По статистике (https://nettrack.info/ssl_certificate_issuers.html) NetTrack более 36% HTTPS-сайтов в сети используют сертификаты, выданные некоммерческим удостоверяющим центром Let’s Encrypt, контролируемым сообществом и предоставляющим сертификаты безвозмездно всем желающим. На текущий момент службой Let's Encrypt выдано (https://letsencrypt.org/stats/) 46 млн сертификатов, охватывающих около 60 млн доменов. На втором месте удостоверяющий центр COMODO (19%), а на третьем GeoTrust (11%).
Общая доля запросов страниц по HTTPS составила 65%, судя по статистике, полученной в рамках работы сервиса Firefox Telemetry. Для сравнения, два года назад при запуске проекта Let’s Encrypt этот показатель составлял 40%, а в начале 2017 года достиг значения в 50%.По статистике (https://www.google.com/transparencyreport/https/metrics/?hl=en) Google доля страниц, открытых по HTTPS, составляет от 68% до 86% (ChromeOS - 86%, macOS - 84%, Linux - 82%, Windows - 80%, Android - 68%).
Дополнительно можно отметить объявление (https://groups.google.com/forum/#!msg/mozilla.dev.security.p...) о сворачивании деятельности удостоверяющего центра StartCom, владельцы которого решили не возвращать к жизни сервис, который утратил доверие ведущих производителей браузеров, принявших решение исключить его корневой сертификат их своих хранилищ, после выявиления серьёзных нарушений (https://www.opennet.ru/opennews/art.shtml?num=45368). Деятельность StartCom будет остановлена начиная с 1 января 2018 года, но работа служб CRL и OCSP будет осуществляться ещё два года до окончании времени действия корневого сертификата. Доля сертификатов StartCom оценивается (https://nettrack.info/ssl_certificate_issuers.html) в 0.02%, в то время как год назад данное значение составляло (https://w3techs.com/technologies/history_overview/ssl_certif...) 2% (шестой по величине удостоверяющий центр).
URL: https://news.ycombinator.com/item?id=15744359
Новость: http://www.opennet.ru/opennews/art.shtml?num=47598
А кого-то это удивляет? Халявные сертификаты, еще и с готовыми скриптами для обновления оных.
Ну у них ОЧЕНЬ странная и неудобная концепция. Вместо того чтобы купить сертификат на год и забыть, надо настраивать какие-то скрипты обновления, иначе твой сертификат превратится в тыкву.
Что тут неудобного? Что ручных действий мало?
Даже мне, криворукой макаке, удалось настроить скрипты автообновления без особых проблем. А уж если вы профессионал, можете сервер поднять и сайт настроить, то сложностей не возникнет.
> Даже мне, криворукой макаке, удалось настроить скрипты автообновления без особых проблем.
> А уж если вы профессионал, можете сервер поднять и сайт настроить,
> то сложностей не возникнет.Устами криворукой макаки глаголит истина! Фэйспалм!
Я просто в панели хостинга поставил галочку "использовать SSL" и выбрал из списка Let's Encrypt. И всё.
Тут скорее логика в том, чтоб не выписывали надолго то, что никому не нужно. Потому и подтверждай каждые пару месяцев.
Да вы, батенька, сами не знаете о чем говорите. Чтобы получить сертификат надо выполнить одну простую комманду. Прописать в конфиге (точно так же как и с покупными) сертификат. А дальше можно забыть, хочешь на пару месяцев, а можно на год, и на два, и вообще. Сабж при установке из пакета сам в себя крон запихивает и сам все полученные сертификаты обновляет. И проще, и удобнее и халява.
У них как раз честно: украли твой серт, так хоть с ним недолго баловаться можно, больше 3 месяцев он не проживет. Ну и им статистика, кто раз хотя бы в 3 месяца появляется - тот живой, а остальных можно из БД стирать.Это вот странно, что публичные платные ЦС продают серты на 3 года, что как бы проще в настройке, но создает дополнительный риск. Ведь не все воровство сертов сразу открывается.
Сейчас под Nginx & Apache есть модули, которые автоматически обновляют сертификаты - вообще напрягаться не нужно
>Халявные сертификаты, еще и сА давайте выясним, кому они вас, хомячков, продают.
"36% рынка", _рынка_ же, Карл!
Приватная часть остается на сервере. Они всего лишь дают CSR. MITM не пройдет.Подобная схема PGP/GPG работает для подписи и шифрования почты уже 100500 лет. Тоже с демонами отправки и валидацией ключей, в том числе и разных почтовых клиентах. Всех, все устраивает.
