5.130, Бывалый Смузихлёб (??), 07:27, 27/03/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    сколько бесполезных слов и обвинений но не упоминается главного
    > 1 марта 2022 года американский УЦ Thawte отозвал TLS-сертификаты
    > у сайтов попавших под санкции Банка России, «ВТБ» и «ПСБ»
     

  • 1.12, Аноним (12), 10:03, 26/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >GET https://example.com/acme/renewal-info/

    Ну почему не использовать стандартный URL, как в обновлении?
    https://example.com/.well-known/acme-challenge/
    https://example.com/.well-known/acme-renewal-info/

     
     
  • 2.18, Sadok (ok), 10:46, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >>GET https://example.com/acme/renewal-info/
    > Ну почему не использовать стандартный URL, как в обновлении?
    > https://example.com/.well-known/acme-challenge/
    > https://example.com/.well-known/acme-renewal-info/

    потому что wildcard

     
     
  • 3.55, Аноним (12), 12:57, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >потому что wildcard

    Именно для единообразной обработки по wildcard и надо:
    if string.match(lighty.env["request.uri"], "/%.well%-known/acme.+") then
    ....

     

  • 1.13, Анонус (?), 10:04, 26/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > контролируемый сообществом
    > Major sponsors include the Electronic Frontier Foundation (EFF), the Mozilla Foundation, OVH, Cisco Systems, Facebook, Google Chrome, Internet Society, AWS, NGINX, and Bill and Melinda Gates Foundation. Other partners include the certificate authority IdenTrust, the University of Michigan (U-M), and the Linux Foundation.

    Сообществом корпоратов?

     
     
  • 2.19, pashev.ru (?), 10:46, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Мой комментарий снесли.

    Кстати, а у кого ключ от корневого сертификата?

     
     
  • 3.24, амоним (?), 11:51, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    для больших CA, ключ от корневого серта, вроде как, лежит в железе, без возможности его прочитать.
    но это по правилам и в теории )
     
     
  • 4.43, Аноним (38), 12:34, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А потом, внезапно, узнаётся, что из железа, при очень большом желании, его тоже можно извлечь
     
     
  • 5.113, Аноним (105), 20:13, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, при помощи секретных нибируанских технологий. Но только с благословления верховного ящерика.
     

  • 1.14, Аноним (14), 10:04, 26/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Но ведь отзыв сертификата по инициативе УЦ, а не его владельца - это какой-то бред. Если УЦ нарушил процедуру выдачи, то нужно отзывать корневой сертификат УЦ. Иначе же сертификат не скомпрометирован, откуда вообще у УЦ возможность его отзывать?
     
     
  • 2.15, Аноним (15), 10:22, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    CRL и OCSP не содержат подписей, сделанных самими сертификатами, что позволяет УЦ их отзывать по желанию левой пятки. Напр. у тех, у кого дядя Сэм приказал отозвать. Всё это - большущий бэкдор. Нужно менять спецификации и браузеры, чтобы пользовались исключительно обновлёнными, содержащими подписи, сделанные самими отзываемыми приватными ключами.
     
     
  • 3.16, Sha4096 (?), 10:43, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И мне ходить по сайтам и доверять корневому сертификату, подписанным тобой?
    Ну уж как то обойдемся текущей ситуацией.
     
     
  • 4.20, Аноним (15), 10:47, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Подписанному Гуглом. У Гуглага достаточно рычагов, чтобы отнять у CA возможность отзывать сертификаты по желанию их левых пяток. При этом у Гуглага есть возможность у самого отзывать сертификаты по своему усмотрению. Таким образом отъём у CA возможности отзывать сертификаты с одной стороны упрочнит власть гугла, а с другой - в некоторой степени оградит пользователей от беспредела центров.
     
     
  • 5.21, Sha4096 (?), 10:58, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    За каким хером тянуть гугл туда где он не нужен? Вот именно для этого и есть некоммерческий
    LetsEncrypt. А вашу жажду к монополии можно оставить при себе.
     
     
  • 6.28, Аноним (28), 11:55, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Гугл уже монополист со своим хромом, и может приструнить центры. Mozillу же центры сами приструнят.
     
     
  • 7.35, Аноним (31), 12:18, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Жажда сапога в жoпe или что?

    У нас есть замечательный некомерчнский центр сертификации. Можно пожелать еще один некомерческий центр для альтернативы.
    Но точно нельзя пожелать чтобы гугл/госпараша или еще что-то подобное вмешивалось в этот процесс.

    Отзыв со стороны CA это хорошая практика для безопасности.
    СА лучше знать, чем владельцу сертификата о том, что при генерации что-то пошло не так.

    CA обнаружили баг/фичу из-за которых к твоему домену банка сгенерили 500 сертов 500 разных людей.

    И че мне ждать пока ты там об этом узнаешь чего-то подпишешь и пойдёшь обновишь 25 летний серт?
    И только после этого для клиента банка исчезнет вероятность MiTM от 500 разных людей?

