| |
| 2.5, Аноним (5), 13:28, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Борьба с зеркалами "пиратских" сайтов . Кто среди поддержавших видите ?
| | |
| |
| 3.11, анон (?), 13:34, 14/04/2025 [^] [^^] [^^^] [ответить]
| +4 +/– |
а при чём тут пиратские сайты, если любой серт можно отозвать?
но странное хотят сделать, закрытый ключ никто менять же не будет, получается на один и тот же ключ будут генериться новые серты, что на нет сводит всю безопасность.
| | |
| |
| 4.20, Неанон (?), 13:42, 14/04/2025 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> закрытый ключ никто менять же не будет
Так это от тулинга, который сертификаты запрашивает, зависит же. У меня cert-manager ротирует приватный ключ при каждом запросе сертификата, например.
| | |
|
| 3.13, far (??), 13:34, 14/04/2025 [^] [^^] [^^^] [ответить]
| +3 +/– |
 Как это поможет бороться с зеркалами? Что мешает зеркалам настроить автоматическое обновление сертификатов? Ну будет у зеркала обновляться серт раз в месяц, а не раз в 3 месяца. Не вижу тут никаких побед над зеркалами
| | |
| |
| |
| |
| 6.137, pakitostar (?), 17:58, 14/04/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Для бесплатных никакой, а вот если серт куплен?) И нужно его распихать хостов так на 30-40 да и в разные сервисы в тч на винде?
| | |
| |
| 7.161, Аноним (161), 19:22, 14/04/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
А в чём проблема ? У меня както сертификаты (и ЛЕ и из своего ЦА для внутренних сервисов и прочего теста/дева) выписываются в одном месте и распихиваются туда, где им должно быть (распихать купленные руками сертификаты тем же способом никто не запрещает, полодить их там же рядом). А дальше всё как то само куда надо попадает и применяется.. Автоматизация и прочая оркестрация позволяют это сделать. В том числе в некоторые внешние сервисы.
Винду де нержим'с, но вроде как, там всё тоже автоматизируется, судя по долетающим из за забора словам. В худшем случае повер шел вам в руки.
| | |
| |
| 8.191, Аноним (191), 22:03, 14/04/2025 [^] [^^] [^^^] [ответить] | –3 +/– | Повершелл покрывает примерно 95 всего, что можно настроить в Windows Server и т... текст свёрнут, показать | | |
| |
| 9.209, Аноним (-), 23:19, 14/04/2025 [^] [^^] [^^^] [ответить] | +3 +/– | Поэтому 1 Вы е ь с километровыми командами - и полунерабочим автодополнен... большой текст свёрнут, показать | | |
| |
| 10.255, Аноним (255), 09:46, 15/04/2025 [^] [^^] [^^^] [ответить] | +1 +/– | Это просто циферный до сих пор в документацию не смог Как ему десяток раз тут н... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 3.127, какая разница (?), 17:41, 14/04/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
То есть вы серьёзно уверены, что в Mozilla, Google, Microsoft знают, что на торрентах вроде rutracker или pornolab можно скачать что-то запрещённое и из-за этого проголосовали "за"?
Телевизор хоть иногда выключайте что ль..
| | |
| |
| 4.163, Dima (??), 19:25, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
А по телеку про это говорят? Выключи себе инет хоть на месяц, а то у тебя голова мусором забилась
| | |
|
| 3.166, Аноним (-), 19:31, 14/04/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Борьба с зеркалами "пиратских" сайтов . Кто среди поддержавших видите ?
Скорее, просто цензура. Удобно же - не выписал серт, сайт ушел в даун начав пугать пользователей страшилками.
| | |
|
| 2.72, Аноним (72), 15:13, 14/04/2025 [^] [^^] [^^^] [ответить]
| –4 +/– | |
398 до 47 дней
Это нормальная практика. Некоторые банки каждый раз генерируют разный cvc, зарубежные.
| | |
| |
| 3.169, Аноним (-), 19:32, 14/04/2025 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Это нормальная практика. Некоторые банки каждый раз генерируют разный cvc, зарубежные.
Это булшит. Все эти временные сертификаты вдолгую - постоянно отваливаются. И если у вас тимы размером с тиму админов того банка нет - у вас ж@па будет, особенно если всяких (суб)доменов куча и проч.
| | |
| |
| 4.194, Аноним (191), 22:10, 14/04/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Вне зависимости от того нужен 1 сертификат или 1000 сертификатов, это решённая задача. Всё, что нужно — две виртуалки на разных серверах (или разных планетах, если у вас диванно-опеннетный случай) и день времени. Чтобы была «ж@па», нужно сесть на собственные руки и терпеливо ждать, пока она настанет.
| | |
| |
| 5.210, Аноним (-), 23:38, 14/04/2025 [^] [^^] [^^^] [ответить] | +3 +/– | Да неужели, блин А я то по эксплуатационному опыту самого разного - сильно иног... большой текст свёрнут, показать | | |
| |
| 6.268, User (??), 11:57, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Я так предполагаю, что адреса своим виртуалкам вы статикой выдаете с записью в блокнотик? Как можно такую важную операцию какому-то ДыхаЦыПэ на откуп отдавать - он же постоянно "ломаицца" будит!!!
| | |
|
|
|
|
|
| |
| 2.49, Аноним (49), 14:27, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
План по валу. Смысл анализировать существующий, если в очереди еще 3 стоят. )
| | |
|
| 1.4, Аноним (-), 13:26, 14/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –18 +/– |
Ну наконец-то кто-то озаботился сертификатами которые живут годами.
А потом внезапно протухают.
С учетом скорости развития IT технологий, я бы вообще поставил 32 дня.
Ну чтобы админчиги не расслаблялись.
| | |
| |
| 2.23, Аноним (161), 13:45, 14/04/2025 [^] [^^] [^^^] [ответить]
| +4 +/– | |
Вообще то админу глубоко фиолетово сколько дней вписать в автовыписывалке... хоть 1..
и точно так же забыть где оно живёт. для раз в год поменять покупной серт автоматизации скорее всего не было никогда, соотв туда хотя бы раз в году кто то заходил.. а к роботам вообще ходить не будут.
| | |
| |
| 3.129, Аноним (191), 17:45, 14/04/2025 [^] [^^] [^^^] [ответить] | +/– | Давно есть, но не у всех и не для всех Я ещё в начале 2000х писал портянку для ... большой текст свёрнут, показать | | |
| |
| 4.149, Аноним (161), 18:53, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
то что она там есть "в принципе" не отменяет факта, что "скорее всего нет" в 99.99% случаев у тех, кто им платит.. особенно за 1 сайт раз в году. и эти, раз в году, точно не будут писать и отлаживать каких то там скриптов... 5 минут погуглить, поставить церт бот, некст некст, и всё, на годы забыть про церты вообще.. и да, в результате церт будет от ЛЕ а не от тех кому они платили до сих пор...
| | |
| 4.180, нах. (?), 20:12, 14/04/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Что логично, я через API мог получить серт на вообще любой домен.
боюсь это тогда не про твою репутацию, а про довольно известного УЦ. Надеюсь, это тот китайский который на подcpa4никах вылетел из доверенных в браузерах?
При этом тех кто через апи выдает сертификат только твоему домену (от которого у тебя токен) - таки еще лет пять назад было ненулевое количество.
| | |
| |
| 5.195, Аноним (191), 22:14, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> лет пять назад было ненулевое количество
Я про двадцать три года назад говорю. Сертификаты через API и десять лет назад не были проблемой.
| | |
|
|
|
| 2.51, Аноним (49), 14:30, 14/04/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Каждое изменение в системе безопасности это риск. Если хочешь скрыть воровство - предложи переезд или реформу.
| | |
| 2.93, Аноним (49), 15:48, 14/04/2025 [^] [^^] [^^^] [ответить]
| +2 +/– | |
>Ну чтобы админчиги не расслаблялись.
