| 1.1, Аноним (-), 09:17, 15/06/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +14 +/– |
Вся прелесть Lets'Encrypt не в сроке и числе доменов, а в открытости, контроле в руках администратора и независимости от отдельных компаний.
| | |
| 1.3, Аноним (-), 09:59, 15/06/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Самое главное не написали - протокол ACME или нет? (Хотя по ссылке похоже, что нет)
| | |
| |
| 2.23, . (?), 13:01, 15/06/2016 [^] [^^] [^^^] [ответить]
| +/– |
ну явно ж нет - иначе ж кто помешает тебе его хакнуть и избавиться от сомнительного щастья держать неуправляемый демон?
Правда, думаетсо мне, демона хакнуть в любом случае окажется несложно.
| | |
| |
| 3.28, . (?), 14:35, 15/06/2016 [^] [^^] [^^^] [ответить]
| +/– |
% gdb StartEncrypt/bin/StartEncrypt
[skip]
Reading symbols from /home/alx/StartEncrypt/bin/StartEncrypt...done.
(gdb) list
1 /home/admin/work/log/src/log.cpp: No such file or directory.
in /home/admin/work/log/src/log.cpp
мда. То есть оно даже нестрипленное.
| | |
| |
| 4.29, тоже Аноним (ok), 14:47, 15/06/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
 "- Совсем худо, - заключил хозяин, - что-то, воля ваша, недоброе таится в мужчинах..."
... у которых даже под Линуксом пользователя зовут Администратором!
| | |
|
|
|
| 1.4, Аноним (-), 10:00, 15/06/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
И, кстати, у меня в Let's Encrypt один сертификат на шесть доменов, так что про один домен ЛПП
| | |
| 1.5, xl32 (ok), 10:15, 15/06/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Да, у Let's Encrypt SAN до 100 доменов в сертификате. С удовольствием пользуюсь.
> Names/Certificate is the limit on how many domain names you can include in a single certificate. This is currently limited to 100 names, or websites, per certificate issued. | | |
| |
| |
| 3.9, xl32 (ok), 10:24, 15/06/2016 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Wildcard нету.
Так и здесь тоже только для OV/EV. То есть после платной валидации организации.
| | |
|
|
| 1.6, Аноним (-), 10:16, 15/06/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +14 +/– | |
> Сервис поставляется только в форме уже собранного исполняемого файла, код не прилагается, т.е. предлагается запустить с правами root и оставить для постоянной работы "черный ящик", отправляющий сетевые запросы
Дальше можно не читать.
| | |
| 1.10, Аноним (-), 10:31, 15/06/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +12 +/– | |
> В систему устанавливается проприетарное ПО, добавляемое в автозапуск и выполняемое как фоновый процесс, следящий за обновлением сертификата. Сервис поставляется только в форме уже собранного исполняемого файла, код не прилагается, т.е. предлагается запустить с правами root и оставить для постоянной работы "черный ящик", отправляющий сетевые запросы, которые проблематично проверить;
И зачем такие сложности то?
Нужно было просто просить рутовый пароль на сервер и со своей стороны скриптами закачивать/обновлять сертификаты и релоадить сервисы.
Прям как дети малые.
| | |
| |
| 2.12, Орк (?), 11:03, 15/06/2016 [^] [^^] [^^^] [ответить]
| +5 +/– |
А что, нормальный бэкдор для лоха, который никогда не вымрет.
| | |
| 2.14, Ананимас (ok), 11:22, 15/06/2016 [^] [^^] [^^^] [ответить]
| +3 +/– |
 запустить в jail/аналог
получить/обновить серт
остановить jail/аналог
выгода
| | |
|
| 1.16, Аноним (-), 11:40, 15/06/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
Уже то, что LetsEncrypt тянет на сервер компиллятор и dev пакеты - это ДЫРИЩА, а это ... у меня слов нет .
| | |
| |
| |
| 3.44, MPEG LA (ok), 23:10, 15/06/2016 [^] [^^] [^^^] [ответить]
| +/– |
 на wheezy например требует установки backports. вопрос - нафейхоа вообще все эти извращения со скриптами и бинарниками?
| | |
| |
| 4.51, имя (?), 10:52, 16/06/2016 [^] [^^] [^^^] [ответить]
| +/– |
этот вопрос задай тому, что тебе wheezy на сервер зачем-то поставил.
| | |
| |
| 5.54, MPEG LA (ok), 15:10, 16/06/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> этот вопрос задай тому, что тебе wheezy на сервер зачем-то поставил.