> Приватная часть остается на сервере.в удобном для всех залезших (включая товарищмайора, просто свинтившего твой диск) нешифрованном виде, да еще и не позволяющая себя зафиксировать и хотя бы сравнить. Без crl, afaik - "а то у пользователя очень долго стартует браузер".
секьюрить, чо.
> Всех, все устраивает.
ибо не ведают, что творят.
в почте, если что, твой пароль от закрытого ключа вовсе не хранится в открытом виде даже на твоем личном компьютере - не говоря уже о сервере где-то на хостинге у хз кого.
> в удобном для всех залезшихЛол. В линуксе 100500 возможностей зашифровать любую информацию, с различной степерью удобства работы с ней. Параноить можно от нуля, до бесконечности.
> в почте, если что
В почте ты вводишь пароль когда хочешь отправить письмо. Это удобно и просто. А веб серверу надо шифровать на каждом запросе. Потому ключики и лежат в доступном виде. Ваш КО.
Ничего не мешает вводить его и на сервере, например при монтировании зашифрованного раздела с ключами. Но так никто не делает ибо на большом кол-ве серверов проще DMZ держать, чем при ребуте пароли/ключи вводить. Или вы про локалхост переживаете?
> Лол. В линуксе 100500 возможностей зашифровать любую информацию, с различной степерью удобства
> работы с ней.и ровно ноль - позволяющих действительно работать, а не делать вид.
(впрочем, есть еще те, где работать можно, информация вроде зашифрована,и все замки исключительно от честнейших людей - которым, например, не придет в голову взломать сервер)> В почте ты вводишь пароль когда хочешь отправить письмо. Это удобно и просто.
пока ты пишешь одно письмо в день.
А когда там корпоративная переписка - то увы, gpg выкидывается нахрен и ставится почтовка, позволяющая пользоваться все теми же сертификатами.
Пароль вводится один раз - при открытии сессии.Нет, если тебе влезли в открытую сессию - у тебя уже совсем другие проблемы, нечего жалеть еще и о закрытом ключе сертификата (радуйся, что хотя бы твой пароль ты не набирал уже в ней).
> Ничего не мешает вводить его и на сервере, например при монтировании зашифрованного раздела с
> ключами.и чем это поможет при перехвате управления сервером или его ns'ом, или что там оно еще умеет использовать в качестве эрзац-проверки выдачи сертификата кому надо, а не на кого Б-г послал?
Повторяю, для плоховидящих: главная проблема летсэнкриптовой дряни в том, что она ломает нахрен доверие сертификату, а не корявому CA с корявым интерфейсом.
Потому что сертификат каждый день новый. И ключ тоже.
> пока ты пишешь одно письмо в день.
> А когда там корпоративная переписка - то увы, gpg выкидывается нахрен и ставится почтовка, позволяющая пользоваться все теми же сертификатами.
> Пароль вводится один раз - при открытии сессии.Добавим к списку не осиленного gpg-agent. Мой почтовик, кстати, его сам умеет запускать, так что можно вообще с умолчальными настройками работать.
> А давайте выясним, кому они вас, хомячков, продают.да че там думать, съ..ть пора!
Кому бы это могло быть выгодно, доломать полностью и бесповоротно возможность доверия _сертификату_, а не мутному "CA" под известно-чьим контролем? Кто ж это у нас кредитец-то от NSA отрабатывает, прямо и не догадаюсь никак... Уж не те ли же ребята, которые и PKP удалили из своего браузера?и главное, хомячки, весело визжа, радостно поддерживают хайп - им же очень нравится запускать кривые скрипты, тянущие в рот непойми что, по крону раз в день.
>> А давайте выясним, кому они вас, хомячков, продают.
> да че там думать, съ..ть пора!
> Кому бы это могло быть выгодно, доломать полностью и бесповоротно возможность доверия
> _сертификату_, а не мутному "CA" под известно-чьим контролем? Кто ж это
> у нас кредитец-то от NSA отрабатывает, прямо и не догадаюсь
> никак... Уж не те ли же ребята, которые и PKP удалили
> из своего браузера?
> и главное, хомячки, весело визжа, радостно поддерживают хайп - им же очень
> нравится запускать кривые скрипты, тянущие в рот непойми что, по крону
> раз в день.Да напишите вы наконец нужные патчи и плагины к основным браузерам, или ждете пока ваши мечты реализуют за вас?
> Да напишите вы наконец нужные патчи и плагины к основным браузерам, илии что _теперь_ должен делать этот патч или плагин?
> ждете пока ваши мечты реализуют за вас?
мечты не видеть больше сайтов с двухнедельным сертификатом - боюсь приравняют к пособничеству террористам.
