| 1.1, A.Stahl (ok), 12:17, 03/01/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –22 +/– |
 Зашёл, увидел что никто ещё не отписался и попробовал написать какую-то злую шутку.
Но, блин, проект настолько со всех сторон хорош, что ничего саркатического не придумалось.
Вот этим он и плох. Плох тем, что в него даже плюнуть нет повода.
Фух, нашёл таки изъян. Аж полегчало.
| | |
| |
| 2.2, Аноним (2), 12:24, 03/01/2019 [^] [^^] [^^^] [ответить]
| +7 +/– |
Заходит как то в бар по https бесконечное число математиков, а бармен им и говрит: Let's Encrypt!
Умом не блещу, простити.
| | |
| |
| 3.68, Аноним (68), 23:59, 03/01/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Заявка на и получение сертификата - тебя Д Е А Н О Н И М И З И Р У Е Т
| | |
|
| 2.5, Аноним (5), 12:41, 03/01/2019 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Я тебе помогу, смотри:
"Глобальная централизованная цензура, подконтролем небольшой уютненькой конторки) Зато с иллюзией безопасности)."
| | |
| |
| 3.14, Аноним (14), 13:08, 03/01/2019 [^] [^^] [^^^] [ответить]
| +5 +/– |
ой. 100500 удостоверяющих центров. И даже бесплатные сертификаты много кто выдает
| | |
| |
| 4.27, Аноним (27), 14:55, 03/01/2019 [^] [^^] [^^^] [ответить]
| +/– |
Зловреды имеют реальные сертификаты. Штыри имеют реальные сертификаты. Совместными усилиями этих как бы противоположностей система сертификации полностью дискредитирована. Вывод - баловство все это. ... Ну кому-то надо было крикнуть: "А король-то голый!"
| | |
| |
| 5.99, Аноним (99), 14:15, 04/01/2019 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Зловреды имеют реальные сертификаты.
А не должны? Шифрование трафика не про безопасность сайта. Шифрование трафика про безопасность передачи данных между клиентом и сервером. Зеленый замок показывает, что данные по пути не доступны посторонним.
Если ты собрался бороться со зловредами, то борись на уровне доменов и их регистрации. Если есть домен, то владелец должен иметь возможность получить сертификат для шифрования. Цензура на уровне выдачи сертификатов не нужна, и глупо агитировать за введение. Ударит она не только по зловредам уже (как 282). Что там сервер хостит, не CAбачье дело, их дело подтвердить контроль над доменом и выдать сертификат шифрования.
> Штыри имеют реальные сертификаты.
Кто?
| | |
| |
| 6.100, Иван Семеныч (?), 14:54, 04/01/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Шифрование трафика про безопасность передачи данных между клиентом и сервером
С этим и ssh справляется, без всяких удостоверяющих центров. А HTTPS ещё и подтверждает, что сервер -- тот за кого себя выдаёт.
| | |
| |
| 7.116, Аноним (116), 19:49, 05/01/2019 [^] [^^] [^^^] [ответить] | +1 +/– | В ssh ты соединяешься со знакомым тебе сервером, возможно даже подконтрольным У... большой текст свёрнут, показать | | |
| |
| 8.129, пох (?), 16:16, 11/01/2019 [^] [^^] [^^^] [ответить] | +/– | алиса, это сервер, сервер - это алиса если тебя не интересует реальная безопасн... большой текст свёрнут, показать | | |
|
|
|
|
| 4.36, EHLO (?), 16:05, 03/01/2019 [^] [^^] [^^^] [ответить]
| +5 +/– |
Выдаёт кто угодно, а забанить глобально может одна шарага. Максимум полторы.
| | |
|
| 3.48, rshadow (ok), 18:09, 03/01/2019 [^] [^^] [^^^] [ответить]
| +5 +/– |
 Вот прилетят рептилоиды, а у вас тут всего лишь какой то сран*й https для защиты Земли.
| | |
|
| 2.15, Аноним (-), 13:10, 03/01/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Зашёл, увидел что никто ещё не отписался
Сообщение от opennews (ok), 03-Янв-19, 12:17
Сообщение от A.Stahl (ok), 03-Янв-19, 12:17
Не все мониторят опеннет в режиме реального времени, лишь бы оставить свое «первый|-|ах».