    Невероятно логично просто 12/10, спасибо экспертам опеннета за наше безопасное детсво!

     
     
  • 8.39, Аноним (28), 12:31, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ключи на стороне клиента генерируются В таких случаях нужно сначала одноврем... большой текст свёрнут, показать
     
     
  • 9.49, Аноним (31), 12:43, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Подпись на стороне ца Конечный подписанный серт генерируется на стороне ЦА Мир... большой текст свёрнут, показать
     
     
  • 10.58, Аноним (28), 13:11, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    У клиента может быть уязвимая реализация гспч У центра уязвимая реализация - во... большой текст свёрнут, показать
     
  • 10.68, Аноним (68), 13:49, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ЦА - это профессиональные обеспичители безопасности Им за это и платят - чтобы ... большой текст свёрнут, показать
     
  • 8.85, Kuromi (ok), 14:38, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Касательно кейса с банками - как-то был опыт, что у банка одного стух сертификат... текст свёрнут, показать
     
  • 7.48, Аноним (48), 12:42, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как же вы задрали, мамкины экономисты. На рынке сильно больше двух бесплатных браузеров, а вы орете про какую-то монополию.
     
     
  • 8.54, Аноним (28), 12:53, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    telnet exe, например ... текст свёрнут, показать
     
  • 7.114, Аноним (105), 20:21, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не может. Вообще никакого вляния не имеет. Прежде чем нести чушь, разобрался бы как Root of Trust устроен и как в него сертификаты попадают. Если уж на то пошло, как раз Мозилловский Root of Trust один из самых авторитетных источников.
     
  • 4.22, пох. (?), 11:36, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А зачем тебе при этом вообще корневой сертификат? Доверяй self-signed - вообще-то это будет именно та децентрализация, о которой все мечтают.
    Если ты не доверяешь моей подписи - не ходи на мои сайты.

    Правда, работать в современых браузерах почти ничего не будет.

    Более того, существует поле ca restriction, позволяющее сделать такой ca, который может подписывать только конкретные домены и поддомены в них (и самое удивительное - его обрабатывает nss. Правда, из работающих при этом браузеров будет наверное одна мазила.)

     
     
  • 5.27, Аноним (28), 11:53, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Более того, существует поле ca restriction, позволяющее сделать такой ca, который может подписывать только конкретные домены и поддомены в них

    Расскажите об этом минцифры.

     
     
  • 6.40, пох. (?), 12:32, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А им чем поможет, там же не только ру и рефе, они ж и com и любые другие домены радостно подпишут.

     
  • 6.50, Аноним (38), 12:43, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем им что-то рассказывать? Кто они вообще? Может им ещё и доверять начать?
     
     
  • 7.53, Аноним (28), 12:50, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не вижу проблемы, если сертификатом минцифры будут подписаны только *.gov.ru и <государственные>.рф сайты. Также не вижу проблемы, если банки создадут свой центр сертификации, которым будут подписывать сертификаты исключительно своих сайтов.
     
     
  • 8.56, Аноним (56), 13:00, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не вижу разницы между сертом минцифры и самоподписаным тобой Хотя вижу, к тебе ... текст свёрнут, показать
     
     
  • 9.62, Аноним (62), 13:33, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Единственная разница между самоподписанными корневыми сертификатами - это то, ку... большой текст свёрнут, показать
     
     
  • 10.86, Kuromi (ok), 14:48, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вся эта итерика с не продлят пока ниочем По тому что я наблюдаю организации в... текст свёрнут, показать
     
     
  • 11.92, Аноним (92), 15:04, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Разумеется, ни о чём Хотели бы - уже бы просто отозвали ... текст свёрнут, показать
     
  • 10.96, Tron is Whistling (?), 15:26, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не ставил, не пользовался, не нужны Кому наплевать на приватность - могут стави... текст свёрнут, показать
     
     
  • 11.123, пох. (?), 23:09, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кому приходится получать зарплату на сбер - будет ставить Впрочем, там дальше в... текст свёрнут, показать
     
     
  • 12.157, Tron is Whistling (?), 09:12, 30/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ды не, ну зачем жо В тухуслугах уже давно ничего не надо, а нало овой проще оди... текст свёрнут, показать
     
     
  • 13.168, пох. (?), 11:51, 01/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    я рад за тебя, чувак без загранпаспорта А мне вот - надо Зарегистрировался кс... большой текст свёрнут, показать
     
     
  • 14.169, Tron is Whistling (?), 11:55, 01/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    К счастью, успел загранник обновить в начале 2022, и даже шенген за пару недель ... текст свёрнут, показать
     
  • 14.170, Tron is Whistling (?), 11:56, 01/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    С правами тоже проблем не было - просто чуть дольше ожидание Хотя в последний р... текст свёрнут, показать
     