> и главное, хомячки, весело визжа, радостно поддерживают хайп - им же очень
> нравится запускать кривые скрипты, тянущие в рот непойми что, по крону
> раз в день.Не нравятся скрипты, есть клиент на сях от опенбсдшных разработчиков, реализующий тот же протокол. Еще и с разделением прав, все дела.
И это, совсем без шифрования трафик норовят поиметь вообше все. К тому же приватный ключ от подписываемого сертификата никому не отсылается и именно разломать, именно напрямую - CA все-таки не может. Как максимум может левый серт выписать. Но там и так несколько десятков CA которые это могут. Плюс-минус еще один ничего в этой схеме не меняет. А вот выходки с подменой нешифрованного трафика - зарубаются.
> да че там думать, съ..ть пора!На что интересно? Кривой комод, прославившийся мутными историями и поломаный комодохакером? БезопасТнички. Или ты с барского плеча спонсируешь покупку сертификатов всем желающим у верисайна?
Цена сертификата мало имеет отношение к его надежности.Вот что внушает удивление - что платные (суперплатные!) ЦС за годы (!) так и не построили инфраструктуру, чтобы у них было надежнее, чем у LE. Причем деньги брались как раз за надежность.
И для удобства пользователя приватные ключи генерились в админке на сайте. Бу га га.
> И для удобства пользователя приватные ключи генерились в админке на сайте. Бу
> га га.если взломали админку, логин в нее пользователя, или сам CA - почти уже все равно, как хорошо и надежно ты хранишь свой замечательный ключик на спрятанной в сейф флэшке - я уже твой сертификат перевыпустил, со своим ключиком. Только я что-то не слышал о взломах thawte, verisign, да и проклятого startssl, что характерно. К тому же при этом спасутся те, кто пользуются pkp или просто жестко привязывают сертификат к сайту, не надеясь на добренького CA. И эти возможности гугль надысь помножил на ноль.
А вот если взломали твой сервер или даже не твой сервер, а один из dns-серверов - что гораздо более вероятно - у ребятушек без всякого труда оказывается в руках твой закрытый ключ и сертификат - а если вдруг почему-то не оказывается, они с легкостью перевыпускают со своим ключом. И никто и внимания не обратит - подумаешь, новый ключ, он каждый день новый.
Но вы продолжайте верить в сказку, что у всех криво, дыряво и ненадежно, один летфейкюсерт в шоколаде. Гугль врать не будет, они корпорация бобра!
Вы не понимает о чем говорите. И метод взлома днс не сработает. Просто пригорает: столько лет честно платили и верили, а оказалось за воздух.
> Вы не понимает о чем говорите. И метод взлома днс не сработает.
> Просто пригорает: столько лет честно платили и верили, а оказалось за
> воздух.вы бредите, причем по всем пунктам. Начнем с последнего: цена сертификата (с сабдоменами) startssl == 0. (на самом деле цена любого. денег они брали только за validation - ручную работу по реальной проверке реальных, на бумаге, документов.)
Раз вы даже об этом не в курсе - мы знаем, кто тут "не понимает о чем".
За компанию с Ильей, который не в курсе, зачем вообще нужны CA и что это означает.
Меня может устроить знание что vasyapupkin.com - это vasyapupkin.com, а не что-нибудь еще. Отшмонали ли парни из startcom Васю на предмет документов мне не слишком интересно. Вон comodohacker выписал себе сертификаты на виндовс апдейт. Хотя докумендов Билла Гейтса у него наверное не было.
> А вот если взломали твой сервер или даже не твой сервер, а один из dns-серверов - что гораздо более вероятно - у ребятушек без всякого труда оказывается в руках твой закрытый ключ и сертификат - а если вдруг почему-то не оказывается, они с легкостью перевыпускают со своим ключом.И в чём же принципиальное отличие от других CA? Всегда так было.
> И в чём же принципиальное отличие от других CA? Всегда так было."всегда" было совершенно иначе - вплоть до отправления dhl'ем копий реальных регистрационных документов компании (и нет, не на "зеленый", на обычный сертификат когда-то требовалось). Еще и перезванивали по контактному телефону.
Вся эта муть с упрощенными процедурами и автоугадавами контактного мэйла по ocr'енному выводу whois (это ж надо вообще додуматься-то было, вместо жесткого бана подобных доменов вообще, пока на бумаге документ не предоставят, за деньги, вестимо, не такие для коммерческого сервиса и неподъемные - да, компания при этом больше потеряет чем заработает, но еще больше потеряет - изобретательный не в меру nic) - попытка (нормальных)коммерческих регистраторов угнаться за демпингующим фуфлом.
При этом, второпях, разумеется, наступили на кучу грабель - настолько, что доверие "синеньким" упало ниже плинтуса. Что и вызвало к жизни новую итерацию костылей и подпорок в виде pkp и всяких cert patrol.