> и попробовал написать какую-то злую шутку. Но, блин, проект настолько со всех сторон хорош, что ничего саркатического не придумалось.
И далеко не у всех начианает зудеть чуть пониже спины, если не удается отметится в новости.
| | |
| |
| 3.39, Аноним (39), 17:04, 03/01/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Сообщение от opennews (ok), 03-Янв-19, 12:17
> Сообщение от A.Stahl (ok), 03-Янв-19, 12:17
Сама новость датирована 03.01.2019 11:48
Время первого сообщения, это не время новости, а время начала обсуждения. Дата первого ответа и исходного сообщения всегда совпадают.
| | |
|
| 2.28, OpenEcho (?), 15:02, 03/01/2019 [^] [^^] [^^^] [ответить]
| –7 +/– |
Сидят Цукерберг(Ц) с Брином(Б), пиво пьют:
Ц- Ок, безмозглое стадо загнали в стойло, а че делать с параноиками ?
Б- Надо делать то же самое что и с общим стадом, дать им на халяву что нибудь, то что они любят...
Ц- Кажется они пекуться сильно о их приватных данных которые наxеp никому не уcрались...
Б- Так давай им дадим шифрование, один хер с нашими мощностями если надо, то ломанем...
Ц- Классная идея... Давай, я найду хомяков и оплачу им поддержку центра сертификации SSL
Б- Ок, а я тогда возьму на себя где хранить certificate transparency, нам ведь нужна статистика, мета и граф, а параноикам видимость честности.
Ц- Ок, то что надо, и волки сыты и овцы целы, на том и порешим, куда мотнемся теперь кайфануть...
| | |
| |
| 3.50, rshadow (ok), 18:11, 03/01/2019 [^] [^^] [^^^] [ответить]
| +/– |
Это сработало бы, но они сами относятся либо к первому, либо ко второму типу =) Круг замкнут.
| | |
| 3.102, Аноним (102), 20:06, 04/01/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
Дело в том, что ssl в большинстве случае - это шапочка из фольги для скрытия ничего не значащих данных типа обсуждения погоды на сегодня. Ну и помогает это лишь от случайных "хакеров". Опасность социальных сетей в том, что люди добровольно сдают себя службам на 3 буквы, тщательно расписывая свои интересы, контакты, своё прошлое, настоящее и планы на будущее. Потому сами по себе центры SSL-сертификации совсем не опасны, а вот от поведения, характерного для соц. сетей, это ну никак не спасёт.
| | |
| |
| |
| 5.127, freehck (ok), 17:35, 09/01/2019 [^] [^^] [^^^] [ответить] | +/– |  Ну-ну, вы думайте, какие советы даёте Выставлять это глобально -- очень плохая ... большой текст свёрнут, показать | | |
| |
| 6.128, OpenEcho (?), 22:01, 10/01/2019 [^] [^^] [^^^] [ответить]
| +/– | |
>Ну-ну, вы думайте, какие советы даёте. Выставлять это глобально -- очень плохая затея.
Да согласен 100%, просто из полезной фичи сделали каку, покупать и ходить в банк онлайн все же реже, чем просто бродить в нете.
Для банков и покупок вообще-то надо держать отдельный профиль, а для всего остального все же лучше ИМХО прикрыть дыру.
Вот почему то ходить по дому в трусах, а на работу в костюме - это нормально, а вот держать раздельные учетки экаунтов или профилей - ну это просто страшно аж как тяжело для народа.
| | |
|
|
|
|
| 2.124, Sirota (ok), 04:43, 07/01/2019 [^] [^^] [^^^] [ответить]
| +/– |
 Кто-нибудь остановит эту свинью Шталя?
