| |
| |
| 3.5, Аноним (-), 22:30, 09/12/2017 [^] [^^] [^^^] [ответить]
| +9 +/– | |
> Они её будут делать только через валидацию по dns. :-(
А как ещё-то проверить, что у тебя есть права на домен?
| | |
| |
| 4.6, Ilya Indigo (ok), 23:07, 09/12/2017 [^] [^^] [^^^] [ответить]
| –9 +/– |
 По http.
Или по наличию доступа к базовому домену (да знаю, бывают случаи, когда базовый домен под www, и при этом тем кому доступен этот домен не должны иметь возможность зарегистрировать wildcard).
Или по разрешающей записи, по аналогии с CAA-записью, которая будет позволяет владельцу указанного домена или поддомена регистрировать wildcard.
| | |
| |
| 5.9, Аноним (-), 00:40, 10/12/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> По http.
Это чтобы АНБ могло официально выписывать себе сертификаты на все что угодно, сделав MITM на транзитной циске?
| | |
| |
| 6.46, Аноним (-), 05:43, 11/12/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
АНБ и так может выкатывать себе все что угодно. Не забываем, в чем состоит суть самой модели CA.
| | |
|
|
|
| 3.40, Johny (?), 22:26, 10/12/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Они её будут делать только через валидацию по dns. :-(
а почему это вас расстраивает?
с этим есть хоть какие-то проблемы?
| | |
| |
| 4.49, Ilya Indigo (ok), 12:21, 11/12/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
Тем что мне охота специально для этого держать bind, на том же самом сервере, на которому меня web/mail сервера.
DNS-сервер должен находится не то что на отдельном сервере, а вообще в другом месте земного шара, это же система валидации, как я понял, предлагает прописать в настройках домена DNS-сервера самого себя, и возложить на локальный бинд ответственность за этот домен.
В это схеме перехватчик получит контроль сразу и над сервером, и над доменом сразу с одного перехваченного узла.
| | |
| |
| 5.50, Crazy Alex (ok), 13:16, 11/12/2017 [^] [^^] [^^^] [ответить]
| +/– |
 А сделать какое-то ограниченное управление к тому самому днс-серверу на краю земли - не судьба? Ну ладно, и без тебя сделают, если оно хоть кому-то надо
| | |
| |
| 6.52, Ilya Indigo (ok), 13:33, 11/12/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> А сделать какое-то ограниченное управление к тому самому днс-серверу на краю земли
> - не судьба? Ну ладно, и без тебя сделают, если оно
> хоть кому-то надо
Регистраторам доменов, бесплатно предоставляющих свои DNS-сервера, предоставлять мне ещё интерфейс для DNS-валидации, точно будет не судьба. :-(
| | |
| |
| 7.53, ruata (?), 14:01, 11/12/2017 [^] [^^] [^^^] [ответить]
| +/– |
С Yandex DNS / ПДД через API полностью автоматизируется, например в getssl
| | |
| 7.59, Crazy Alex (ok), 16:40, 11/12/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну будешь выбирать регистратора (или провайдера DNS) который это умеет. Если уж тебе нужны вайлдкард-сернтификаты это в любом случае подразумевает некие объёмы и разборчивость, а чаще - вообще свои DNS. Да и они зачешутся, куда денутся. Или на худой конец будешь жить так, как живёш сейчас, никто у тебя ничего не забирает.
| | |
|
|
|
|
|
|
| 1.2, Ilya Indigo (ok), 22:19, 09/12/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А когда там у них в планах снова обновить лицензию. чтобы снова к чертям слетела вся автоматизация обновления на всех серверах?
| | |
| |
| |
| 3.7, Ilya Indigo (ok), 23:17, 09/12/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Ты о чём?
Каждый раз при обращении по протоколу ACME нужно передавать url текущей лицензии, как знак твоего согласия с этой лицензией.
Я по началу ничего подозрительного не заподозрил, ну надо, значит надо.
И вот вчера я заметил, что на моих серверах не обновляются сертификаты и обращение завершается 400-какой-то ошибкой и выводом url-ей лицензий, на которые я не обратил внимания, подумал это просто шапка.
Думал что возможно что-то связанное с недавним переходом на openssl 1.1.0g.
А оказалось, он буквально хочет, чтобы я при авторизации передавал ему url свежайшей лицензии, то есть https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf без которого сервис отказывает мне в обслуживании!