Но вот теперь гугль и компания добрались и до них.
Это ты про EV-сертификаты? Ну так они всегда стоили бешеных бабок. Кому они нужны, те их и сейчас покупают. А сабжем пользуются те, у кого и раньше было подтверждение через домен, и те, у кого вообще никакого шифрования не было.
> Это ты про EV-сертификаты?нет. С ev все еще круче- там требуются оригиналы, а не простые копии. В случае, когда оригинал нельзя пересылать в один конец, соответственно - настоящая нотариальная копия, еще и с апостилем. И с переводом, если у CA нет подразделения в твоей стране. Я когда-то возился, тот еще траходром.
А тут ты отправлял копии, но со своей подписью. Смысл действия простой - если обман системы современной "цифровой валидации" - с точки зрения большинства законодательств - невинная детская игра в крысу, то с подписью ты вляпываешься в уже вполне настояющую статью о подделке документов.
так же точно устроены, скажем, манипуляции с доменами в некоторых TLD. Спереть пароль и угнать домен все еще можно, но можно и встрять.
> они нужны, те их и сейчас покупают. А сабжем пользуются те,
> у кого и раньше было подтверждение через домен, и те, утак оно _всегда_ через домен. Потому что в твоем паспорте и свидетельстве о регистрации нет твоего домена ;-) То есть проверки почтой/whois были и в этом случае тоже.
> кого вообще никакого шифрования не было.
я же говорю - зло не в этом. Зло в подставах для конкурентов и окончательной подмены доверия сертификату доверием CA (который еще и сам доверяет хз чему).
> подмены доверия сертификату доверием CAНасмешил, ага. Доверия сертификату без доверия CA быть не может. Это by design так.
> Насмешил, ага. Доверия сертификату без доверия CA быть не может. Это by design так.нет. Вы не владеете темой от слова совсем.
> я же говорю - зло не в этом. Зло в подставах для
> конкурентов и окончательной подмены доверия сертификату доверием CA (который еще и
> сам доверяет хз чему).А нет ли тут оснований для санкций и блокировок в связи с нарушением российского законодательства об нотариальной деятельности?????
Да?
думаешь, пора завести свой, импортозаместительно-государственный? А не помнишь, чуваки из дигинотар (это, если кто не в курсе, был именно такой бизнес) успели срыть с деньгами, или таки нет?А то денех-то в ресурсной федерации на занос гуглю и мазиле должно еще быть.
> А то денех-то в ресурсной федерации на занос гуглю и мазиле должно еще быть.А потом придет очередной comodohacker и "цифровая экономика" у кое-кого всем скопом завалится. Удобно, однако.
Принципиальное отличе в том, что другие СА удостоверяли что сайт на который ты заходишь принадлежит конкретному лицу.LE обещает защиту только от того, что твой трафик непрослушает человек сидящий за соседним столиком кафе, админ кафе, админ провайдера.
> Принципиальное отличе в том, что другие СА удостоверяли что сайт на который
> ты заходишь принадлежит конкретному лицу.Ты халявный сертификат StartSSL ни разу не получал, что ли? Не было там такого. И ни у каких дешёвых сертификатов тоже не было.
Я покупал взрослые сертификаты. Халявные нет, не получал, ибо смысла в них ровно 0.
> Я покупал взрослые сертификаты. Халявные нет, не получал, ибо смысла в них
> ровно 0.Смысл в них точно такой же: браузеры им доверяют в равной степени. Правильно ли они делают — это отдельный вопрос, но если даже и нет, то началось это не с Let's Encrypt.
> Смысл в них точно такой же: браузеры им доверяют в равной степени.Точно так же браузеры могут доверять самоподписанным сертификатам.
Самоподписанный сертификат даже лучше, потому что юзер принимая самосертификат видит кто его выпустил.
LE создает иллюзию безопасности и мозг юзера вообще не выходит из комы.
> Самоподписанный сертификат даже лучше, потому что юзер принимая самосертификат видит кто
> его выпустил.Однако если MITM подсунет свой самоподписанный сертификат - отличить его от правильного невозможно, кроме случая когда ты можешь проверить параметры сертификата где-то сбоку. А LE проверяет что сервер фактически контролируется тем кто запросил сертификат. Теоретически наверное можно попытаться надуть LE и завернуть его на левый сервер. Практически это однако сложно в реализации и малоэффективно из-за короткого времени жизни сертификата. А в случае самоподписанного сертификата - препятствий к всучиванию левого сертификата ноль, да еще браузер орет.
> LE создает иллюзию безопасности и мозг юзера вообще не выходит из комы.