а что из дебианоподобных надо было ставить на сервер в 2013-м? и чем вам не нравится wheezy?
| | |
|
|
|
| 2.20, grsec (ok), 12:16, 15/06/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > Уже то, что LetsEncrypt тянет на сервер компиллятор и dev пакеты -
> это ДЫРИЩА, а это ... у меня слов нет .
Можно неловкий вопрос? В каком месте ты увидел дырищу?
| | |
| |
| 3.32, Кармер (?), 15:51, 15/06/2016 [^] [^^] [^^^] [ответить]
| –3 +/– |
Есть компиллятор,- есть возможность собрать и запустить эксплоит для повышения привелегий, например ..
| | |
| |
| 4.33, ram_scan (?), 16:05, 15/06/2016 [^] [^^] [^^^] [ответить]
| +3 +/– |
1) Если у тебя есть шелл кто запрещает стянуть вместе с сорцами эксплоита компилятор ?
2) Если у тебя есть шелл, кто запрещает собрать сорец кросскомпилятором под нужный таргет в другом месте и стянуть на шелл готовый эксплоит ?
Тут может последовать возражение что все разделы доступные на запись смонтированы как noexec. Так тогда и готовый эксплоит запустить будет неможливо. А если можливо то и все остальное запустится.
| | |
| 4.36, grsec (ok), 19:17, 15/06/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
Компилять зловредов на атакуемой системе это из теории что-ли? Но если этот момент так волнует, можно запретить запуск компилятора.
| | |
| 4.38, Аноним (-), 20:32, 15/06/2016 [^] [^^] [^^^] [ответить]
| +/– |
А зачем его компилять? Если есть доступ в шелл, то можно уже собранный запустить.
| | |
| 4.43, Аноним (-), 22:30, 15/06/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Есть компиллятор,- есть возможность собрать и запустить эксплоит для повышения привелегий,
> например ..
Cool story bro. А ещё эксплоит можно сделать на bash+nc/perl/python/ruby/tcl/чем угодно без компилятора.
| | |
|
|
| 2.49, Аноним (-), 06:15, 16/06/2016 [^] [^^] [^^^] [ответить]
| +/– |
Не нравится стандартный клиент certbot, пользуйся другими или напиши свой, протокол то открыт. Мне например lego нравится, прав рута не требует, можно скомпилить и закидывать бинарник куда надо.
| | |
| 2.50, Гентушник (ok), 08:39, 16/06/2016 [^] [^^] [^^^] [ответить]
| +/– |
 Протокол открыт, дефолтным клиентом никто не заставляет пользоваться.
Я например использую acme.sh , он очень простой и написан на баше, допилил под свои нужды.
| | |
|
| 1.18, Аноним (-), 12:05, 15/06/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Надеюсь это начало конкуренции. Сначала бесплатные сертификаты, потом, условия использования, потом и цены могут упасть.
| | |
| |
| 2.30, Аноним (-), 15:03, 15/06/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Надеюсь это начало конкуренции. Сначала бесплатные сертификаты, потом, условия использования,
> потом и цены могут упасть.
Не будет тут конкуренции, центров выдающих не так много, и цены достуные, если не говорить о субдоменнха и прочих плюшках. Кому эти плюшки нужны имеют деьги
| | |
|
| 1.27, Аноним (-), 14:28, 15/06/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Жажда бесплатного мешает купить обычный сертификат и не ставить ничего сомнительного
| | |
| |
| 2.39, Сиромант (?), 21:27, 15/06/2016 [^] [^^] [^^^] [ответить]
| +/– | |
>Жажда бесплатного мешает купить обычный сертификат
В новости сказано «автоматически», а не «бесплатно».
| | |
| |
| 3.56, . (?), 13:32, 17/06/2016 [^] [^^] [^^^] [ответить]
| +/– |
в новости при этом не сказано, но _покупать_ (и не сертификат а факт валидации посерьезней DV) еще и придется вручную. (_каждый_ раз, валидация не вечна)
На этом фоне автоматическая установка посетителям данного ресурса явно уже низачем не нужна.