Оно везде, как протечка канализации.
| | |
|
| |
| |
| 3.16, Онаним (?), 13:12, 03/01/2019 [^] [^^] [^^^] [ответить]
| –11 +/– |
Не вижу смысла плясать вокруг автопродления и прибиваться гвоздями к сторонней системе, если ныне за $5-$8 можно купить сертификат на год (а на 2-3 выйдет ещё дешевле).
| | |
| |
| |
| |
| |
| 7.23, Онаним (?), 13:56, 03/01/2019 [^] [^^] [^^^] [ответить]
| –5 +/– |
Потом это извращение с 6 инженерами сломают, и оно наавтовыдаёт вайлдкардов на чужие домены. Нахер.
| | |
| |
| 8.24, Онаним (?), 14:06, 03/01/2019 [^] [^^] [^^^] [ответить] | –3 +/– | Вообще это один из редких случаев, когда доверия к крупным корпорастам с их неме... текст свёрнут, показать | | |
| |
| 9.38, имя (?), 16:59, 03/01/2019 [^] [^^] [^^^] [ответить] | +1 +/– | Ага, как к примеру симантек которого все браузеры забанили, ибо админка была с д... текст свёрнут, показать | | |
| |
| 10.49, . (?), 18:10, 03/01/2019 [^] [^^] [^^^] [ответить] | –7 +/– | главное - верь симантек плахой, плахой, а вот у шести инженегров транспаренсия ... текст свёрнут, показать | | |
| |
| 11.67, .. (?), 23:58, 03/01/2019 [^] [^^] [^^^] [ответить] | +/– | И как оно это фиксирует А в других местах не спрашивают кто ты такой совсем Бе... текст свёрнут, показать | | |
| |
| 12.92, . (?), 13:15, 04/01/2019 [^] [^^] [^^^] [ответить] | –1 +/– | а других я меньше склонен подозревать в том, что ответы они сольют гуглю - был, ... большой текст свёрнут, показать | | |
|
|
|
|
| |
| 9.56, _ (??), 18:42, 03/01/2019 [^] [^^] [^^^] [ответить] | +5 +/– | Нет сынок, не хватило бы Почитай в энторнетах про 24 7 и про 5-6-7 девяток, зач... текст свёрнут, показать | | |
|
|
|
| 6.53, Ключевский (?), 18:29, 03/01/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
certbot, не поверишь. Certbot и API твоего провайдера DNS. Все прекрасно работает.
| | |
| |
| 7.58, хотел спросить (?), 22:06, 03/01/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Unfortunately, namecheap’s API is not supported in DNS validation, which means you need to enter the DNS records manually. (And renew manually)
Here are the steps. (From certbot.eff.org 197)
certbot --manual --preferred-challenges dns (and it will output the txt records you need to add)
(Remember, it’s two DNS records instead of one!)
| | |
| |
| 8.104, А (??), 21:12, 04/01/2019 [^] [^^] [^^^] [ответить] | +/– | Нормальный днс не осилить арендовать или поднять Даже есть специальные днс-серв... текст свёрнут, показать | | |
|
|
|
|
| 4.30, . (?), 15:09, 03/01/2019 [^] [^^] [^^^] [ответить]
| +/– | |
э, хде, за 5-8? Или там опять какие-то перепродаваны, "вчера еше были по три, а сегодня только по 50" ?
| | |
| |
| 5.37, Онаним (?), 16:20, 03/01/2019 [^] [^^] [^^^] [ответить]
| +/– |
gogetssl.com
Естественно, всё когда-то кончится, но пятый год уже по $5-$8 - и это не "распродажа", а стабильный ценник.
| | |
| |
| 6.41, имя (?), 17:08, 03/01/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ну да, лучше заплатить и довериться какому-то nonamessl, чем проекту где всё прозрачно и бесплатно.
| | |
| |
| 7.46, . (?), 18:03, 03/01/2019 [^] [^^] [^^^] [ответить]
| –2 +/– | |
да, вы ж так любите все бесплатное
все прозрачно, ага - кроме того, с чего это их такой вдруг альтруизм-то обуял, и почему под зачистку попали ВСЕ достойные конкуренты, совпадение, ну конечно же, просто совпадение.