LE показывает что сертификат выпустил владелец сайта который фактически контролирует сервер, а не какой-то левый MITM, с левым сервером, претендующим на то что он - тот сайт.
> Однако если MITM подсунет свой самоподписанный сертификат - отличить его от правильного
> невозможно, кроме случая когда ты можешь проверить параметры сертификата где-то сбоку.возможен простой и банальный вариант - ты не в первый раз заходишь на этот сайт.
Более того, этот вариант правилен и с "честно" заверенным CA любым другим сертификатом. Поскольку страхует тебя от нечестности CA. Но, разумеется, при условии что он перевыпускается редко.> А LE проверяет что сервер фактически контролируется тем кто запросил сертификат.
еще хуже - что домен им контролируется (а сервер могли и свой подсунуть) или частично контролируется.
Что было бы вполне допустимо, будь они нормальным CA и выдавай нормальные сертификаты, а не скоропортящийся вторпродукт.> LE показывает что сертификат выпустил владелец сайта
а вот это - нет. Забавно, что это нужно, оказывается, разъяснять.
> Принципиальное отличе в том, что другие СА удостоверяли что сайт на который ты заходишь
> принадлежит конкретному лицу.нет, DV ничего такого не удостоверяют - ни на каких "других CA" тоже. Включая те, которые все еще требуют твоих документов.
Открываешь любой сайт с DV (yandex.ru годитсо), тычешь в синюю кляксу, и читаешь там: "you connected to этахрень which is run by unknown".
"удостоверение" - это нотариальная деятельность, причем к ней прилагается неиллюзорный шанс попасть на бабки за неверное подтверждение, по факсовой копии паспорта ничего не получится, ее для совсем другого требуют.
Это еще раз подтверждает только то, что yandex фуфловая контора, которая ничего не обещает и с которой если что "взятки гладки".https://online.sberbank.ru/CSAFront/index.do
https://www.tinkoff.ru/login/
> Это еще раз подтверждает только то, что yandex фуфловая конторауроки сделать не забыл?
> https://online.sberbank.ru/CSAFront/index.do
> https://www.tinkoff.ru/login/это EV сертификаты. Cовершенно ненужные нормальному сайту - мне все равно, кем именно run яндекс.
Кстати, ты, наверное, и не хочешь, чтобы твой домашний хомячок палил твои паспортные данные? (оно не получится, разумеется - именно ради защиты privacy EV не выдается частным лицам. Во всяком случае, так формально было озвучено.)
> это EV сертификаты. Cовершенно ненужные нормальному сайтуты им расскажи о ненормальности.
https://www.computeruniverse.ru/
https://www.computeruniverse.net/> Кстати, ты, наверное, и не хочешь, чтобы твой домашний хомячок палил твои
> паспортные данные? (оно не получится, разумеется - именно ради защиты privacyчто за фантазии? при чем тут "не палил" паспортные данные?
> EV не выдается частным лицам. Во всяком случае, так формально было
> озвучено.)вместо того, чтобы защищать паспортные анные их наоборот нужно везде раскидывать, сделать общедоступной инфой. тогда они будут выполнять роль открытого публичного ключа.
но на этом не заработаешь.
> ты им расскажи о ненормальности.это их личный выбор, наверное, у них много лишних денег. Я покупаю ненужное на амазоне, который вполне обходится "синеньким".
> что за фантазии? при чем тут "не палил" паспортные данные?
ну у тебя же нет никакого "computeruniverse gmbh" для каждого своего хомячка? Ну и run by кто мы там должны увидеть, если ты вздумал обзавестись шифрованием? Напрашивающийся вариант - "by Вася Пупкин, проживающий по адресу...паяльник сломался, приносите свой".
> вместо того, чтобы защищать паспортные анные их наоборот нужно везде раскидывать
см выше. там слишком много лишнего. Но идея перестать считать их (а не физически предъявленный и проверенный на подделку сам паспорт, как должно быть) идентифицирующей информацией, в стране где нет даже понятия identity theft - сама по себе хороша. Жаль, не доживем.
>> вместо того, чтобы защищать паспортные анные их наоборот нужно везде раскидывать
> см выше. там слишком много лишнего. Но идея перестать считать их (а
> не физически предъявленный и проверенный на подделку сам паспорт, как должно
> быть) идентифицирующей информацией, в стране где нет даже понятия identity theft
> - сама по себе хороша. Жаль, не доживем.Ты впал в ошибку. Это сертификаты для разных задач.
А где Восайн на графике?
Его даже в последнем абзаце явно не упомянули.
> 37 WoSign CA Limited 0.06%Ё-маё, не ужели он даже китайцем нафиг не сдался?
Там вроде же год назад скандал с прекращением доверия был.