Админы "не потеют" - админы автоматизируют. )
| | |
| |
| 3.211, Аноним (-), 23:41, 14/04/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
>>Ну чтобы админчиги не расслаблялись.
> Админы "не потеют" - админы автоматизируют. )
А оно потом один хрен отваливается. Да еще потом не в 100% случаев и не сразу. И ждать 48 дней чтобы это узнать никто ессно не будет - так что "как сдохнет опять так и приходите". Теперь плашки о сбое TLS будут встречать вас чаще. В разы. И только.
| | |
|
| 2.105, Аноним (105), 16:37, 14/04/2025 [^] [^^] [^^^] [ответить]
| +4 +/– |
В итоге 98-99% сайтов станут с протухшими crt. А простые пользователи все просто забьют на все эти проверки, причём по умолчанию. И получим нечто не отличающееся от нешифрованного http 90-x. Видать к этому и давят.
| | |
| 2.173, Аноним (173), 19:42, 14/04/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Ну наконец-то кто-то озаботился сертификатами которые живут годами.
> А потом внезапно протухают.
Они и с всякими lets encrypt протухают только в путь. И в мало-мальски большой инфре из за них постоянно что-то отпадает. Теперь отпадать будет больше и чаще.
| | |
|
| |
| |
| 3.116, Аноним (115), 17:01, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
От какой? Дурачков платить за воздух почти не осталось, все и так на LE.
| | |
| |
| 4.150, Аноним (150), 19:02, 14/04/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Хотите что бы опять "Дуров, отдай ключи!"?
И да, с просроченными цертами, как бы декларируется, ничего не восстановить...
| | |
|
| 3.266, Молодой Смузихлёб (?), 11:49, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Не загнутся, они в Январе наконец исправили рейтлимиты, что нагрузка на БД упала на 80%. Теперь они грозятся выпускать шестидневные сертификаты
| | |
|
|
| |
| |
| |
| 4.207, Аноним (206), 23:11, 14/04/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
Уникальные ключ+сертификат на каждый запрос, же. А если запросов нет, ото всё равно перевыпускать 60 раз в секунду.
| | |
| |
| 5.263, n00by (ok), 11:34, 15/04/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
 В такой схеме ключ не нужен. И оно "не ломаемо" -- одноразовый блокнот. :) Но появляется третья сторона... любопытный, так сказать, тренд.
| | |
|
|
|
|
| 1.8, Аноним (8), 13:31, 14/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Вы если хотите переходите, нас только не трогайте. Сами по ситуации решим какими сертификатами нам пользоваться.
| | |
| |
| 2.10, Аноним (-), 13:33, 14/04/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Вы если хотите переходите, нас только не трогайте. Сами по ситуации решим какими сертификатами нам пользоваться.
Да вас и никто не трогает.
Ребята решили для себя.
Просто не ходите на сайты которые поддерживают такие политики и все будет ок.
| | |
| |
| 3.15, анон (?), 13:36, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>>Просто не ходите на сайты которые поддерживают
Из браузеров, которые поддерживают (^_^)
| | |
| 3.74, Аноним (74), 15:16, 14/04/2025 [^] [^^] [^^^] [ответить]
| +7 +/– |
Браузеры пользователей будут выдавать ошибку на "слишком долгоживущие" сертификаты. Они этим решением трогают очень даже вообще всех.
| | |
| |
| 4.130, Аноним (191), 17:47, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Скажи своим пользователям, чтобы твоим браузером пользовались, делов-то. Ребята для своих браузеров решили только. В твой не полезут, не переживай.
| | |
| |
| |
| 6.160, Аноним (160), 19:21, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Ой да ладно, чтобы опеннетный программист и не написал свой браузер? Тут половина это делает даже не вставая с дивана.
| | |
|
|
|
|
| 2.190, Аноним (190), 22:02, 14/04/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Ну Вы как специально гумус для холивара подложили.
Решайте пожалуйста побыстрее, там с процессором, операционкой и конечно с браузером,
а то пока все форки какие-то и здесь тоже надо решать уже что-то, а то все OpenSSL шатают.
Понимаете когда-то очень давно в 1985 году кто-то решил, что ничего своего не нужно и можно в глобализацию, т.е. отказаться от своих нараоботок хотя там тоже все было очень печально, но что-то делали.
И вот уже добрые 50 лет происходит рассказываение о том что сами тут решим, а чего решим продолжаем ли пользоваться MS-Windows и MS-Office или нет?
Я понимаю если бы на этом фоне какой-то ну скажем Касперский разрабатывал там какой-нибудь KasperskyOS похожий на Widnows 95 и был таким непризнанным героем, но нет же...
Вообщем ладно.
| | |
| |
| 3.250, 1 (??), 09:32, 15/04/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Если бы в 85 ... в 1969 не хочешь ? Вот что нефть животворящая делает !.
"- Сможешь построить летучий корабль ?
- Куплю !"
И всё, вместо БЭСМ - IBM/360.
| | |
| |
| 4.264, n00by (ok), 11:38, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Почему 69-й? Разве не Хрущёв привёз кукурузу, начав глобальное импортом замещение?
| | |
| |
| 5.265, 1 (??), 11:41, 15/04/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Потому как тогда было принято решение о переходе на технологии межделмаша. В СССР ЕС серии.
| | |
| |
| 6.269, n00by (ok), 11:58, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
В общем, нет противоречий, вопрос лишь "как считать". Такое решения за день не принимается, а перед тем требуется подготовить почву.
| | |
|
|
| 4.277, нах. (?), 15:50, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
Внезапно, старик Лебедев - и в гроб сходя - благословил.
Видимо прекрасно сам понимая, что с наколеночным клоном CDC (который еще и "ой, нипалуцилась") тягаться с промышленной разработкой совершенно бессмысленно.
И если партия требует летучий корапь - надо просто куп... э, нет, сп-ть у проклятых буржуев!
(И причем бы тут нефть, если ее за ЕС ни одной капли не заплачено, всю сами вылакали.)
| | |
|
|
|
| 1.9, Аноним (9), 13:33, 14/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –7 +/– |
Если такое случится, это вызовет всплеск альтернативных браузеров: Palemoon, Librewolf, etc.
Firefox прямая дорога в /dev/null
| | |
| |
| 2.17, Аноним (-), 13:39, 14/04/2025 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Если такое случится, это вызовет всплеск альтернативных браузеров: Palemoon, Librewolf, etc.
Это уже случилось - решение принято.
Будет некий переходной период с сокращением сроков.
> Firefox прямая дорога в /dev/null
Тогда за ним сразу пойдут паравозом все либервульфы, паленки и прочие паразиты.
А новые не появятся тк это надо код писать, а не только удалять.
| | |
| 2.27, Аноним (-), 13:48, 14/04/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Если такое случится, это вызовет всплеск
> альтернативных браузеров: Palemoon, Librewolf, etc.
С чего вдруг?
Как раз у васянных браузеров начнутся проблемы что сайты не открываются.