Ну так оно, надо полагать, и не для них вовсе. А для тех, кому собрать все бумажки и заслать по факсу с правильными подписями - задача понятная и решаемая, а вот генерить какие-то ключи, где-то что-то "электронно подписывать" - нет.
И им таким, кстати, пофиг, что оно бинарное и без исходника - в общем-то у произвольно взятого директора рогоу&копытс куда больше поводов доверять startssl чем найденному на помойке индусскому (или русскому) админу.
| | |
|
|
| 1.37, dr Equivalent (ok), 19:56, 15/06/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
 О, здравствуй, альтернатива.
> В систему устанавливается проприетарное ПО
До свидания, альтенрнатива.
| | |
| 1.45, xm (ok), 00:28, 16/06/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > Сертификаты OV SSL и EV SSL выдаются бесплатно, но учётная запись в StartSSL должна пройти проверку с использованием средств идентификации 3 или 4 класса
Ага. 69 или 199 USD. Сертификат в подарок. :-)
| | |
| 1.46, Онаним (?), 00:34, 16/06/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> В систему устанавливается проприетарное ПО, добавляемое в автозапуск и выполняемое как фоновый процесс, следящий за обновлением сертификата. Сервис поставляется только в форме уже собранного исполняемого файла, код не прилагается, т.е. предлагается запустить с правами root
Нахрен такое счастье...
Если нет альтернативного варианта с настройкой своего сервера вручную то такой сервис не нужен в принципе.
> в Lets'Encrypt сертификат выдаётся на 3 месяца
Тоже жесть.
| | |
| |
| 2.48, Аноним (-), 06:11, 16/06/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
Почему жесть? Ставишь по крону проверку на необходимость автопродления раз в неделю или раз в день и забываешь про сертификат вообще.
| | |
|
| 1.47, dlazerka (ok), 03:09, 16/06/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 LetsEncrypt проверяет владение не доменом, а сервером, который отвечает по этому домену. Т.к. он проверяет файлик по урлу /.well-known/acme-challenge. Домен он бы проверял если бы проверял TXT запись в DNS.
| | |
| |
| 2.55, . (?), 23:55, 16/06/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> LetsEncrypt проверяет владение не доменом, а сервером, который отвечает по этому домену.
что в общем эквивалентно - если у тебя угнали сервер, у тебя гораздо более серьезные проблемы, чем то что кто-то может изготовить свой сертификат для него.
И сертификат выдается - серверу, а не домену (опустим для простоты, что почтовому, к примеру, тоже нужен сертификат, причем неплохо бы - с другим ключом даже при том же самом домене).
> Домен он бы проверял если бы проверял TXT запись в DNS.
разумеется, нет - он бы при этом проверял владение (контроль над) _сервером_. Сервером dns, ага. А его (контроля) у владельца домена, кстати, вполне может не быть вовсе (dns у хостера, заполняется автоматическим шаблоном, управление юзером не предусмотрено вовсе - у меня, кстати, так)
В этом плане подход startssl, проверяющего таки именно владение доменом (анализом whois и проверкой живым человеком, если не получилось или что-то показалось подозрительным), мне нравился гораздо больше. К сожалению, конкуренция в подобных вещах не всегда благо - сейчас явно под влиянием летсэнкрипта они сделали альтернативную валидацию через сайт.
| | |
|
| 1.57, Antonhef (?), 10:09, 08/05/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Обходились как-то раньше без всяких сертификатов, сейчас приходится бегать по всяким Хострадарам закинув язык за плечи, искать хостинг с дешёвым или бесплатным c-c-л.
| | |
|