Как и создание гуглезилой совершенно невыполнимых условий для появления новых CA.
| | |
| 7.70, Онаним (?), 00:04, 04/01/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
gogetssl - реселлер, который за $5 ребрендит comodo (а "родной" такой же серт от комодо у них стоит порядка $8), всё равно куда менее ноунейм, чем летсенкрипт
| | |
| |
| 8.90, Э (?), 12:30, 04/01/2019 [^] [^^] [^^^] [ответить] | +2 +/– | В 5 вайлдкард тоже входит Я зашел на их сайт, там какие-то 45 за вайлдкард ... текст свёрнут, показать | | |
| |
| 9.93, . (?), 13:18, 04/01/2019 [^] [^^] [^^^] [ответить] | –2 +/– | ну то есть тебя жаба жмет даже за пятерку на сайт, ты еще дешевле хочешь ибо ва... текст свёрнут, показать | | |
|
|
|
| 6.45, . (?), 18:00, 03/01/2019 [^] [^^] [^^^] [ответить] | –2 +/– | ну я это и подозревал - там проблема, что сертификаты они перепродают причем до... большой текст свёрнут, показать | | |
| |
| 7.71, Онаним (?), 00:06, 04/01/2019 [^] [^^] [^^^] [ответить]
| –3 +/– |
Thawte - это "стрёмный CA". По сравнению с LE. Я вас понял.
Ну и конечно же, LE нигде никаких данных не хранит, альтруисты. Коммерческие CA хотя бы явным образом денег за выпуск сертов получают, а вот насчёт источника доходов LE я бы посомневался.
| | |
| |
| 8.94, . (?), 13:22, 04/01/2019 [^] [^^] [^^^] [ответить] | +1 +/– | так нет же ж уже никакого thawte, корпорация правильных вещей зобанила вместе с ... текст свёрнут, показать | | |
|
| 7.98, Аноним (99), 13:45, 04/01/2019 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Кому надо шифрование - современный js вполне способен его обеспечить - end2end, и совершенно независимо от нашлепок над tсp.
Ого, какой петросян нашелся. А как ты изначальный js передашь неизменным без нашлепок над tcp? Через libastral?
| | |
|
|
|
|
|
|
| |
| 2.9, Аноним (5), 12:59, 03/01/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
В новом дивном коммунистическом мире успешность измеряться будет не в деньгах)
| | |
| 2.12, Аноним (12), 13:07, 03/01/2019 [^] [^^] [^^^] [ответить]
| –4 +/– |
Не волнуйтесь, наверняка уже. Продают бигдату о серверах и используемом на них софте, а может и поинтереснее вещи. Автоматизация смены сертификата требует рут, все как на ладони.
| | |
| |
| |
| |
| 5.115, OpenEcho (?), 16:28, 05/01/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> В чем отличие от acme.sh, не подскажете?
Да в принципе - ни чем, за исключением того, что провести аудит кода легче с 200 строчками на питоне, вместо 6288 на shell-e
| | |
| |
| 6.122, Аноним (122), 19:38, 06/01/2019 [^] [^^] [^^^] [ответить]
| +/– |
Есть dehydrated с 1782 строчками на шелле, которые умеют больше (например, проверка доменов через DNS и создание закрытого ключа для новых/обновляемых сертификатов), чем те 200 на питоне.
| | |
| |
| 7.126, OpenEcho (?), 16:11, 09/01/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Есть dehydrated с 1782 строчками на шелле
dehydrated написан на баше. На башизмах. Если уж нужна многофункциональность, то лучше уж acme.sh, который работает на чистом sh
| | |
|
|
|
|
| 3.57, . (?), 19:23, 03/01/2019 [^] [^^] [^^^] [ответить]
| +/– |
вот не надо о них такую хрень думать.
ocsp они продают - то есть на сайте может не быть гуглоаналитики, но твой заход на него, пусть и не с точностью до урла, уже посчитан и добавлен к твоей истории.
| | |
| |
| 4.91, Klk (?), 12:58, 04/01/2019 [^] [^^] [^^^] [ответить]
| +/– | |
Про OCSP Stapling на стороне сервера слышали, не?