У них и сейчас с этим не все хорошо, а станет вообще жесть.
| | |
| |
| 3.33, Ivan_83 (ok), 13:58, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
 Это не так, они просто не будут это зименение к себе затаскивать и показывать идиотскую ошибку.
| | |
| |
| |
| 5.94, Ivan_83 (ok), 15:52, 14/04/2025 [^] [^^] [^^^] [ответить] | +3 +/– | Кто им подсунет отказ в соединении то Вы вообще поняли как это работает Есть в... большой текст свёрнут, показать | | |
| |
| 6.117, Аноним (5), 17:03, 14/04/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Забываете что соединение двустороннее и запросто перекроют краник не понимающему сертификат браузеру . Пока нет из за лишнего шума , но уже явная "забота о безопасности" готовится . Про "быстрее внедрять новые криптоалгоритмы" прямо сказано .
| | |
| |
| 7.126, Аноним (126), 17:40, 14/04/2025 [^] [^^] [^^^] [ответить]
| +3 +/– |
Кто перекроет? Сайт, которому это ограничение не интересно, или браузер, который это ограничение не проверяет? Вы вообще поняли что написали?
| | |
|
| 6.229, Аноним (-), 04:12, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Теперь вот эти "Ч"удаки решили добавить в браузер проверку чтобы сертификат имел
> ограниченный срок действия и если оно превышает лимит то браузер будет
> показывать "ошибку".
> Я написал что достаточно отломать это со стороны браузера чтобы продолжить нормальную жизнь.
Да, и еще раздать всем пользователям правильный браузер. С точки зрения админа того сервака. Мелочи какие, гуглю подвинуть с пьедестала. И прочие мазилы. Этих то даже реально пожалуй, но вот гугл сделает из вас лого хрома не хуже чем из эмблемки офиса и винды.
| | |
|
|
|
| 3.44, Аноним (49), 14:16, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Это как? У меня есть открытый ключ долгодействующего сертификата. Что помешает мне доверять ему долго? Только содержание этого сайта. Честный браузер лишь посредник.
| | |
| |
| 4.77, Аноним (161), 15:20, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
А зачем ? Это в первую очередь коснётся ЦА, тоесть если ЦА вдруг сегодня там воздержался, а потом, вдруг, решит продолжить выписывать длинные сертификаты, то он просто останется без клиентов, ибо в массовых браузерах его сертификаты перестанут работать.
А самоподписанных и сейчас 13 мес не касается, и скорее всего и дальше ну будет 47 дней касаться. Ставите свой ЦА, выписываете на нём 2-х летний серт и продолжаете пользоваться уже сейчас, хоть к сафари хоть в хроме без всякой пересборки и СМС.
| | |
| |
| 5.85, Аноним (49), 15:32, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Ответ выл в контексте: если "васянские" (скорректированные) не будут признавать этот сговор, то сайты с длинными сертификатами они не смогут открывать. Есть сайт с длинным сертификатом, есть посредник (скорректированный на признание длинных сертификатов). Что в этой цепочке не работает?
| | |
| |
| 6.100, Аноним (161), 16:03, 14/04/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вам негде взять сертификат выписанный валидным пулиичным ЦА со сроком дольше оговоренного "уважаемымми людьми". Они их просто не выписывают таких. Если их на таком поймают, то они запросто поедут вслад за Симантиком. Свой самоподписанный вам никто не запрещал и не запрещает хоть на 100 лет выписывать, но работать он будет только у вас (ну и кому вы еще впарите свой приватный ЦА).
| | |
| |
| 7.189, Аноним (49), 21:56, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
>решит продолжить выписывать длинные сертификаты, то он просто останется без клиентов, ибо в массовых браузерах его сертификаты перестанут работать
>Вам негде взять сертификат выписанный валидным пулиичным ЦА со сроком дольше оговоренного "уважаемымми людьми". Они их просто не выписывают таких.
Вы уж определитесь с предположениями. То найдутся такие, то не найдутся, потому что иначе заговорщики их "расстреляют".
| | |
|
|
|
|
|
| 2.31, Ivan_83 (ok), 13:57, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Не, тем кто собирает с сисходников достаточно будет пропатчить немного перед сборкой :)
Я себе ФФ давно уже так патчю.
| | |
| |
| 3.178, Аноним (178), 19:52, 14/04/2025 [^] [^^] [^^^] [ответить]
| –3 +/– | |
>Я себе ФФ давно уже так патчю.
А потом ты проснулся и вспомнил, что у нищих сборочных ферм не бывает. А не-нищие интегрированы в элиту и весь этот беспредел поддерживают.
| | |
| |
| 4.188, Ivan_83 (ok), 21:47, 14/04/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Пока что фф собирается минут за 20 а хромиум часа за 4-6, на придушенном по частоте и -8 потоков проце 5950x.
Даже на коредуба фф можно собрать часов за шесть, ИМХО.
Каждый день собирать не надо, можно раз в месяц или реже.
| | |
| |
| 5.205, Аноним (205), 22:59, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>Даже на коредуба фф можно собрать часов за шесть, ИМХО.
Не хватит памяти. А 6 часов на "коре дуба" у меня юзерспейс OpenWRT собирался, без ядра.
| | |
| |
| 6.222, Ivan_83 (ok), 01:19, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Чёй то не хватит!?
8гб для ддр2 или 16гб для ддр3 + своп.
Для ФФ более чем, для хромиума с натягом и свопом.
| | |
|
|
|
|
| 2.40, Аноним (40), 14:11, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
Спасибо, посмеялся.
У этих палемуно-либрявуфов нет вообще бюджетов добавлять что-то своё новое в код, поэтому если фокс всё, эти все форки засохнут автоматически.
| | |
| |
| 3.198, Омнонном (?), 22:26, 14/04/2025 [^] [^^] [^^^] [ответить]
| –2 +/– |
Какие бюджеты, овен? Бюджеты нужны для распила бабла, для добавления ф-кальных фич, которые скармливают скоту как "своё новое" достаточно шимпанзе. И овнов, которые это глотают.
| | |
|
| 2.60, Nastey93 (ok), 14:57, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
 Пара негодующих на фоне обычных пользователей погоды не сделает, а для обычных пользователей ничего не изменится
| | |
| 2.104, Аноним (104), 16:37, 14/04/2025 [^] [^^] [^^^] [ответить]
| +3 +/– | |
А толку? Тут теория игр. Выбирай:
1. ты прогибаешься и твой сайт открывается у скота
2. твой сайт открывается только у альтернативно одарённых с альтернативными браузерами
Choose wisely. И угадай, кого все владельцы сайтов выберут.
| | |
| |
| 3.193, Аноним (190), 22:06, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
Все просто выберут то что будет решать поставленную задачу. В гос секторе даже никто думать не будет FireFox или Yandex Browser с альтернативной базой CA.
Просто одним утром произойдет умирание и забывание компаний, которые так долго выходили на рынки где все эти Facebook, Instagram и прочее?
Все это заменили чем-то или в ближайшее время заменят если уж совсем сложэно станет.
| | |
|
| 2.184, BrainFucker (ok), 20:51, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
 > Если такое случится, это вызовет всплеск альтернативных браузеров: Palemoon, Librewolf, etc.
Не вызовет. Мало кто будет устанавливать альтернативный браузер из-за того что у них в Хроме не открылся ваш любительский сайт.
| | |
|
| 1.12, Аноним (161), 13:34, 14/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– | |
как замена роботом раз в час сертификата "позволит быстрее внедрять новые криптоалгоритмы" ?
натянуть сову на глобус оно поможет.
| | |
| |
| 2.21, нитгитлистер (?), 13:42, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
не вызовет вообще ни разу ни когда тут даже шамана не прокси. всплеск ПО (любого) вызывается деньгами а не болтологией.
| | |
|
| 1.16, aga (?), 13:36, 14/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
это получается для вебмаккак (для меня в том числе) для разделенных фронтендов чтобы избегать CORS тоже придется обновлять серты?
| | |
| |
| |
| 3.34, Аноним (5), 13:58, 14/04/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
А когда все хостеры на ECH перейдут - рубильник выключат . И так в местном траффике доля старых протоколов в 5+ раз взлетела после наезда на клауд (плюс доля незашифрованного в 2 раза) .
| | |
| 3.199, Омнонном (?), 22:27, 14/04/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
CF сам по себе проблема. Причём не только у нас, а у всех нас (у тех кто там тоже)
| | |
| |
| 4.242, нах. (?), 08:45, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> CF сам по себе проблема. Причём не только у нас, а у всех нас (у тех кто там тоже)
использую CF для обхода блокировок. Тех, которые _там_ а не РКНовских.