  • 14.171, Tron is Whistling (?), 11:57, 01/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А вот это - вообще тема Сейчас юзеры начнут огульно кликать установить сертифи... текст свёрнут, показать
     
  • 12.158, Tron is Whistling (?), 09:13, 30/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Кстате да, с сертификатами у терминалов забавно получилос ... текст свёрнут, показать
     
  • 10.104, Аноним (104), 16:42, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если бы было желание создать альтернативу западным CA, это не проблема Проблема... текст свёрнут, показать
     
     
  • 11.159, Tron is Whistling (?), 09:13, 30/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это проблема Западные CA внезапно трастятся всем миром и сотоварищи А вот с ме... текст свёрнут, показать
     
     
  • 12.172, пох. (?), 12:00, 01/04/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну судя по требованиям, выкаченным Честному Ахмаду - в общем я бы на твоем месте... большой текст свёрнут, показать
     
     
  • 13.173, Tron is Whistling (?), 17:37, 01/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Самым оптимальным был бы да, децентрализованный CA со строгими процедурами и нез... текст свёрнут, показать
     
  • 5.87, Kuromi (ok), 14:50, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну была такая инцииатива - Opportunistic Security, она и состояла в том чтобы даже на сайтах без нормлаьных сертификатах можно было настроить self-signed и чтобы браузер автоматически его подхватывал и без особыз истерик использовал. Мол да. сертификат непонятный. но соединение хотя бы зашифровано.
    Не взлетело, хотя в ФФ было готово.
     
     
  • 6.101, пох. (?), 16:16, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А, да, ошметки по сей день видны в старой паленой луне и еще где-то.
    Казалось бы - с точки зрения безопасности уж всяко не хуже plain http. Но нет. Как это без острых глаз и длинных ушей товарищамайора общаться вздумали, ишь распоясались!

     
  • 5.127, Аноньимъ (ok), 02:26, 27/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Правда, работать в современых браузерах почти ничего не будет.

    Почему? Какие-то ограничения в браузерах?

     
     
  • 6.131, пох. (?), 07:47, 27/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Угу С селф-сайнед уже давно не работают всякие кросс-сайт штуки Даже с вручную... большой текст свёрнут, показать
     
  • 6.136, пох. (?), 09:36, 27/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    CORS (нет, выставлять заголовки, в случае с самоподписанным сертом не помогает - они выставляются, естественно, и игнорируются) и еще что-то, связанное с вебсокетами, что я забыл зафиксировать в методичках - первое я с грехом пополам в какой-то древней мразиле отключил, и это у меня записано, но дальше там еще что-то было, о чем уже забыл за давностию лет. Причем на экране разумеется пусто, и несчастный юзер даже не узнает где его кинули (в консоль он вряд ли умеет посмотреть).

    Короче - не работает наглухо.

    С enterprise root - работает, конечно, но там еще проблем будет при этом (у жабаскрипта свои причуды, node еще и  не умеет в энтерпрайз, п-ц), поэтому пришлось пойти другим путем.

     
  • 2.23, пох. (?), 11:39, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Но ведь отзыв сертификата по инициативе УЦ, а не его владельца - это какой-то бред.

    верьти нам, мы харошие!

    А праведному Ахмеду так и не дали стать CA.

    P.S. а владелец, что забавно, свой сертификат в существующей инфраструктуре отозвать вообще не может - он может только умолять на коленочках CA милостивейше принять его revocation request. Не забыв чек заслать за обслуживание.

     
     
  • 3.25, Аноним (28), 11:52, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну отзыв фундаментально полагается на третьих лиц. Которых придётся уговаривать и чек заносить. Будь это keyserverы, DHT, или blockchain.

    Но блокчейн в PKI не завезут. Ибо центрам это невыгодно.

     
     
  • 4.42, пох. (?), 12:34, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ну отзыв фундаментально полагается на третьих лиц. Которых придётся уговаривать и чек
    > заносить. Будь это keyserverы, DHT, или blockchain.

    в блокчейн можно было бы напрямую добавлять запись об отзыве. Но эта технология и тут тоже бесполезна.
    > Но блокчейн в PKI не завезут. Ибо центрам это невыгодно.

    напомни, какого размера сейчас блокчейн всеми любимого битка, транзакции которого безумно дороги и используются последнее время по минимуму?

    Ну вот поэтому и не завезут - и не только потому что центрам не выгодно, хотя и это тоже.


     
     
  • 5.47, Аноним (28), 12:41, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >в блокчейн можно было бы напрямую добавлять запись об отзыве.

    Но заносить всей сети, путём нахождения блока/уплаты transaction fee - обязательно.

     
  • 5.51, Аноним (28), 12:46, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >напомни, какого размера сейчас блокчейн всеми любимого битка, транзакции которого безумно дороги и используются последнее время по минимуму?