> Там вроде же год назад скандал с прекращением доверия был.Китайцы же Макстором пользуются.
Это же StartCom
стесняюсь спросить - а где он должен быть на графике
"полученной в рамках работы сервиса Firefox Telemetry" ?У тех, кто еще может открыть файрфоксой wosign'овский сайт, а не попасть на КРАСНУЮ страницу заполненную неведомой херней и без кнопки "продолжить", как ты понимаешь, нет и телеметрии.
Поэтому для мазилы их не существует.
>> Общая доля запросов страниц по HTTPS составила 65%Что в этом хорошего?
спокойствие от иллюзии безопасности делает стул крепким, а волосы мягкими и шелковистыми
Как минимум - то, что минимальный уровень сложности вмешательства в обмен данными повышается. И то, что шифрованный трафик выделяется меньше в общем потоке.
Теперь Фраерфокс иногда говорит, что не удалось установить доверенные отношения с каким-нибуть новостным сайтиком. А зачем с ним доверенные отношения устанавливать - непонятно.
> Теперь Фраерфокс иногда говорит, что не удалось установить доверенные отношения с каким-нибуть
> новостным сайтиком. А зачем с ним доверенные отношения устанавливать - непонятно.ты чо, а вдруг он распространяет фейк ньюз?! (ой...то есть наоборот, а вдруг они не фейк?)
> Теперь Фраерфокс иногда говорит, что не удалось установить доверенные отношения с каким-нибуть
> новостным сайтиком. А зачем с ним доверенные отношения устанавливать - непонятно.Обычно это означает что кто-то не в меру хитрозадый пытался подсунуть тебе что-то левое. И скорее всего вредное для здоровья твоего компьютера. Шифрование редко ломают с хорошими целями. Так браузер по крайней мере хрюкает, а без шифрования просто схарчил бы и не пикнул, потому что там вообще не понятно от кого исходят данные.
и никто их не обвиняет в нечестной конкуренции...
Некоммерческую контору, предоставлюящую сервис бесплатно, довольно проблематично в ней обвинить ;-) Хотя лучше б ещё кто таким же манером сертификаты давал - с автоматическим апдейтом, а то треть отожрать - как-то многовато
Если честно то проще комоду за 4 бакса в год покупать, чем ставить на сервер какие-то мутные скрипты с правами рута
а вот отзовут из хрома комод..и че?
когда отзовут тогда можешь мне минус поставить)
Ты бы хоть матчасть почитал - куда там права рута нужны? А не хочешь скрипты чужие юзать, так свой набросай на коленке. Для сайта своей школы, что ли, попробовал бы!Тем более что проверка может быть не только через веб, но и через DNS, и через stateless mode - https://github.com/Neilpang/acme.sh/wiki/Stateless-Mode - так что учите матчасть, а не людей сбивайте.
> Ты бы хоть матчасть почиталА смысл? Дешевле комоду покупать, чем время тратить на это)
>А смысл? Дешевле комоду покупать, чем время тратить на это)С установкой cryptbot'а и получением сертификата можно и быстрее уложиться, чем покупку оформлять.
>>А смысл? Дешевле комоду покупать, чем время тратить на это)
> С установкой cryptbot'а и получением сертификата можно и быстрее уложиться, чем покупку
> оформлять.Так это надо разобраться, а комоду по кривому howto, написанному другим школьником, можно прикрутить быстро.
Правда, настроить бесплатный cloudflare и в нем включить https - еще проще, кажется. Для сайта школы хватит!
> Так это надо разобраться, а комоду по кривому howto, написанному другим школьником,
> можно прикрутить быстро.Для let's encrypt таких хаутушек уже весь гитхаб.
> Правда, настроить бесплатный cloudflare и в нем включить https - еще проще,
> кажется. Для сайта школы хватит!Есть только одна проблема: cloudflare видит весь трафф. Расшифрованным. И вот это не очень хорошо.
>А смысл? Дешевле комоду покупать, чем время тратить на это)Дешевле головной мозг включить, чем время тратить на Комодо.
И в церковь сходи, свечку от взлома поставь. Деньги тоже не большие и никаких мутных скриптов. Защита серверов удвоется!!!
Неосилятор
> Если честно то проще комоду за 4 бакса в год покупатьэто где это тебе такое продают? Мне вот комода предлагает минимальный сертификат за $100/год. (ну ок, 76 если сразу оплатить три)
В нем нет вайлдкардов, и, надо полагать, просто сабдоменов, как у startssl, тоже нет. С * стоит $400.соответственно, это даже не $100 на домен, а где-нибудь 200-300.