(а что они подглядывают в трафик - так это... они и так в него подглядывают)
| | |
|
|
| 2.112, нах. (?), 16:49, 14/04/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
для всего что в браузере хоть как-то появляется - да (то есть для любых фронтендов - да)
длинные сертификаты можно использовать только там, где кроме нодыжс никто на них не посмотрит (но и это неточно, потому что код-то ctrl-c/ctrl-v из хромонога)
| | |
| 2.156, penetrator (?), 19:13, 14/04/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
а что такое "разделенные фронты и CORS" и причем тут сертификаты
ты хостишь одно приложение на разных доменах? ну так если бы нет, то все равно обновить для одного домена пришлось бы раз в n дней
что-то я не понимаю вебмакаk логику, объясните мне кто-нибудь
| | |
|
| |
| 2.28, Аноним (-), 13:50, 14/04/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> ух как один браузер вертит всеми на конце
Там первые в списке ябло с сафари.
Который по сути монопольный на ios, а все остально огрызки над вебвью.
Так что не нужно гнать на гугл, там все хороши.
| | |
| |
| 3.113, нах. (?), 16:50, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Там первые в списке ябло с сафари.
Вообще-то они последние. Они дважды топили инициативу запрета коротких сертификатов, но, видимо, в конце-концов получили предложение, от которого невозможно отказаться.
| | |
| |
| 4.134, Аноним (191), 17:53, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Всё было куда проще, им предложили самостоятельно тащить весь OCSP, за себя и за того парня. В Эппле посчитали сколько это будет стоить и решили, что действительно не так уж и плохо короткие сертификаты.
| | |
| 4.147, Аноним (161), 18:30, 14/04/2025 [^] [^^] [^^^] [ответить] | +2 +/– | Ну сафарям то как раз должно быть не очень важно, а вот чё так строем сказали д... большой текст свёрнут, показать | | |
| |
| 5.148, нах. (?), 18:53, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Ну сафарям то как раз должно быть не очень важно, а вот чё так строем сказали "да"
> коммерческие ЦА, не ясно
курочка по зернышку клюет. Автоматизация коммерческого перевыпуска тоже вполне возможна - некоторые из них давно уже и acme умеют тоже. (просто с авторизацией, а не "дай любой email")
> ну и масс хостеры тоже пострадают
narod.ru давно немодно. У массхостеров хостятся владельцы полноценных доменов, а не пятого уровня. А на них никаких лимитов нет. И они давно уже тоже автоматизировались - этих-то вот никому и не было жалко.
| | |
| |
| 6.152, Аноним (161), 19:08, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Но лимиты там не только на домен... и хостеры тянущие на 1 ип 100500 мелких лендингов через мышевозякание есть. и лимит у ЛЕ есть и на ИП откуда идут запросы, тоже. И на 1 акаунт есть.. понятно что если у вас ВПСки, то изнури ВПСки оно может выписываться самим клиентом, но это не всем подходит. Как минимум комуто придётся чтото колхозить, чтобы вписаться в лимиты и выписывать церты клиентам. Особенно нашим хостерам, тут заплатить, на данном этапе, не то, что жаба душит, а не очень деньги ходят напрямую. особенно елси это единстенный платёж за пределы страны.надо искать маршруты.
А с народом как раз просто всё, 1 раз выписывается *.народ.ру и все под ним и живут. тут если надо принять много клиентских доменов и плотно упхать по ИП, без оплаты в сторону ЛЕ, то возникают проблемы.
| | |
| |
| 7.165, Аноним (160), 19:28, 14/04/2025 [^] [^^] [^^^] [ответить]
| –4 +/– |
Как бы тебе объяснить… Понимаешь, проблемы каких-то там лендингов — это только их собственные проблемы. Захостить лендинг стоит $0.0/мес.+домен. Для этого достаточно не жить в стране-изгое и иметь валидную кредитную карту. У тебя на лендинге столько трафика нет, чтобы он хотя бы в $1 обошёлся. Классические хостеры мертвы, просто не все это ещё осознали.
| | |
|
|
|
|
|
| 2.29, Аноним (29), 13:51, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Ну так это самый свободный и открытый браузер.
Помню как Сообщество™ на овно исходило и гнобило IE.
Писали письма в поддержку и тд.
Ну чтошъ, кушайте щв06одьку полной ложкой))
| | |
| |
| 3.162, Аноним (24), 19:24, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
какой толк от ваших однодневных сертификатов, когда корневые лежат по 5 лет?
| | |
| |
| |
| 5.284, Аноним (24), 17:13, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> вы не путайте, это другое, это кого надо
ровно тех, кому вы доверили "свою безопасТность"
| | |
|
|
|
| 2.197, Аноним (190), 22:16, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Вы так говорите как будто альтернативу не сделают за пару часов.
Сейчас такое время, что импортозаместят и передадут на поддержку какому-нибудь Сберу и будет свой срепный браузер с традиционными ценностями, а за разработку Google скажут спасибо. И тут же в Google уволят 1000 программистов, которые с удовольствием вернуться и продолжат разрабатывать Google Chrome как бы он теперь не назывался.
Как показывает практика с Nginx вполне рабочая схема. Более того я даже думаю, что многие вопросы не решаемые годами начнут наконец-то решать ...
| | |
| |
| 3.213, Аноним (24), 00:18, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Как показывает практика с Nginx вполне рабочая схема.
кек, его все меньше и меньше используют, застыл. И задачи которые он решал, сейчас не актуальны.
| | |
|
|
| 1.32, Аноним (32), 13:57, 14/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– | |
>GoDaddy
Скамеры выпускают сертификаты, дожили. Это дискредитация всей идеи.
| | |
| 1.35, Ivan_83 (ok), 13:59, 14/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я только недавно себе выпустил самоподсной серт до 2051 года, вертел я их всех с их хотелкалками.
| | |
| |
| |
| 3.214, Аноним (190), 00:22, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Я тем не доверяю, а Ивану можно доверять, но если только буду знать кто он такой и откуда появился. Может он такой же как те... которым нельзя доверять...
| | |
|
| |
| 3.253, 1 (??), 09:40, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Это надо ещё проверить, какой у него сертификат ...
| | |
| |
| 4.261, User (??), 11:12, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Это надо ещё проверить, какой у него сертификат ...
Хвост-и-усы у него - что тут еще проверять? А серту криптана он доверяет... пока миска полная.
| | |
|
|
| 2.55, Аноним (-), 14:46, 14/04/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Что помешает им след шагом отказывать в доступе от самоподписанных сертификатов?
И повертреть тебя)?
| | |
| |
| 3.99, Ivan_83 (ok), 15:58, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
Они бы с радостью и http тоже бы за копали с радостью, только никакого другого бутстрапа и прочего для всяких девайсов не предусмотрено.
И опять же, это приведёт только к тому что меинтейнеры добавят патчи которые этот функционал уберут.
| | |
| |
| 4.136, нах. (?), 17:56, 14/04/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
> И опять же, это приведёт только к тому что меинтейнеры добавят патчи которые этот
> функционал уберут.
ох эти виликие майнтейнеры, которым море переплюнуть как делать нефига!
Как там с rss, ftp, manifest v2 ? Майнтейнеры уже победили, особенно вот первое? (архисложнейшая ж задача - имея встроенный парсер xml, который из браузера никуда не делся)
| | |
| |
| 5.219, Ivan_83 (ok), 01:15, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Пожалуй ты прав, но по другой причине :)
Тот же ФФ обязывает меинтейнеров не менять ничего там или отказатся от названия+лого, поэтому все эти "меинтейнеры" фактически просто форкнули браузеры и теперь это всякие либревульфы и прочие кромите.
А касательно "rss, ftp, manifest v2" - а кому оно надо?
Я RSS пробовал лет 15 назад и как то не срослось.
FTP - понадобился за последние 10 лет ровно один раз - конфиг в железку поправить.
Манифест - опять же мимо меня пролетело как то.
| | |
| |
| 6.243, нах. (?), 08:51, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Тот же ФФ обязывает меинтейнеров не менять ничего там или отказатся от названия+лого,
> поэтому все эти "меинтейнеры" фактически просто форкнули
практически все кроме шерстяного как раз поменяли название и лого.
В остальном, кроме пары _измененных_ (т.е. сделанных не ими) настроек - не отличаются ничем. А шерстяной просто хронически не в состоянии в одиночку гнаться за современным вебом, который еще и намеренно пакостят так чтобы он почти не мог работать на немодном браузере.
> А касательно "rss, ftp, manifest v2" - а кому оно надо?
вот и с твоими сертами так будет - "я пробовал 15 лет назад, что-то не впечатлило - сейчас ведь у всех однодневные, зачем мне это еще и где-то патчить хз где"
Разумеется оно никому не надо, поскольку браузерами не открывается. А пока открывалось - было везде. Файлы, прикинь, раздавали протоколом предназначенным именно для потоковой отдачи огромных бинарников, а не гипертекста с парой картинок. Не надо было пицот раз обновлять главную сайта чтобы увидеть, поменялось там чего или нет - достаточно было глянуть букмарки. Ну и рекламой теперь можешь наслаждаться в полный рост.
| | |
| |
| 7.288, Ivan_83 (ok), 17:29, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Да уж, даже с ФФ обычным бывает не работает или глючит.
Мне уже пришлось дорасти до "хакинга" - удалять отдельные DOM через консоль ФФ чтобы оно местами работало.
Насчёт меня и однодневных - наверное к этому и придёт. )
Ну вот кому ты про FTP рассказываешь?)
Для обычного юзера он как раз часто был проблемной штукой чтобы просто скачать, ибо там какой то непонятный пассивный режим нужно было чтобы оно работало и бывало ещё какие то ALG в роутерах и прочая магия. Тогда как по хттп оно просто качалось всегда без проблем.
С точки зрения протокола - они оба текстовые с возможностью передачи бинарных данных.
И основная фишка FTP это возможность скопировать файл между двумя хостами оставатья на третьем хосте. Но я никогда этим не пользовался ибо когда FTP был - у меня не было никаких хостов за пределами домашней сетки, а теперь есть ssh+scp/rsync делающий примерно тоже самое.
И файлы по ftp я буквально пару раз заливал куда то.
По хорошему FTP мог бы жить, если бы МС не пыталось сделать корявый WebDAV и умело монтировать FTP как диск.
В RSS вроде тоже умудрялись пихать рекламу. Я рекламу на unbound вырезаю (яндекс пришлос целиком вырезать :) ).
| | |
|
|
|
|
|
| 2.70, Pahanivo (ok), 15:09, 14/04/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Ога, теперь на своём уютном сайтеге предлагай установить всем еще и свой самопальный рут ...
без которого толку от твоего самоподписного чуть меньше, чем нифига.
| | |
| |
| |
| 4.132, нах. (?), 17:52, 14/04/2025 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> Блогер с миллионной аудиторией может это сделать.
нет, потому что у миллионной аудитории - лапки.
Останется с тремя нердами и одной тульпой. Нердов на самом деле было шесть, но у троих шапочка из фольги запрещает установку чужих сертификатов или нажать кнопку "ок, я лучше тебя знаю"
| | |
|
| |
| 4.133, нах. (?), 17:53, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Я надеюсь, сертификат на другом ip и другом домене?
А то модный-современный браузер все равно, даже при явном указании протокола, полезет по https, напорется на невалидный сертификат и не факт что покажет что-то кроме пустой белой страницы с двумя строчками неведомой xepни.
| | |
| |
| 5.220, Ivan_83 (ok), 01:16, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
На том же, я ж дома хостюсь на dyndns и целей зохватить весь мир у меня нет.
| | |
| |
| 6.244, нах. (?), 08:54, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
ну вот мне пришлось отказаться от поддержки не-https сайта. Потому что т-порылые браузеры лезли по протоколу который явно им сказано было не использовать, напарывались не на то что ожидали и ой... пустая белая страница с двумя строчками неведомой фигни и без кнопки продолжить.
| | |
|
|
|
|
| 2.87, Аноним (283), 15:35, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Осталось только как то понять, что этот сертификат действительно ваш, а не mitm-а
| | |
| |
| 3.96, Ivan_83 (ok), 15:55, 14/04/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Я их дома пинню к девайсам, а остальным мои сертификаты не нужны, для вас и обычного http хватит.
Но я не запрещаю посторонним ходить по мне по https, так что хотите принимайте - хотите нет, mitm не моя проблема, мой сайтег не предоставляет регистрацию/авторизацию, только ознакомительный просмотр.
| | |
| |
| 4.168, Аноним (160), 19:31, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> только ознакомительный просмот
Да и смотреть там особо нечего, так что никто и не ходит.
| | |
| |
| 5.245, нах. (?), 09:09, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
А нельзя как-нибудь сделать чтобы и по https тоже никто не лазил в буфер?
Когда мне понадобится что-то скопировать - я обойдусь без их помощи.
(и разумеется, да, сама идея что https дает индульгенцию от всего - совершенно бредовая)
| | |
|
|
|
| 2.114, нах. (?), 16:52, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
дык а толку от него теперь, когда Браузер будет показывать вместо твоего сайта пустое белое окно с парой строчек бессмысленной xepни и без кнопки "продолжить"? Они именно так это сделают.
| | |
| 2.231, Аноним (-), 04:20, 15/04/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Я только недавно себе выпустил самоподсной серт до 2051 года, вертел я
> их всех с их хотелкалками.
Осталось только пользователям правилльные браузеры "от ивана" раздать чтобы они на это не бухтели.
| | |
|
| |
| 2.76, Pahanivo (ok), 15:19, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Сертификаты минцифры ж так не будут?
Так же не будут, умножай цену минимум на 2 ...
Они же скрепные, тут понимать надо!
| | |
| |
| 3.128, Аноним (128), 17:41, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
хотя если срок будет в 10 раз короче и платить надо будет в 10 раз чаще...
то про два раза у минцифры это какое-то пугание ежа...
| | |
|
|
| 1.39, Аноним (49), 14:11, 14/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Ещё один шаг в направлении вытеснения человека из его жизни. Приближает манипулирование интернетом.
Пока будет выдавать ошибку. Какой следующий шаг? Не открывать? Налицо "закрепление себя в процессе". Если раньше "на поклон" приходилось ходить раз в год, то в будущем - раз в месяц. Матрица атакует.
| | |
| |
| |
| 3.71, Аноним (49), 15:12, 14/04/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Зачем смешивать доверие протоколу шифрования и посредничество между сайтом и посетителем этого сайта?
| | |
|
| 2.63, Аноним (63), 15:04, 14/04/2025 [^] [^^] [^^^] [ответить]
| +3 +/– |
Раньше ошибки сертификата можно было игнорировать нажатием кнопки, теперь кнопку убрали.
| | |
| |
| 3.125, Аноним (47), 17:40, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
В каком браузере? А то при заходе в Сбер Falkon'ом возможность игнорировать имеется.
| | |
|
|
| 1.43, OpenEcho (?), 14:15, 14/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
> Кроме того, короткодействующие сертификаты станут стимулом для внедрения автоматических систем управления сертификатами, избавленными от человеческого фактора.