    В блок можно заносить хеши от записи в DHT. И не битком единым. Вообще самая большая прьблема валют - это их завязанность на их создателей, которые могут оказаться самыми настоящими бринципными неспеолибералами. И где теперь Etherium Classic, который остался верен принципам, против которого провели double spend?

     
     
  • 6.63, Аноним (63), 13:35, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    *беспринципными неолибералами
     
  • 3.30, амоним (?), 12:01, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    сложность в том, что владельцу нужно как-то доказать, что это его серт, и его нужно отозвать.
    но если серт утекший, то как с его помощью, можно доказать, что ты - это ты, ведь подпись этим сертом этот не доказательство )
    умолять на коленочках - ну запрос на отзыв, это такой же запрос как и на выдачу или продление.
    получая серт, ты в принципе доверяешь весь свой трафик владельцам CA.
     
     
  • 4.32, Аноним (28), 12:10, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Если серт утёк, то он должен быть отзыван. Поэтому нет никакой проблемы, если лицо, получившее контроль над утекшим сертом, его отзовёт.
     
  • 4.33, Аноним (28), 12:16, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >умолять на коленочках - ну запрос на отзыв, это такой же запрос как и на выдачу или продление.

    получая серт, ты в принципе доверяешь весь свой трафик владельцам CA.

    Запросы имеют сомнительную легитимность. Можно было бы устроить систему так, что центр только удостверяет, что тот, кому серт изначально выдан, есть тот, кто в метаданных ключа в сертификате записан, и хранение и сопровождение списка отзыва. Но система была сделана так, чтобы дать центрам и их хозяевам побольше власти и возможность требовать оплату за каждый чих.

     
     
  • 5.34, Аноним (28), 12:17, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >получая серт, ты в принципе доверяешь весь свой трафик владельцам CA.

    Не совсем. Для этого им нужгы сообщники - хозяева каналов связи между тобой и сайтами.

     
  • 4.36, пох. (?), 12:27, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ммм тебя совершенно не смущает тот факт что для получения того серта - ничего... большой текст свёрнут, показать
     
     
  • 5.45, Аноним (28), 12:37, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >ничего доказывать (по новым модным современным правилам) его не попросили?

    Ну вообще-то попросили доказать, что доменное имя ведёт к ним. Это может владелец DNS-сервера сделать. Который теперь гуглаг и клаудфларь. Которые также владельцы каналов и data-центров.

     
     
  • 6.72, Аноним (72), 14:03, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Потом попросят предъявить право на вход в интернет.  
     
  • 5.115, Аноним (105), 20:31, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Эх.. а когда-то я мог просто поставить галочку в вебморде :-(

    А сейчас даже веб-морда не нужна, на ужас ручных админов.

    > В принципе-то, конечно, это все равно все шуточки - никто уже давно никакие ocsp не проверяет, а списки немодно и зачем вам вообще эти гигабайты (с) гугель.

    OCSP — лажа уровня FTP. Вместо решения задачи добавляет лишних забот. Действительно, зачем вообще эти гигабайты?

     
     
  • 6.120, пох. (?), 21:22, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, не нужна - сп-ли у тебя сертификат - ну и что, сиди дальше надувай щеки, все равно никто ничего не заметит.

     
     
  • 7.125, Аноним (105), 01:13, 27/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И как тут OCSP поможет? А никак. Он тебе скажет «серт годный» и ты этот ответ закэшируешь на некоторое время, скажем на час. Как это принципиально отличается от сертификата со временем жизни в тот же час? Ну, кроме того, что нужно дополнительный сервис поддерживать.
     
     
  • 8.132, пох. (?), 07:48, 27/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А, ну так-то конечно ок Сертификаты с временем жизни в час всех спасут ... текст свёрнут, показать
     
  • 3.108, Аноним (105), 18:42, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Во-первых, никто не может запретить праведному Ахмеду стать CA. Скачал easy-rsa и порядок. Во-вторых, праведный Ахмед (а точнее его племянник ;) таки попал какв базу доверенных сертификатов, с неизбежной драмой в публичном мэйл-листе (гуглить по «concerns about Trustcor») и последующим абортированием Ахмеда к такой-то матери.

    Про чеки за обслуживание в LE ты, конечно, пошутил.

     
     
  • 4.118, пох. (?), 20:49, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Во-вторых, праведный Ахмед (а точнее его племянник

    этот даже на троюродного племяша не тянет - Ахмед-то сразу сказал зачем ему быть CA. Не дали, выставив _помимо_ тех галочек которые до того официально требовались еще пачку в принципе невыполнимых требований, причем как-то по ощущениям - выдумав их на ходу. Мне там особо понравилось - требование аудита (платного!) какими-то м-ками у которых СОБСТВЕННЫЙ сайт открывался по http.

    А в LE товар - ты.  Чек за тебя им уже пришел.