Гениально!?
| | |
| |
| 4.8, Anonimus (??), 00:24, 10/12/2017 [^] [^^] [^^^] [ответить]
| +/– |
Последние 6 месяцев такая проблема, я подумал, что LE решили устроить страдание таким образом.
| | |
| 4.30, Аноним (-), 13:09, 10/12/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
Не знаю, certbot из репы как работал, так и работает. Последний раз обновлялся в июле.
| | |
| 4.32, xm (ok), 13:37, 10/12/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Ключ --agree-tos не спасёт отца русской демократии?
| | |
| 4.54, пох (?), 15:05, 11/12/2017 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Гениально!?
а то!
Не забывайте регулярно обновлять ваши скрипты, делающие хз что, из нашего единственно-верного репо.
Иначе есть риск, что ваши сертификаты внезапно превратятся в тыкву, а http-то вы уже героически победили.
| | |
| |
| 5.58, Crazy Alex (ok), 16:36, 11/12/2017 [^] [^^] [^^^] [ответить]
| +/– |
Там комментарием выше перед тобой, как минимум, кроме единственно-верного ещё dehidrated помянули как вполне работающий
| | |
| |
| 6.61, пох (?), 18:42, 11/12/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Там комментарием выше перед тобой, как минимум, кроме единственно-верного ещё dehidrated
> помянули как вполне работающий
если дурацкая лицензия действительно часть апи - то, значит, либо тоже "не забывайте обновлять, из другого репо", либо он там сам к чему-то делает запрос, что подсказывает ему, какая нынче лицензия правильная.
в общем, так себе идеология.
| | |
|
|
|
|
|
| 1.11, Аноним (-), 01:29, 10/12/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– | |
> Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом
Это прямое враньё, Let’s Encrypt контролируется корпорациями.
| | |
| |
| |
| 3.15, angra (ok), 02:28, 10/12/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Легко, смотри последнее предложение в новости: "Средства собираются в основном за счёт финансовой помощи от крупных спонсоров, таких как Mozilla, Akamai, OVH, Cisco, Google, Electronic Frontier Foundation, IdenTrust, Ford Foundation и Internet Society.". Хотя ты можешь продолжать наивно верить, что те, кто платят, не заказывают музыку.
| | |
| |
| 4.22, Аноним (-), 04:47, 10/12/2017 [^] [^^] [^^^] [ответить]
| +/– |
Это не делает ее не некоммерческой организацией. Знаешь кто лучше чем они? Напиши
| | |
| |
| 5.24, Аноним (-), 09:23, 10/12/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Думаешь, некоммерческая орг-я, - значит "хиппи-чудачки, работающие за идею"?
"Некоммерческая" у них только схема ухода от налогов (и проверки от государства на предмет характера выполняемых сотрудниками работ). С механизмом управления тип учреждения не связан от слова "никак". Можно создать PR-организацию, которая за твои деньги будет поливать твоих конкурентов г-ном (Microsoft, например, так и делает), и она тоже сможет гордо называть себя "некоммерческой": доходов нет, дивиденты никому не выплачиваются.
До тех пор, пока от компании нет прямой прибыли, некоммерческим может быть что-угодно, лишь бы удалось убедить отвечающих за присвоение ярлычка бюрократов.
| | |
| |
| 6.28, Hellraiser (??), 11:43, 10/12/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
 всё правильно - на самом деле Let’s Encrypt распространяет не сертификаты, а ... трояны; причём эти трояны используют технологию 25-го кадра, зомбируя тех, кто их использует; судя по отчёту, зомби-бот уже превысил 40 млн
| | |
| 6.31, Аноним (-), 13:11, 10/12/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Думаешь, некоммерческая орг-я, - значит "хиппи-чудачки, работающие за идею"?
А ты именно так представляешь себе "сообщество"? Ну так у меня для тебя плохие новости…
| | |
|
|
| 4.56, dq0s4y71 (ok), 15:39, 11/12/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Ты не поверишь, но Free Software Foundation тоже существует за счёт финансовой помощи от крупных спонсоров, таких как IBM, HP, Nec, Alibaba и др. https://www.fsf.org/patrons Значит ли это, что он тоже "контролируется корпорациями"?
| | |
|
|
|
| 1.16, angra (ok), 02:31, 10/12/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> Проектом Let's Encrypt выдано (https://letsencrypt.org/stats/) 46 млн сертификатов
> Текущая серверная инфраструктура Let's Encrypt обрабатывает примерно 2 миллиарда запросов в день.