Похоже зажралось Комодо ((( я покупал не за 4, но баксов за 10 месяца 3 назад
> Похоже зажралось Комодо ((( я покупал не за 4, но баксов за
> 10 месяца 3 назадмесяца три назад (даже больше) я туда смотрел, не было никаких 10 (ну то есть могли быть какие-то разовые скидки, но это ж неинтересно совсем).
Все те же $99/yr за худшее, чем то что предлагал startssl.
Так стартссл сами себе идиоты, перестали быть ведущими себя достойно - и себя подставили, и всех, кто им верил. Я больше доверять их шарашке не буду, например, а вы можете подождать, что они придумают, и кактус дальше грызть.
А что они предлагают этакого? И в чем их ответственность была вообще проявлена?Вот что у них в бесплатный черт нельзя было больше двух именно прописать - неудобно. Что к ним вход через задницу на сайте был - тоже факт. Что они как застряли со своей панельной в конце 1990-х, так и мучались люди с ней - это вообще нет смысла обсуждать.
LE честно и автоматически делают проверку домена, и дают на него DV черт. Поскольку в браузере не видно, DV или OV у тебя - какая для реальной безопасности разница?
> Так стартссл сами себе идиоты, перестали быть ведущими себя достойнопростите, в чем именно это "достойно"?
Перестали брать деньги за воздух и стали их брать только за реальную работу по проверке документов? Это, конечно же, недостойно, да, не по пацански, надо как комода.> А что они предлагают этакого? И в чем их ответственность была вообще
еще один неосилятор что вообще такое CA и для чего на самом деле придуманы?
> Вот что у них в бесплатный черт нельзя было больше двух именно
> прописать - неудобно. Что к ним вход через задницу на сайтевообще-то и ненужно, совершенно. Два - это типовой случай www.site.com/site.com, чтобы излише параноидальный браузер не пугал пользователей большими красными окнами с бредятиной внутри.
Остальное прекрасно делается через sni, ну а у кого уже сотни непойми-чего-хостов, в которых он сам запутался, пора идти за wildcard'ами - тем более,что стоило это не миллион.
> был - тоже факт.
Вход по сертификату, абсолютно нормально для подобных вещей. Если ты ниасилил - ну это, по-моему, твои проблемы.
> Что они как застряли со своей панельной в конце 1990-х
не стильно, не модно, не по хипстерски, не позволяет из-за ошибки в логике разработчика зарегистрировать github.com, действительно.
Ну вот они бросились срочно улучшизмом заниматься - и вляпались. Причем на те же самые грабли наступала в свое время letsencrypt, но это была кого надо нога, и историю быстро замяли.
А тут - наоборот, специально раздули, хотя никакого реального ущерба и не было - в отличие от всем известных историй с CA, выдававшими свой intermediate - и прекрасно работающими до сих пор.
И даже комода не пострадала, хотя там и помимо этого было чудных историй.> так и мучались люди с ней - это вообще нет смысла обсуждать.
да, мне на мучения хипстоты глубоко пох. Замечу только, что люди предпочитали "мучаться", а не дать денег комоде.
> LE честно и автоматически делают проверку домена, и дают на него DV
проверку чего, простите они делают? А, именно - хз чего.
> черт. Поскольку в браузере не видно, DV или OV у тебя
при желании - можно увидеть (если не хипстабраузер где вообще ничерта не видно, кроме "строки поиска"). А при нежелании можно вообще не обращать внимания на какие-то там сертификаты.
"синенькое от зелененького отличаю".> - какая для реальной безопасности разница?
для реальной-то как раз разница и есть. Для "cиненький от зелененького" - ни малейшей.
https://www.gogetssl.com/domain-validation/ - Комодо от 11.Искали, говорите?
> https://www.gogetssl.com/domain-validation/ - Комодо от 11.
> Искали, говорите?я ж говорю - меня одноразовые скидки не больно интересуют.
Поэтому зашел на сайт самой комоды, с парадного входа, и посмотрел ценник. Не впечатлило, за воздух-то.И тогда уж проще дать самому игого желаемые им сколько там - $15, что-ли, за примерно ту же херню что start предоставляла бесплатно. Уровень доверия тот же - то есть, примерно никакого.
Ну startssl нет смысла хвалить - они лузеры, и обманули доверие тысяч людей.Скидки у gogetssl неодноразовые, как раз это и смешно - можно с парадной страницы комоды купить серт, можно точно такой же, от них же, но без парадной наценки. Задание на дом - найди на сайте symantic цену на их сертификаты - там ее нет, есть только форма "мы с вами свяжемся". Типа для тех, кому нужно совсем парадно.
Так а в чем сложность взять у LE сертификат? Я бы им больше поверил просто по поводу организации дела.