     
  • 2.143, Аноним (-), 14:16, 27/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так уж получилось, что IP адрес одного из моих поддоменов в облаке оракла неизвестно кому и этот неизвестно кто выпустил на него сертификат. Спасибо Cloudflare, что уведомили меня о выпуске нового сертификата. Что ты предлагаешь делать, если отзывать левый серт через CA - "это какой-то бред"?
     

     ....большая нить свёрнута, показать (60)

  • 1.26, Аноним (26), 11:53, 26/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    — Слыш, пупкинбанк.ком, смени сертификат.
    — пупкинбанк.ком: сгенерируй новый, пожалста.
    — Вот те, юзай.

    ???

    Десять минут спустя…

    — Слыш, пупкинбанк.ком, смени сертификат снова.
    — пупкинбанк.ком: сгенерируй новый, пожалста.
    — Вот те, юзай.

    Что происходило в эти 10 минут? Да кто его знает :]

     
     
  • 2.29, Аноним (28), 11:58, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну смена серта самим сайтом скомпрометировать его не должна, но вот расследование вредоносных действий центра и его подельников частая ротация сертификата сильно затрудняет.
     
  • 2.37, пох. (?), 12:30, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > — Слыш, пупкинбанк.ком, смени сертификат.
    > — пупкинбанк.ком: сгенерируй новый,

    А НЕ ТО!
    > — Вот те, юзай.
    > ???
    > Десять минут спустя…
    > — Слыш, пупкинбанк.ком, смени сертификат снова.
    > — пупкинбанк.ком: сгенерируй новый,

    А НЕ ТО!
    > — Вот те, юзай.

    по сути все правильно, но это не просьба, а угроза. Не сменишь - хрен его знает что с тобой сделают.

    летсшиткрипт (кстати земля стекловатой его основателю) в своем репертуаре, лягухе еще слегка добавили нагрева.

     
     
  • 3.46, Аноним (28), 12:39, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >летсшиткрипт (кстати земля стекловатой его основателю) в своем репертуаре

    то есть plain http - лучше?

     
     
  • 4.61, ivan_erohin (?), 13:33, 26/03/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 5.66, Аноним (66), 13:38, 26/03/2023 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 6.73, пох. (?), 14:03, 26/03/2023 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
  • 4.71, пох. (?), 14:01, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Лучше. Никакой шиткрипт не сможет заблокировать доступ к твоему сайту , отозвав сертификат, которого просто нет.

     
     
  • 5.76, амоним (?), 14:11, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    при всем моем уважении.
    это раньше ты на сайты ходил. а сейчас просто через гугл находишь страницу.
    формально - сайты уже того. гугл - реестр страниц.
    а если еще дальше - то ChatGPT вообще судя по всему убъет веб. если эта шутка может рассказывать инфу - то кто будет делать страницы, на ктороные все равно никто не пойдет.
    с появлением ChatGPT - веб сайты как бизнес модель умерли.
     
     
  • 6.77, амоним (?), 14:12, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    *которые
     
  • 6.98, пох. (?), 16:10, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а если еще дальше - то ChatGPT вообще судя по всему убъет
    > веб. если эта шутка может рассказывать инфу - то кто будет

    ты не в курсе недавней истории как она рассеянским пропаган/\0нам "рассказала инфу"?
    С выдуманными цитатами и ссылками на несуществующие источники ?

    С гуглем последние лет десять или больше, кстати, та же проблема. Он не находит то что ты ищешь. Он  подсовывает тебе то что по его мнению ты хотел бы увидеть.

     
     
  • 7.111, Аноним (111), 19:58, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Он  подсовывает тебе то что по его мнению ты хотел бы купить.

    //ftfy

     
     
  • 8.139, ivan_erohin (?), 10:56, 27/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    я хотел бы купить реализацию rootCA interCA CRL AIA OCSP респондер на op... текст свёрнут, показать
     
  • 2.116, Аноним (105), 20:32, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > банк
    > Let's Encrypt

    Оборжаться. Что ещё расскажешь?

     
     
  • 3.121, пох. (?), 21:29, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> банк
    >> Let's Encrypt
    > Оборжаться. Что ещё расскажешь?

    а в чем проблема-то? "зеленых плашек" с именем организации в адресной строке нет давно. Зеленых замочков и тем более. PKP запретили - нибизапастна, мы ж не сможем теперь выпустить на твое имя левый сертификат.
    Банки, конечно, колоссально инерционны и еще пару лет будут платить за ставший совершенно бесполезным EV, но рано или поздно кто-то смелый и передовой запилит им сертбот. Преееемию поди получит... хотя вряд ли, скорее свое имя на доске почета, рядом с суммой экономии несвоих денег, там так принято.

     
     
  • 4.126, Аноним (105), 02:09, 27/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Когда будут, тогда и обсудим. Пока что это даже не гипотеза, так — шёпот голосов в твоей голове.
     

  • 1.57, Аноним (57), 13:10, 26/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > контролируемый сообществом

    сообществом кого?