Очень интересно, что же составляет большую часть этих запросов. Судя по цифрам, это не выдача и обновление сертификатов.
| | |
| |
| |
| 3.26, Аноним (-), 09:57, 10/12/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Это Mozilla виноваты, что Firefox до сих пор дёргает OCSP-серверы на каждый полученный сертификат. Chrome вместо этой фигни давно использует централизованный чёрный список (и правильно делает).
Сама идея OCSP (заставить клиента перед отзывом сертификата организации вежливо интересоваться у CA этой организации) — полный швах, не выдерживающий столкновения с реальностью.
| | |
| |
| |
| 5.39, Аноним (-), 21:52, 10/12/2017 [^] [^^] [^^^] [ответить]
| +/– | |
Выраженный синдром утенка: "все говорят: делай stapling, значит и мне надо".
Stapling, как и OCSP – бесмысленная трата трафика. Ок, мой сервер сломали. Или ещё лучше – сервер моего CA. Первый запрашивает у второго OCSP и отправляет ответ пользователю. Стоп, что???
Или ещё лучше – абстрактная компроментация ключа в вакууме. Чтобы OCSP-ответ о ней сообщил нужно чтобы о ней узнал CA. Внимание вопрос: в чём здесь профит OCSP? С задержкой сообщить пользователю то, про что он и так должен от меня узнать? Так к этому моменту я уже должен выкатить новый сертификат.
Нет и не может быть сценария, когда OCSP приносит реальную пользу.
| | |
| |
| 6.55, пох (?), 15:14, 11/12/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Stapling, как и OCSP – бесмысленная трата трафика. Ок, мой сервер сломали.
> Или ещё лучше – сервер моего CA. Первый запрашивает у второго
не читал, но осуждаю?
То есть ни область применимости, ни механизм работы - ни разу не поняты, но мнение - имеешь?
> Или ещё лучше – абстрактная компроментация ключа в вакууме. Чтобы OCSP-ответ о
неабстрактная - ломанули твой сервер, и ключики тютю.
> ней сообщил нужно чтобы о ней узнал CA. Внимание вопрос: в
ну вот узнал, пометил как невалидный, и дальше что? Пользователь ничего об этих отметках не знает, списки revoked certs не грузятся уже сто лет. И если попадает, внезапно, не к тебе, а к тому самому, которому достались ключики (dns poisoning там, или к твоему апстриму кто-то присосался) - наивно верит, что у него защищенная сессия с твоим сайтом.
ocsp эту проблему решает. stapling решает проблему досужего любопытства CA, что у тебя там за юзеры и откуда взялись.
| | |
| |
| 7.66, Аноним (-), 05:39, 12/12/2017 [^] [^^] [^^^] [ответить] | +/– | Ещё раз 8211 чтобы OCSP-ответ сообщил пользователю, что дело швах владелец... большой текст свёрнут, показать | | |
|
|
|
|
|
|
| 1.27, DmA (??), 10:32, 10/12/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Кто боится давления со стороны Lets по блокировке неугодных сайтов или МИТМ атакам, то это же tcp/ip -всегда можно сделать некую автономную структуру внутри определённой территории (дома,села, города или района) без всякой цензуры!
| | |
| |
| 2.35, Аноним (-), 17:35, 10/12/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> всегда можно сделать некую автономную структуру внутри определённой территории (дома,села, города или района) без всякой цензуры!
и как её сделать?
| | |
|
| 1.33, None (??), 13:50, 10/12/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
46 миллионов сертификатов, 3 млн долларов...
Это 6,5 центов за сертификат себестоимость получается.
| | |
| 1.44, Аноним (-), 00:03, 11/12/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
не удивлюсь, если все закрытые ключи давно у америкосов в папочке лежат. шифровать этими ключами что-то важное с точки зрения американца нельзя.
| | |
| |
| 2.45, Аноним (-), 04:22, 11/12/2017 [^] [^^] [^^^] [ответить]
| +4 +/– |
Закрытые ключи корневых сертификатов? Если имел в виду тех, что выдаются пользователям, то LE твои закрытые ключи не видит и не получает, ты генерируешь их у себя сам, LE только подписывает открытые ключи своим закрытым.
| | |
| 2.51, Аноним (-), 13:27, 11/12/2017 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> не удивлюсь, если все закрытые ключи давно у америкосов в папочке лежат
У жидомасонов же.
| | |
| 2.64, Led (ok), 22:26, 11/12/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > не удивлюсь, если все закрытые ключи давно у америкосов в папочке лежат.
В мамочке же, вендодятел!
| | |
|
|