> Ну startssl нет смысла хвалить - они лузеры, и обманули доверие тысяч
> людей.в чем именно они тебя обманули - я так и не услышал. Меня они вот ни в чем не обманывали - честно давали сертификаты, как просил, денег хотели только за работу с документами.
> Скидки у gogetssl неодноразовые, как раз это и смешно - можно с
сегодня они дружат с комодом, завтра где-то разоcрались - а у тебя сертификат протухает на днях.
Причем не для одного сайта (поскольку не имеет смысла). В результате либо в панике мечешься ищешь новые варианты, либо внезапно влетаешь на заметные бабки.собственно, чем тебя не устраивает тогда ggssl'ный? (помнится, это intermediate той же комоды подписано?) Он лучше за счет san в комплекте (тот что за 15), или дешевле (тот что за 5).
> Так а в чем сложность взять у LE сертификат? Я бы им
в его бессмысленности. Я тут на пять страниц расписывал чем именно он плох и почему это и есть задача гугля и прочих проталкивателей этой ненужной хрени.
Если интересует шифрование - больше толку от самоподписанного или подписанного (cвоим)левым CA.
Если интересует ублажать гугля... ну хз, у меня нет своих коммерческих сайтов, не знаю насколько это важно.
certbot на питоне, фу такими быть!
Фукать на питон, фу таким быть!
Есть 100500 неофициальных клиентов на куче языков, включая "голый" bash + cURL. Даже официальный модуль для Apache httpd непонятно зачем сделали, дабы без скриптов обходиться.
Уже и для nginx давно сделали
> Уже и для nginx давно сделаливасяномодуль, как он есть - начиная с документации
[TODO] - это она ВСЯ, кто поленился ссылку открыть
и продолжая перлами в коде:/* Nginx config directory; This should later be gathered from nginx */
#define ACME_DEV_CONF_DIR "conf"
/* This should later be replaced with the value of the server_name directive of the core module */
#define ACME_DEV_SERVER_NAME "ledev2.kbauer.at"#define ACME_DEV_EXAMPLE_DIR "../example"
(это не глюк, это используется дальше)* TODO (KK) Install certificate (right now it just copies an example cert)
прекрасный модуль, всем рекомендую.Интересно, в нем remote root, или все же юзер nginx ?
(заметьте, даже неинтересно, есть ли они там - они там точно есть, в таком-то коде)И как мы все жили до этого улучшизма,представить себе не могу.
Смотри какой интересный экземпляр. Код открыть умеет, а перейти во ссылке в доку не умеет.
> Смотри какой интересный экземпляр. Код открыть умеет, а перейти во ссылке в доку не умеет.ты кроме переходов по ссылке, что-нибудь сам-то умеешь? Читать, например, куда перешел?
Я вот эту доку прочитал. Она состоит из слова "TODO". Вся. Остальное - стандартный гитхабовый мусор про зависимости и прочее ненужно.Ну и после ознакомления с туду в самом коде, уже, в общем, незачем ее читать, конечно.
> certbot на питоне, фу такими быть!Да там полно клиентов на всем чем угодно понаписано. Завяжи гадюке хвост бантиком и спи спокойно.
а с чем связаны провалы в начале 2017 года в графике доли запросов по https?
Жаль, что не умеет wildcard.
в январе 18 будет
https://letsencrypt.org/2017/07/06/wildcard-certificates-com...
> Жаль, что не умеет wildcard.вроде скоро запилят. И тогда тафте/верисайн и ко зарыдают от боли :D
Так им и надо. Нефиг сидеть, ничего толком не делать и смотреть, как тонна хомячков льёт им кучу денег, покупая сертификаты.
> центром Let’s Encrypt, контролируемым сообществомэто как?
где я могу тоже поконтролировать? :-)
>> центром Let’s Encrypt, контролируемым сообществомиз гугля, гугля, и гугля.
> это как?поправил, не благодари.
> где я могу тоже поконтролировать? :-)ну, ты можешь купить акций гугля и думать, что что-то там контролируешь.
тебе ведь не обещали что "сообщество-то" открытое?
Сейчас без SSL практически никуда. Если уж онлайн-бизнес, то тем более нужны SSL-сертификаты. Терять посетителей только из-за того, что Chrome выдает Not Secure в адресной строке - нет уж, спасибо. Плюс ко всему, если брать EV'шки, то можно еще и доп. бонусы получить по типу вывода названия организации в адресной строке браузера - жирный плюс к пользовательскому доверию. Let's Encrypt не выдает EV. Потому лучше брать SSL у доверенных центров - Comodo, Symantec и т.д. А чтобы выгоднее было, то обращаться к реселлерам. Мы покупали в leaderssl.ru.