     
  • 1.59, Аноним (59), 13:23, 26/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А слабо по 7 дней сертификаты делать?
     
     
  • 2.70, Аноним (72), 13:57, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тебе никто не мешает менять сертификаты хоть каждый день.
     
  • 2.74, пох. (?), 14:05, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А слабо по 7 дней сертификаты делать?

    ну к этому все и идет ведь...


     
     
  • 3.78, Аноним (59), 14:15, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    всё идет к тому, что "смертификаты" будут выдавать на один час, и только если на сайте нет ничего плохого/хорошего про трампа/байдена/путина/трансов/верунов. как только чего про них написал - всё, больше сайт нигде не откроется, кроме линкса/телнета.

    зато безопасно, да... никакой митм не страшен.

     
     
  • 4.91, Kuromi (ok), 15:01, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ситауция с сертификататми вообще странная. Все говорят "надо бороться  с слежкой" и поэтому шифровать весь трафик, но при этом вводят владельцев сайтов в полную зависимость от центра сертификации. Более того, ведутся разговоры вида "HTTP без S надо вообще упразднить". Тот же HTTP2 без шифрования никто из разработчиков браузеров не реализовал, хотя  в стандарте такой режим прописан.
    Вспоминается как было раньше - SSL шифровал только критичные моменты, вроде оформления покупки на сайте, а даже не весь магазин целиком. Это конечно тоже вызывает вопросы в духе "мой провайдер теоретчисеки знает чтоя  кладу в корзину", но реально далеко не любой ресурс требует HTTPS. Условный СБер взял и вырубил HTTPS на "витрине", не от хорошей жизни, но смелое решение.
     
     
  • 5.93, Аноним (93), 15:11, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если у тебя нет TLS, то тебе можно инъектировать вредоносный JavaScript. С эксплоитами, да и просто "согласись с доступом к USB устройствам (мы их перешьём во вредоносные), или наш инъектированный скрипт весь сайт сделает неработоспособным через document.write = 'Our website requires WebUSB. Инфа 146%. Give access or go away.';"
     
     
  • 6.94, Kuromi (ok), 15:17, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Если у тебя нет TLS, то тебе можно инъектировать вредоносный JavaScript. С
    > эксплоитами, да и просто "согласись с доступом к USB устройствам (мы
    > их перешьём во вредоносные), или наш инъектированный скрипт весь сайт сделает
    > неработоспособным через document.write = 'Our website requires WebUSB. Инфа 146%. Give
    > access or go away.';"

    Вот только примочки вроде WebUSB давно уже требует Secure Context и без HTTPS даже дсотуп запросить не удастся.
    Сейчас без HTTPS можно только картиночки, видосики, css и JS (и то, в силу традиции). Даже доступ к геолокации (изначально доступный без HTTPS) впоследствии запретили.

     
     
  • 7.109, Аноним (109), 19:31, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тут же народ об обрезании функционала для сайтов без TLS ноет. Совсем житья не дают. А я вот считаю так: без TLS должен работать только plain HTML. Даже без картинок и видео. Надеюсь, что парсер HTML они хотябы без уязвимостей написать осилили.
     
  • 6.97, Аноним (59), 15:57, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Если у тебя нет TLS, то тебе можно инъектировать вредоносный JavaScript.

    ну давай, инъектируй мне чего нибудь, прямо здесь, на этом сайте.
    ты же можешь? или только языком?

     
     
  • 7.144, Аноним (-), 14:20, 27/03/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 7.163, ivan_erohin (?), 07:52, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > ну давай, инъектируй мне чего нибудь, прямо здесь, на этом сайте.
    > ты же можешь?

    я не смогу.
    а вот опсосы из РФ вставляли рекламу клиентам в http успешно.
    и провинциальные ростелекомы тоже.
    если эти факты прошли мимо вас то я даже и не знаю.

     
  • 4.138, InuYasha (??), 10:35, 27/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вот, я который раз и говорю: "мыши дохли, травились, но продолжали жрать бесплатный сыр".
     
  • 3.146, Аноним (146), 16:44, 27/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Семь дней это дофига

    Вон mjg59 вообще задвигает что каждую минуту менять надо


    The SSH private key could be deployed to every front end server, but every minute it could call out to an HSM-backed service and request a new SSH host certificate signed by a private key in the HSM.

    https://mjg59.dreamwidth.org/65874.html

    А то ишь разслабились! А за безопастностью Пушкин смотреть будет?!

     
     
  • 4.151, пох. (?), 00:02, 28/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тут скорее - не можешь победить - возглавь.
    То есть чувак считает норм что в депляпс инфраструктуре асс э...коде ключи утекали, утекают и будут утекать, и придумал красивый новый кривой костыль.

    Ну и ок, скажите, а вот выгул собак, например, никому не нужен?

     
     
  • 5.164, ivan_erohin (?), 07:58, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > придумал красивый новый кривой костыль.