А у себя в браузере запросы OCSP сами выключайте, если на сервере настроен stapling - OK, если нет - нечего отчитываться куда ходили.
| | |
| |
| 5.95, . (?), 13:28, 04/01/2019 [^] [^^] [^^^] [ответить] | +1 +/– | слышал, но в моем сервере ресолвера и прочей опасной хрени, извините, не будет п... большой текст свёрнут, показать | | |
|
|
| 3.117, Аноним (117), 19:54, 05/01/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Автоматизация смены сертификата требует рут, все как на ладони.
Кто ж вам такую чушь сказал?
| | |
|
|
| |
| |
| 3.33, _ (??), 15:56, 03/01/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Да всё нормально, в малоизвестной лавочке Sun к примеру было правило что региональный офис мог иметь столько инженеров, сколько Лямов в год оне зарабатывают. Ещё тех баксофффф 🧐
| | |
|
|
| 1.11, Аноним (14), 13:06, 03/01/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>В планах также упоминается подготовка для nginx модуля для автоматизации получения и обслуживания сертификатов с использованием протокола ACME
Зачем добавлять глюки и тормоза nginx если webroot работает сразу и хорошо.
| | |
| |
| |
| 3.40, имя (?), 17:05, 03/01/2019 [^] [^^] [^^^] [ответить]
| +4 +/– |
Какой бэкдор, опенсорц же? Скорее у вас бэкдор мозга.
| | |
| |
| 4.80, Аноним (80), 07:28, 04/01/2019 [^] [^^] [^^^] [ответить]
| –2 +/– | |
>Какой бэкдор, опенсорц же?
А ты, конечно же, перед каждым обновлением _лично_ вычитываешь весь код системы?
| | |
| |
| 5.82, .. (?), 09:00, 04/01/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
А давайте тогда всех подозревать в бэкдорах, и нгинкс, и линь и все остальные опен сорц проекты.
Верить только тем только у кого закрытый исходный код, ведь они продают его за деньги, а значит частные и бэкдоров там нет.
| | |
| |
| 6.103, Аноним (103), 20:31, 04/01/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
Заявлять об открытости софта, о возможности проверить его на вредоносный код.
@
Не читать его код, ведь надо просто верить в непогрешимость опенсорса.
Это уже что-то из разряда сектантства получается.
| | |
|
| 5.112, Atlz (?), 10:49, 05/01/2019 [^] [^^] [^^^] [ответить]
| +/– |
Зачем весь? Достаточно вычитать изменения с прошлого обновления.
| | |
| 5.113, Аноним (113), 13:14, 05/01/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Зря анона заминусили. Безопасность опенсорса мнимая. Из тысячи скачавших сотня заглянет в сорцы ради интереса, только десяток будет читать код, из них двое-трое поймут, о чем там вообще идет речь. Если они будут достаточно сознательны, то запостят о найденном майнере, если нет - ваши проблемы. В конце концов это опенсорс, и вам тут никто ничего не обязан.
| | |
| |
| 6.123, Аноним (122), 19:57, 06/01/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> двое-трое поймут, о чем там вообще идет речь
И хорошо, если из этих двоих-троих хотя бы один удосужится проверить соответствие бинарника(-ов) прочитанным исходникам.