Одну проблему заменяют другой проблемой, можно подумать что автоматические системы святы, не ломаемы, без багов и вообще без факторов...
| | |
| |
| 2.170, Аноним (160), 19:33, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
10 лет существования LE наглядно показывают, что скрипт лажает на порядки реже по сравнению с человеками.
| | |
| |
| 3.208, OpenEcho (?), 23:16, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
> 10 лет существования LE наглядно показывают, что скрипт лажает на порядки реже
> по сравнению с человеками.
И как это поможет овнеру если система скомпроментированна ?
Автомат в таком случае поможет только атакующему, т.к. админ будет наивно верить что "все на автомате", а то самый скрипт в бэкграунде оказывается уже и не совсем тот cert-manager/lego/dehydrated, а засланный казачок... да даже не трогая целостность обновилки, вредный трафик будет теперь под надежным зашифрованном соединении.
Вся эта пляска с сертификатами исключительно - контроль за интернетом, а не переживание за клиентские коннекты где кроме банков основной трафик про кошечек, мат, пранки и который и так на всех парах шарится между всеми без секретов.
| | |
| |
| 4.262, User (??), 11:29, 15/04/2025 [^] [^^] [^^^] [ответить] | +/– | SSL защищает не _владельца ресурса_, а преимущественно _пользователей_ если что ... большой текст свёрнут, показать | | |
| |
| 5.274, Pahanivo (ok), 14:11, 15/04/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
> SSL защищает не _владельца ресурса_, а преимущественно _пользователей_ если что. Причем
> не только от "утечки plain-text password'а при передаче" - но и
> от подстановки всякоего жыеса ин-зе-миддл, ну и вопрос доверия тудой-сюдой обеспечивает.
Защищает от кого - вот в чем вопрос, от скрипткидов и мамкиных кулхацкеров - не более. Когда любой CA, чей корень у тебя в систему прописан может выписать любой серт - это так себе защита на уровне "от гос-ва". Зря что ли распихиваются везде корни от всякой минцифры и т.п., т.е. подконтрольные гос-ву CA. Попробуй хоть маленько задуматься хоть маленько - защита это, или таки контроль. Нельзя же быть таким тепленьким.
| | |
| |
| 6.275, User (??), 14:57, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
>> SSL защищает не _владельца ресурса_, а преимущественно _пользователей_ если что. Причем
>> не только от "утечки plain-text password'а при передаче" - но и
>> от подстановки всякоего жыеса ин-зе-миддл, ну и вопрос доверия тудой-сюдой обеспечивает.
> Защищает от кого - вот в чем вопрос, от скрипткидов и мамкиных
> кулхацкеров - не более. Когда любой CA, чей корень у тебя
> в систему прописан может выписать любой серт - это так себе
> защита на уровне "от гос-ва". Зря что ли распихиваются везде корни
> от всякой минцифры и т.п., т.е. подконтрольные гос-ву CA. Попробуй хоть
> маленько задуматься хоть маленько - защита это, или таки контроль. Нельзя
> же быть таким тепленьким.
Ну вот в диапазоне между первыми и последними есть мно-ооого кого еще - от сотрудников провайдеров до работников датацентров, включая хитровымудренных любителей физического подключения к оборудованию в подъезде и разворачивателей free wifi в общественных местах.
Вот на гос-во (Особенно не родное) в этом контексте мне больмень все равно (И ему на меня плевать, ага) - а вот на прочих-равных уже и не очень: - но у вас в плаще-и-шляпе может быть другая.
| | |
| |
| 7.278, pavel_simple. (?), 15:54, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
>> маленько задуматься хоть маленько - защита это, или таки контроль. Нельзя
>> же быть таким тепленьким.
> Ну вот в диапазоне между первыми и последними есть мно-ооого кого еще
> - от сотрудников провайдеров до работников датацентров, включая хитровымудренных любителей
> физического подключения к оборудованию в подъезде и разворачивателей free wifi в
> общественных местах.
> Вот на гос-во (Особенно не родное) в этом контексте мне больмень все
> равно (И ему на меня плевать, ага) - а вот на
> прочих-равных уже и не очень: - но у вас в плаще-и-шляпе
> может быть другая.
тебе чел говорит, что были ca, которые раздавили первому попавшемуся рутовые серты, без разница какое там государство посередине если _каждый_ умудряется встать посередине
| | |
| |
| 8.279, User (??), 16:13, 15/04/2025 [^] [^^] [^^^] [ответить] | +/– | gt оверквотинг удален Ну, не первому попавшемуся , а крупным производителям ж... текст свёрнут, показать | | |
|
|
|
| |
| 6.281, User (??), 16:22, 15/04/2025 [^] [^^] [^^^] [ответить] | +/– | Да-да, от гопников в подворотне они ТОЖЕ не защищают Выкинуть, срочно выкинуть ... большой текст свёрнут, показать | | |
|
|
|
|
|
| |
| 2.54, Аноним (5), 14:46, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
А серты ведь не только раздавать , но и проверять и отзывать надо . Мало им хром наспамил в своё время - ничему не научились .
| | |
| |
| 3.84, Аноним (84), 15:31, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Вот чтоб всем этим не заниматься их и делаю короткоживущими. Пока вся бюрократия провернётся он уже и сам того.
| | |
|
|
| 1.56, Аноним (56), 14:47, 14/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>с марта 2029 года - до 47 дней.
Ну, так до этого еще дожить нужно. Одни обещают Скайнет и ядерную войну в 2029, другие - метеорит и прочие "интересные события".
| | |
| |
| 2.62, Аноним (62), 15:02, 14/04/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Смотря на то, как бурно нейросети развиваются, вероятность скайнета через 4 года уже совсем не нулевая.
| | |
| 2.107, Аноним (104), 16:41, 14/04/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Пожайлуйста, поскорее. Я про скайнет и ядерную войну. Ибо лучше сдохнуть в радиоактивный пепел, чем Новый Мировой Порядок.
| | |
| |
| 3.196, Аноним (196), 22:15, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
Нет уж!
DRM в каждый процессор и ПО! "Подписка" на воду (по аналогии с мобильными операторами за интернет).
Также плата за использование кириллицу родственниками Кирилла и Мефодия... И не забудьте заплатить тому автору, которому вы "вдохновились" чтобы написать ваш комментарий.
(Здесь должна быть около скрытая контекстная реклама.)
| | |
|
|
| 1.61, Аноним (61), 15:02, 14/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Разумеется, корпорастия хочет, чтобы вы ПОСТОЯННО шлялись в сети - полный контроль за хомячками. А не будешь выходить в сеть - протухнет сертификат! Всё просто.
| | |
| |
| 2.95, Аноним (-), 15:54, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> А не будешь выходить в сеть - протухнет сертификат! Всё просто.
Ты всегда пожешь принести свежих сертификатов на дискетке.
И все у тебя будет работать :)
| | |
|
| 1.67, Аноним (61), 15:08, 14/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +7 +/– |
Может тогда ну его к монаху, этот httpS ? Просто перейдём обратно на HTTP. Много ли сайтов, где у вас прям до зарезу нужна зашифрованность?? Просто придурки натолкали везде TLS, будто сраные статейки не прочесть без шифров.
| | |
| |
| 2.81, Аноним (-), 15:26, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Может тогда ну его к монаху, этот httpS ? Просто перейдём обратно на HTTP.
А если у сайта просто не будет https версии?
> Много ли сайтов, где у вас прям до зарезу нужна зашифрованность?
Это уже создатель сайта сам решит.
> Просто придурки натолкали везде TLS, будто сраные статейки не прочесть без шифров.
А это от очень зависит)
Например если там что-то про воров и жуликов, или о том что "система прогнила и только полностью менять" то за статейку можно получить статейку.
| | |
| 2.82, Аноним (74), 15:28, 14/04/2025 [^] [^^] [^^^] [ответить]
| +3 +/– |
Вы уже отключили в своём браузере поддержку js и css? Да даже в html много приколов можно натворить. Вы просто кажется забыли (или не знали), как охотно ваш провайдер побежит встраивать вам в трафик самую разную рекламу прямо в тело сайта и подменять ссылки на рефералки.
Шифрование и аутентификация нужны. Просто, походу, скоро придёт разделение на тех, кто нихрена не понимает и башляет бабки за воздух этим гоудядям, и тех, кто каждый сайт начнёт как в ssh добавлять в белый список при первом подключении.
| | |
| |
| 3.90, Аноним (84), 15:40, 14/04/2025 [^] [^^] [^^^] [ответить]
| +3 +/– |
Они и сейчас это делают если очень сильно хотят. В основном мобильные операторы. Ещё и десять всплывающих окон на каждом партнёрском сайте для имитации ручной верификации платных подписок. Отписок и подписок по кругу. Благо сейчас их с этим немного прижали.
| | |
| |
| 4.202, Омнонном (?), 22:38, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Кстати, забавно, что это не подпадает УК РФ 272-273 (не видел дел), хотя статьи именно это и описывают.
| | |
|
|
| 2.83, Аноним (83), 15:28, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Было бы здравым, чтобы было http, https и https+. Последний - с подписанным сертификатом, если кому-то нужно, а предпоследний - просто шифрованный; этого вполне многим было бы достаточно. Нешифрованный совсем - слишком уж голо... Однако лепить в одно - и доверие к сертификационным центрам, и шифрование данных - может оказаться черезмерным и нарушает свободу человека на ограниченную безопасность, если его таковая устраивает.
| | |
| |
| 3.179, Аноним (83), 20:05, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Кое-что не до конца продумано. Такой https получается весьма уязвимым для активных атак, в которых злоумышленник может построить свой фиктивный сервис. В качестве альтернативы в голову приходит пока что только обмен ключами между пользователями.
| | |
|
| 2.86, Аноним (283), 15:33, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>Много ли сайтов, где у вас прям до зарезу нужна зашифрованность??
Абсолютно все. В противном случае будет mitm, и самым лучшим последствием будет встраивание рекламы.
| | |
| 2.108, ФСБКН (?), 16:44, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>Может тогда ну его к монаху, этот http
Да, пожалуйста, перейдите поскорее. Нам как раз нужен на вас полный компромат, на каждого.
| | |
|
| 1.92, Аноним (9), 15:42, 14/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Удивительно, что в этом CA/Browser Forum не оказалось Let's Encrypt, у которых TTL сертификатов 90 дней. Я так понимаю, что срок 47 дней сделан в пику Let's Encrypt - коммерческие СА счеты сводят.
| | |
| |
| 2.102, Аноним (161), 16:07, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
поинтересуйтесь кто у ЛЕ родители.... они тут были. за него не переживайте.
| | |
| |
| 3.216, fuggy (ok), 00:25, 15/04/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
 То-то они жаловались что нет сил больше поддерживать OCSP. А тут раз в месяц новые сертификаты генерировать.
| | |
| |
| 4.225, Аноним (206), 01:48, 15/04/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
ну раз в месяц подписывать явно дешевле, чем каждый день по 100 раз за час отвечать на OCSP. Я так понимаю они заранее знали, что оно так обернётся и это был один из этапов по подготовке.
| | |
| |
| 5.296, нах. (?), 21:04, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
подписывалка у них (да и у всех) упирается в ОДИН сильно безопастный ящик, потому что у сертификатов есть серийник.
И они давно уже просили беспокоить их пореже, и даже какие-то костыли в свой кривой скрипт на эту тему впиндюрили, чтоб не раз в час, а хотя бы раз в неделю приходил.
А отвечать на ocsp - можно с хоть мильена коробочек, да еще и кэширующих.
Но, видимо, уважаемые их очень-очень попросили, и они взяли под козырек. А не будут брать - отключат газ.
| | |
|
|
|
|
| 1.106, Аноним (106), 16:39, 14/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Упс, отвалятся все старые принтеры и другие устройства, в которых эти сертификаты защиты и без танцев с бубнами их не обновить.
| | |
| 1.111, Аноним (283), 16:48, 14/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>Предполагается, что генерация короткодействующих сертификатов позволит быстрее внедрять новые криптоалгоритмы в случае выявления уязвимостей в ныне действующих, а также сократит угрозы безопасности.
С учётом огромного парка оборудования, порой китайского, неподдерживаемого уже в момент поступления на склад, уязвимости никуда не денутся. А люди просто перестанут обращать на это внимание. Мало ли умельцев в своё время отключали обновления той же винды?
| | |
| 1.119, Аноним (119), 17:10, 14/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Смотрю эту страницу с 15 летнего телефона. Верстка в порядке, на сертификат уже ругается.
| | |
| 1.144, анонон (?), 18:16, 14/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Одобряю, может админы в моей конторе наконец-то научатся обновлять сертификаты автоматически
| | |
| 1.145, Аноним (145), 18:23, 14/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я что-то всё ещё не вижу, как это помогает безопасности. Ухудшает только - все забьют. У кого-то часто уводят прям сертификаты вместе с доменом "совершенно случайно" чтобы сделать митм?
| | |
| 1.151, Аноним (151), 19:03, 14/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Иб...лись ?
каждые два месяца покупать новый серт и заливать его на сервисы
они предсатавляют сколько это волокиты и работы в финтех компаниях ?
| | |
| |
| 2.153, Аноним (-), 19:09, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> каждые два месяца покупать новый серт и заливать его на сервисы
не покупать, а перегенерировать
> они предсатавляют сколько это волокиты и работы в финтех компаниях ?
Это запуск скрипта по крону, какая волокита?
| | |
| |
| 3.182, нах. (?), 20:17, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
и любой, добравшийся до этого скрипта - получает автоматический доступ ко всему трафику.
Здорово-то как!
И да, у финтеха принято было _покупать_. В том числе и потому, что кое-где еще остался пининг.
| | |
|
|
| 1.183, Аноним (62), 20:33, 14/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Почему новости о подобном треше исходят постоянно от веб компаний?