    все уже придумано лет 5 как.
    хашикорп ваулт безопастно выдает девопс-автоматике ключи и токены доступа на лету.
    и для ssh тоже. через рест апи.

    я пытался переточить этот ваулт для людей, но заблудился в политиках и временно забил.

     
  • 2.75, амоним (?), 14:08, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    скажу больше - какой-нибудь mesh в кластере может менять сертификаты гораздо чаще - ну там например раз в 4 часа
     
     
  • 3.160, Tron is Whistling (?), 09:17, 30/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Угу, потом пара десятков нод из него выпадут, а взлетать придётся руками.
    Хотя одноляпсовым микросервисам непочём - они всё равно ценных данных не содержат.
    А там, где ценные данные, всё по-старинке :)
     
     
  • 4.165, пох. (?), 13:42, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Угу , вторую неделю не могли провести рутинную операцию в кластере этих ляпнутых на всю голову.

    Потомушта там у них на виртуалке таза банных от которой зависит всьо, вообще, панимаишь, всьо. У вас там что - нет репликации? - Да вроде есть... (вроде, блжад) У вас не автоматический кластер? - Да вроде да...
    Так давайте..  Нененене, нам надо подумать, подготовиться, время выбрать.

    К счастью сегодня к утру оно сдохло (насчет всьо - не наврали, оказывается). Ну вот заодно и техобслужилось, все равно ресет пришлось нажать. К счастью, база вроде не побилась - хотя вполне ведь могла.

    А, да, бэкапов у них нет.

     

  • 1.80, Ыкспёрт опённета (?), 14:27, 26/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Надевает он гамаши, говорят ему - не Ваши. Надевает он пальто, говорят ему - не то. Вот какой рассеянный, с улицы Бассейной.
    Каждые 30 дней он был вынужден удостоверять сертификат пальто, и каждые 90 дней сертификат трусов, с тех пор как дядя Гога начал проверять сертифицированность одежды.
    Так как все таки лучше, без трусов, без сертификата на трусы, или без дяди Гоги?
     
     
  • 2.90, Аноним (-), 14:53, 26/03/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.99, пох. (?), 16:12, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Надевает он гамаши, говорят ему - не Ваши. Надевает он пальто, говорят
    > ему - не то. Вот какой рассеянный, с улицы Бассейной.
    > Каждые 30 дней он был вынужден удостоверять сертификат пальто, и каждые 90
    > дней сертификат трусов, с тех пор как дядя Гога начал проверять

    минут.
    Ишь чего захотел, 30 дней!


     

  • 1.88, Аноним (88), 14:50, 26/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    и чем это упрощает жизнь?
    Может тогда еще "внедрят" по 30 дней в каждом месяце? Вот это бы жизнь упростило.
     
     
  • 2.100, пох. (?), 16:13, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > и чем это упрощает жизнь?

    не тебе же! (а летсшиткрипту) Вот ты и бесишься!

     

  • 1.117, Чукча (?), 20:42, 26/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    С letsencryptom не знаком,  потому прошу консультации,  люди добрые. Можно ли выпустить этот сертификат, передав УЦ только csr-запрос? Или обязательна установка бота под рутом и генерация ключа на стороне УЦ с сохранением этого ключа там же?
     
     
  • 2.119, пох. (?), 20:56, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > С letsencryptom не знаком,  потому прошу консультации,  люди добрые. Можно
    > ли выпустить этот сертификат, передав УЦ только csr-запрос?

    нет. Нужно подтвердить что ты владеешь доступом к домену или сайту (ну например только что его ломанул - таймфрейм сведен к мизеру, поэтому доступ надо получить буквально на секундочку, это тебе не авторизация через email и тем более не идентификация по бумажному документу).

    > Или обязательна установка

    да
    > бота

    нет, но вручную выполнять протокол с секундными таймингами довольно затруднительно.

    > под рутом

    нет

    > и генерация ключа на стороне УЦ с сохранением

    нет, он вообще не видит твой закрытый ключ и затолкать его в протоколе некуда.

     
     
  • 3.161, Чукча (?), 15:33, 30/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, но понимания больше не стало. То ли я туп, то ли Вы - плохой разсказщик.

    >> С letsencryptom не

    знаком,  потому прошу консультации,  люди добрые. Можно
    >> ли выпустить этот сертификат, передав УЦ только csr-запрос?
    > нет. Нужно подтвердить что ты владеешь доступом к домену или сайту (ну
    > например только что его ломанул - таймфрейм сведен к мизеру, поэтому
    > доступ надо получить буквально на секундочку, это тебе не авторизация через
    > email и тем более не идентификация по бумажному документу).

    У других УЦ есть требование разместить проверочный файл в определённой директории. И бот для этого не требуется.

    >> Или обязательна установка
    > да
    >> бота

    Это зло.