Да и отсутствие условного майнера в условном nginx-е не означает "чистоты" кода сторонних библиотек. Так что либо параноить с вычиткой кода *всех* компонентов системы и самостоятельной их сборкой, либо полагаться на всё ту же честность разработчиков и мейнтейнеров. Опенсорс даже от "secutiry through obscurity" не полностью защищает, о гарантиях безопасности и говорить нечего — их нет.
| | |
|
|
|
|
|
| 1.19, Аноним (19), 13:19, 03/01/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
читаю комменты, сообщество обслуживающего системы персонала нынче не то.
| | |
| |
| 2.42, Аноним (42), 17:10, 03/01/2019 [^] [^^] [^^^] [ответить]
| +/– |
В кино нет иконки HTTPS Everywhere красного цвета, ставьте мою мне и минус чуваку выше.
| | |
| 2.43, Аноним (42), 17:11, 03/01/2019 [^] [^^] [^^^] [ответить]
| +/– | |
Попытка номер 2 :(
У кого нет иконки HTTPS Everywhere красного цвета, ставьте плюс мне и минус чуваку выше.
| | |
| |
| |
| 4.62, Аноним (62), 23:19, 03/01/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Т9?
Жестчайшее :) Да и не привык ещё, постоянно забываю после написания проверять, что он мне там наугадывал.
| | |
|
|
|
| 1.32, Это я (?), 15:26, 03/01/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
ECDSA же небезопасен по причине наличия бэкдора... Или тут эта уязвимость не критична?
| | |
| |
| |
| |
| |
| 5.86, Аноним (86), 10:32, 04/01/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
Это алгоритм ГПСЧ. Е ECDSA у него общее лишь то, что и там и там используется математика эллиптических кривых.
| | |
| |
| |
| 7.111, хотел спросить (?), 02:39, 05/01/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Только этот ГПСЧ является частью стандарта для ECDSA.
Уже не является
В OpenSSL реализованы все части NIST SP 800-90A, включая Dual_EC_DRBG, несмотря на его сомнительную репутацию. При этом создатели OpenSSL отметили, что они стремятся сделать OpenSSL полным и поэтому реализуют даже небезопасные алгоритмы. OpenSSL не использовал Dual_EC_DRBG по-умолчанию, и в 2013 году было обнаружено, что реализация OpenSSL Dual_EC_DRBG не работает и никто не мог ее использовать.[18]
Брюс Шнайер сообщил в декабре 2007 года, что Майкрософт добавила поддержку Dual_EC_DRBG в Windows Vista, хотя по умолчанию она не включена, и Шнайер предупредил о потенциальном бэкдоре.[26] Windows 10 и более поздние версии будут заменять вызовы Dual_EC_DRBG на вызовы генератора на основе AES.[27]
9 сентября 2013 года, из-за информации полученной от Сноудена, а также из-за доклада New York Times о бэкдоре в Dual_EC_DRBG, NIST объявил, что переиздает SP 800-90A и открывает SP 800-90B/C для общественного обсуждения. Сейчас NIST «настоятельно рекомендует» не использовать Dual_EC_DRBG.[28][29] Публикация бэкдора в принятом стандарте стало для NIST серьезным конфузом.[30]
RSA Security сохранила Dual_EC_DRBG как генератор по умолчанию в BSAFE даже после того, как бэкдор стал широко известен. После широко распространившегося беспокойства по поводу бэкдора была предпринята попытка найти программное обеспечение, которое использовало Dual_EC_DRBG, среди которого выделялся BSAFE. В 2013 году, начальник службы безопасности RSA Сэм Карри предоставил сайту Ars Technica обоснование выбора ошибочного стандарта Dual_EC_DRBG по умолчанию по сравнению с альтернативными генераторами.[31] Техническая часть заявления широко критиковалась криптографами.[32] 20 декабря 2013 года агентство Reuters сообщило, что RSA принял секретный платеж в размере 10 миллионов долларов от АНБ, чтобы установить Dual_EC_DRBG по умолчанию в двух продуктах шифрования.[23][33]
| | |
|
|
|
|
| 3.84, Это я (?), 09:07, 04/01/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Погуглите по этой фразе: "Dual EC: A Standardized Back Door".
| | |
|
| 2.51, . (?), 18:12, 03/01/2019 [^] [^^] [^^^] [ответить]
| +/– |
конечно некритична - пропихивают-то ее именно те, кто этот бэкдор придумали.
| | |
|
| 1.59, Аноним (59), 22:23, 03/01/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
горькими слезами плачут глупые турки из comodo - их тупо заменили на shell script
| | |
| |
| 2.97, . (?), 13:34, 04/01/2019 [^] [^^] [^^^] [ответить]
| +/– |
наоборот - им поубивали всех конкурентов.
но они, конечно, догадываются, кто будет следующим.
| | |
|
| 1.65, Аноним (64), 23:41, 03/01/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Да тут сотрудники провайдеров все слезами заливают. У них то https в каждой бочке бигдату уводит. ESNI и остатки уведет.
>Certificate Transparency
А тут пора самим УЦ повеситься на древе Меркла. Дюпами барыжить рожки обломаются.
| | |
| |
| 2.72, Онаним (?), 00:10, 04/01/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Конкретно мы абонентский трафик за исключением случаев диагностики никак не анализируем, и вообще за это могут по голове настучать очень больно. За РФ не скажу, может у вас это принято.
| | |
| |
| 3.96, . (?), 13:31, 04/01/2019 [^] [^^] [^^^] [ответить]
| +/– |
у крупных не принято, дорого и нафиг не надо.
А васян-провайдер может, конечно, и содержимым юзерского траффика приторговывать, demdex там или еще что. У него каналы слабенькие, тотальная слежка недорого встанет.
| | |
|
|
| 1.66, Аноним (68), 23:58, 03/01/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
Заявка на и получение сертификата - тебя Д Е А Н О Н И М И З И Р У Е Т
| | |
| |
| 2.74, Аноним (64), 01:05, 04/01/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
https = анонимность ну ты это титан логики и чтения мануалов угу.
| | |
| 2.87, Аноним (86), 10:38, 04/01/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
Заявка состоит из публичного ключа для его подписи, публичного ключа аккаунта и адреса электронной почты, которые никак на деле не используется, а потому не обязан быть реальным. По факту, это такой description ключа аккаунта для отзыва сетификата, который из-за потенциального задела на будущее должен иметь формат адреса электронной почты.
| | |
| |
| 3.89, GG (ok), 12:25, 04/01/2019 [^] [^^] [^^^] [ответить]
| +/– |
 Адрес почты используется как минимум чтобы напоминать о заканчивающихся сертификатах тем недоадминам, которые не осилили автоматизировать их обновление.
| | |
|
|
| 1.101, Monster (?), 19:26, 04/01/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
тут, похоже, собрались крутые спецы по LE.. :)
Вопросик, парни: я так и не смог победить автопродление wildcard сертификата.
С моим паршивым знанием наглийского, читая инструкции с оффсайта LE, сделал вывод что это невозможно.
Я правильно понял, или всё-таки можно настроить автопродление wildcard?
Если можно - не обломайтесь ткнуть в ссылку или хотя бы в ключевые слова, мне не удалось найти способа.
| | |
| |
| 2.106, А (??), 21:16, 04/01/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
В acme.sh есть, к примеру, скрипты работы с днс-провайдерами, и автопродление они умеют. Вы пробовали его?
| | |
| |
| 3.107, Monster (?), 00:54, 05/01/2019 [^] [^^] [^^^] [ответить]
| +/– |
мммм... нет.
Они умеют автопродление именно wildcard?
У меня в процессе сначала требуется залить в зону запись, потом организовать веб со специфическим урлом для проверки. - Я использую certbot.
Как-то так сложилось, что первый мануал по LE был по нему. И всё практически сразу заработало. И работало, пока LE не разрешили wildcard. И теперь раз в 3 месяца у меня возникает желание от wildcard отказаться - но с кучей сертов много больше возни.
Все варианты автоматического продления, что удалось найти в инетах - относятся к простым сертификатам.
За наводку - спасибо, поковыряю. Я не великий (пока) спец в скриптах, опасаюсь запускать то, что не понимаю. К сожалению, понимаю пока далеко не всё.
| | |
| 3.108, Monster (?), 01:43, 05/01/2019 [^] [^^] [^^^] [ответить]
| +/– |
Да, судя по описанию пакета acme.sh - Вы правы.
и поиск по acme.sh дал ссылку на гайд. Правда, надо настроить динамическую зону на bind (ни разу ещё не пробовал), и как-то не совсем понятно там... но это из-за слабого знания языка и общей моей "не в темности". Поэксперементирую.
Ещё раз спасибо за наводку!
| | |
|
| 2.118, Anonim (??), 04:07, 06/01/2019 [^] [^^] [^^^] [ответить]
| +/– |
Подтверждение сертификатов на звезду на данный момент работает только через DNS авторизацию. Соотв читать как настроитиь DNS авторизацию автоматом в вашем любимом выписываетеле сертификатов для ЛЕ.
Я не знаю настолько хорошо петон, чтобы проверить код их бота для выписки (дла еще со всеми зависимостями) и дать ему права на изменения в своем DNSе и своем Вебе, поэтому нашел давно уже dehydrated (когда он еще носил девичью фамилию letsencrypt.sh), прост как пробка, написан на шеле, зависимости только от небольшого количества достаточно стандартных Unix утилит, вся авторизация которая сложнее чем положить файл для веб авторизации, а также для дерганья вашего любимого веб (да и не обязательно веб) сервера делается через внешние хуки. В интернете легко находятся варианты для всяких популярных DNS сервисов и веб сервсисов, амазонов итд итп. т.к. я ими не пользуюсь, по писал сам. там не сложно написать свой хук на все что угодно. (хук писать нат шеле не обязательно, внешняя программа с известными параметрами, на чем вы её напишите - ваше дело.) При этом у хука не обязательно должны быть права напрямую дергать как ДНС так и веб сервер :) что мне особенно нравится. Например сертификаты я после дополнительной проверки раскладываю папетом.
есть также помянутый уже acme.sh, он посложнее, там тоже есть дергалки на всякие популярные DNSы итд..
| | |
| |
| 3.119, пох (?), 11:43, 06/01/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
"читать как настроить в dns кучу дырявого и опасного функционала, которого просто не должно быть в статичных внешних зонах, исключительно для удовлетворения шантажистов из гугля и около".
или вы руками файл зоны переписываете? (ну, в смысле , ваш скрипт именно его редактирует, а не пользуется динамикой)
| | |
| |
| 4.120, Anonim (??), 13:12, 06/01/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
мой переписывает специально для него заточенный инклюд и релоадид зону. Исключительно потому, что у меня нет динамических зон. Можно сделать и динамический апдейт. Кажется я даже примеры видел такие для бинда. Если понимать, как работает апдейт, то не вижу в чем проблема сделать через апдейт.
Причем у меня это делает не хук, хук кладет куда надо задание, внешний скрипт его подхватывает, проверяет на "вшивость" и только по прохождении проверки делает изменения. (причем на совсем другом хосте, чем крутится выписывальщик сертификатов). Хук ждет положенное время и проверяет, что данные появидись на NSax и только по появлению нужного ответа возвращается к проверке. Если данные почемуто не появились, то шлет писмо мне и фейлится.
| | |
| |
| 5.121, . (?), 14:00, 06/01/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> мой переписывает специально для него заточенный инклюд и релоадид зону.
а, то есть вы пошли самым сложным путем.
ну да, когда-нибудь примерно так и придется делать. Платить комоде, с ее-то "честностью", за * просто глупо, да и они рано или поздно попадут под каток.
| | |
| |
| 6.125, Arch (?), 17:12, 07/01/2019 [^] [^^] [^^^] [ответить]
| +/– |
Есть так-то GlobalSign и Entrust еще. Вроде помирать не собираются. В том же LeaderSSL берете (реселлер) и все.
| | |
|
|
|
|
| 2.130, Subcreator (ok), 20:09, 13/01/2019 [^] [^^] [^^^] [ответить]
| +/– |
 "Автопродление wildcard сертификата."
Не работает оно. certbot и acme.sh - точно!
В acme багрепорт тупо закрыли.
| | |
|
|