В мире полно других стандартов и отраслей, но они присосались гадить именно в эту.
| | |
| |
| 2.239, нейм (?), 08:20, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
пусть лучше в одной, чем в всех сразу
проще будет альтернативу найти
| | |
|
| 1.201, Аноним (201), 22:34, 14/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>в случае незаметной утечки сертификата в результате взлома
Скажите им кто-нибудь, что сертификаты в норме публично доступны. Компрометируется ключ, который системы обновления сертификатов не факт, что каждый раз меняют. Т.е. там же, где был уведен ключ, можно будет забрать свежий сертификат.
| | |
| |
| 2.212, нах. (?), 23:58, 14/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
Не говори, а то с них станется начать ТРЕБОВАТЬ смены ключа. От этого поломается очень много тонких мест, и pkp далеко не единственное из них. Где проверяется вроде бы сертификат, но на самом деле проверяется ключ.
| | |
| |
| 3.240, нейм (?), 08:22, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Не не, пусть требуют, пусть писаки это продвинут и пусть это хорошенько так пестанетца. Чтобы по всем постмортемам пролетела ссылка на решение и списки контор инициаторов
| | |
|
| 2.228, Аноним (-), 03:31, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Компрометируется ключ
На этом и приехали. И часто компрометируется?
| | |
|
| 1.217, anonymous (??), 01:11, 15/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А что мешает просто в настройках браузера для конкретного сайта поставить "игнорировать устаревание сертификата"?
| | |
| |
| 2.226, Аноним (206), 02:03, 15/04/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Дkя какого сайта вы это будете делать, если сейчас все публичные ЦА дружно возьмут под козырёк и поменяют политику выдачи сертификатов, так что все валидные сертификаты к 15 марта 2026 года будут удовлетворять новым условиям ?
| | |
| |
| 3.235, anonymous (??), 07:36, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Ну написано в сертификате: выдан в июне, годен до июля. Но что мешает конечному пользователю игнорировать "до" и продолжать им пользоваться и после июля?
| | |
| |
| 4.260, Аноним (260), 11:08, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Сейчас везде https и браузер тебе мозги съест, "вы зашли на не доверенный сайт и теперь нажмите 100500 кнопок, чтоб действительно на него зайти". В гугло браузере по-моему уже нельзя внести сайт в доверенные, надо эту галиматью постоянно выбирать, во всяком случае, когда с ноута жены вхожу на роутер, там нет сохранялки.
| | |
|
|
|
| 1.230, iCat (ok), 04:16, 15/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Ну, похоже на то, что приближается эпоха новых инструментов, обеспечивающих безопасный шифрованный трафик без ЦА.
| | |
| |
| 2.233, Аноним (233), 06:13, 15/04/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Не понял. Центры сертификации никто не отменял, просто время жизни уменьшили, и на то есть веские основания.
| | |
| |
| |
| 4.267, n00by (ok), 11:55, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
А что бы противостоять ддосу, начнут генерировать сертификат на каждый запрос. :)
| | |
| 4.286, Аноним (24), 17:22, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> При сроке жизни серта в 10 дней CA превращается в нехилую точку отказа.
генерируешь пачку сертификатов на целый месяц (на день 1 сертификат) и заверяешь одним обращением, тут в случае хоть выхода из строя твоего CA на месяц, сервис твой не отвалится.
А при компрометации, пихаешь все будущие (на целый месяц) сертификаты в CRL или OCSP.
| | |
| |
| |
| 6.290, Аноним (24), 18:23, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Уху, а CA тебе даст так сгенерировать?
ну тогда пусть дает 100% гарантии доступности когда необходимо будет заверить очередной сертификат.
| | |
| 6.293, Аноним (24), 18:33, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Уху, а CA тебе даст так сгенерировать?
а что теряет СА, конечно даст, ибо это разумное решение при уменьшении срока действительности сертификата до 1 дня. В одном условно CSR запросе, выдает заверенные однодневные сертификаты на месяц вперед.
| | |
| |
| 7.300, Tron is Whistling (?), 21:08, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
CA обычно не дают генерить пачку сертов на один и тот же ресурс, предыдущие отзываются.
Можно конечно сделать так, как я делаю с шиткриптом - я меняю список доменов в SAN...
| | |
|
|
|
|
|
|
| |
| 2.252, Tron is Whistling (?), 09:39, 15/04/2025 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Не, ну окей, совсем уж внешние на балансерах пусть будут, пофиг, балансеры можно и пнуть раз в неделю. Если только УЦ загнётся под нагрузкой или будет заддошен - ну окей, выпишем у двух-трёх УЦ.
Но вот инфру было удобно держать на всё тех же пабликах DNS и сертах SAN. Короче к 2029 инфру придётся вернуть на разделённый DNS и самоподписные серты.
| | |
| |
| 3.254, Tron is Whistling (?), 09:41, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
Девляпсы, привыкшие просто нафигачить с любого уголка мира в скриптах mgmt.resource.company.xyz, сунуть ему свой RSA-ключ и попасть в управлялку - будут выть волком, придётся и скрипты через VPN гонять, и ключ компанейского ЦА в браузере иметь.
| | |
| |
| 4.295, нах. (?), 21:01, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> ключ компанейского ЦА в браузере иметь.
бесполезно, на них и охота. Ишь, завели себе моду, сами себе выдавать сертификаты сроком на пять лет!
Пустая белая страница тебе вместо сайта!
Еще и будешь придумывать, как тебе впиндюрить на свой внутренний CA acme протокол и автоматическую раздачу сертификатов кому попало.
Или плюнешь, разотрешь, и пойдешь сдаваться летшиткрипту - даже с внутренних систем инфры, которым вообще строго настрого запрещено иметь хоть какую-то связь наружу.
| | |
|
|
| 2.270, User (??), 12:02, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Рехнулись что-ли? Как их обновлять-то?
> Окей, самоподписные можно и нагенерить.
Таки ж автоматом - через SCEP\ACME, не? Оно ж затем и делается, чтоб любители делать ЭТО руками наконец-то задолбались и сдались :).
| | |
| |
| |
| 4.292, User (??), 18:31, 15/04/2025 [^] [^^] [^^^] [ответить]
| +/– |
>> Таки ж автоматом - через SCEP\ACME, не?
> И вот это легло у вендора или он под DDoS попал -
> что делать дальше?
Ну, я предполагаю, что если вы зачем-то поменяли дефолтные настройки acme-клиента на "обновлять в последний час последнего дня перед протуханием" - у вас есть какой-то план на этот счёт - ну-там "бегать кругами", "рвать на себе волосы", "обвинять во всем <companyname>", я не знаю.
Если ваш провайдер услуг не раздуплился с ddos'ом за 30% срока жизни сертификата - сталбыть, идея брать серт в подземном переходе у "v-asyan&gays" была не так хороша, и следующий раз вы воспользуйтесь услугами кого-то более надёжного - "let's encrypt" хотя бы...
| | |
|
|
|
| 1.251, Tron is Whistling (?), 09:36, 15/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
"При этом, изжитие практики ручного обновления сертификатов"
Правильно. Любой уважающий себя девляпс должен загружать и обновлять сертификаты с гитшляпа автоматически, чтобы в любой момент мог быть подсунут нужный на полчаса и вынут назад.
| | |
| 1.258, Аноним (258), 10:47, 15/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> Максимальное время жизни TLS-сертификатов сократят с 398 до 47 дней
Раньше покупали на 398 дней, сейчас будут на 47. Доход сертифицирующего центра увеличивается более чем в 8 раз.
| | |
| 1.280, Аноним (-), 16:14, 15/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Не очень разбираюсь в этих сетевых тонкостях, но как подобную проблему решают в даркнетах? Тор-браузер использует http для .onion-сайтов. И всё работает без деланья мозгов как пользователям, так и владельцам. Магия какая-то.
Мне кажется клирнет со временем будет заменен оверлейной сетью, которая изначально избавлена от излишней централизации в виде ca/dns.
| | |
| |
| 2.291, Аноним (24), 18:29, 15/04/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Мне кажется клирнет со временем будет заменен оверлейной сетью, которая изначально избавлена от излишней централизации в виде ca/dns.
вопрос доверия не исчезает ведь, всегда можно сделать митм.
| | |
|
| 1.299, Tron is Whistling (?), 21:07, 15/04/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Есть мысль, что крупные CA протолкнут отмену этого шита, потому что иначе все, кто захочет кактус жевать, и правда в летсшиткрипт уйдут.
| | |
|