    > нет, но вручную выполнять протокол с секундными таймингами довольно затруднительно.

    Какой протокол и какие тайминги? Вы о чём вообще?  Вопрос был про генерацию сертификата.

    >> под рутом
    > нет
    >> и генерация ключа на стороне УЦ с сохранением
    > нет, он вообще не видит твой закрытый ключ и затолкать его в
    > протоколе некуда.

    И как тогда бот формирует csr-запрос не имея доступа к закрытому ключу? Имхо, имеет, а значит может и передать в УЦ.

     
     
  • 4.162, пох. (?), 18:56, 30/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  То ли я туп, то ли Вы - плохой разсказщик.

    вообще-то этот сайт давно уже годится только для троллинга, а не просветительской деятельности. Но я все же стараюсь придерживаться темы.

    > У других УЦ есть требование разместить проверочный файл в определённой директории. И бот для этого не
    > требуется.

    Здесь бот тебе потребуется чтобы выяснить, как этот файл сегодня называется, предварительно выполнив авторизацию и передав подписанный csr. Все это делается в одну открытую сессию, поэтому времени что-то там сопливить и на коленке вычислять ручками у тебя нет. Можно обойтись довольно примитивным скриптом, а не ушлепским все в одном, но тогда ты руками будешь исполнять остальные обязанности бота, оно тебе вероятнее всего уже не захочется.
    Да, на баше такой скрипт не пишется, потому что надо парсить нетривиальный json - попытка была, закончилась смешно и поучительно.

    > Какой протокол и какие тайминги?

    протокол называется ACME.

    > Вопрос был про генерацию сертификата.

    сертификат - это твой открытый ключ (и информация о тебе) подписанный ключем CA. Его генеришь не ты, его генерит letshitcrypt и тебе отправляет в рамках протокола. Твоего там - только ключ.

    >>> и генерация ключа на стороне УЦ с сохранением
    >> нет, он вообще не видит твой закрытый ключ и затолкать его в
    >> протоколе некуда.
    > И как тогда бот формирует csr-запрос

    бота ты запускаешь на СВОЕЙ системе, а не "на стороне УЦ". В запросе закрытого ключа нет, он остается у тебя.
    Это ты можешь сделать и самостоятельно, бот для этой части процедуры необязателен и ничего волшебного не делает.

     
     
  • 5.177, Чукча (?), 14:21, 18/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > CA. Его генеришь не ты, его генерит letshitcrypt и тебе отправляет
    > в рамках протокола. Твоего там - только ключ.
    >>>> и генерация ключа на стороне УЦ с сохранением
    >>> нет, он вообще не видит твой закрытый ключ и затолкать его в
    >>> протоколе некуда.
    >> И как тогда бот формирует csr-запрос
    > бота ты запускаешь на СВОЕЙ системе, а не "на стороне УЦ". В
    > запросе закрытого ключа нет, он остается у тебя.
    > Это ты можешь сделать и самостоятельно, бот для этой части процедуры необязателен
    > и ничего волшебного не делает.

    Спасибо за ответ. Углублюсь в тему на досуге.

     

  • 1.124, Аноним (-), 23:41, 26/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    > "контролируемый сообществом"

    Непонятно что значит "сообществом", подскажите пожалуйста -
    1) что это за "сообщество"? как оно называется?
    2) как-то можно стать мембером этого "сообщества"?

    P.S. ответьте пожалуйста по-существу

     
     
  • 2.154, Аноним (-), 15:52, 28/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    "–2" ?? - неужели мой вопрос такой сложный? пусть оно не имеет названия, ладно! - но вступить-то в "контролёры" как?
     
     
  • 3.155, пох. (?), 22:21, 28/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, как тебе попроще... вот смотри, теравады (одно из самых старых и респектабельных направлений, всего лет на 300-400 моложе самого Будды) считают что сколько башкой об стенку ни долбись - просветления тебе не видать.  Вот не можешь ты никак просветлиться. Что делать? Сдохнуть, вот чо! Вот поперерождаешься раз так под двести - глядишь, сподобишься стать бхикку (послушником при монастыре). Вот это уже хорошие шансы - один из миллиона достигнет просветления с первой попытки, ну а остальным хотя бы шанс на повторное такое же перерождение повышается.

    Вот в контролеры или другие допущенные к столу - точно так же.

    Просто у них хорошая карма а у тебя пока не очень. Родился в стране-изгое, надо ж так в прошлых жизнях напортачить...

     
     
  • 4.156, Аноним (156), 22:42, 29/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А эту вот "карму", КТО контролирует? - Тоже "сообщество"? (Ну типа - садятся и решают, где будет  "изгой" и "неизгой", что "хорошо", а что "плохо"). Так кто же они?
     

  • 1.128, Аноним (128), 04:56, 27/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Let's Encrypt внедрил расширение .. обновления сертификатов

    Вот какая заботливая компания, всё для людей.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру