Проект Let’s Encrypt, нацеленный на создание простого, общедоступного и контролируемого сообществом удостоверяющего центра, объявил (https://letsencrypt.org/2015/10/19/lets-encrypt-is-trusted.html) о перекрёстном подписании своих сертификатов организацией IdenTrust, что делает сертификаты Let's Encrypt автоматически подтверждёнными во всех основных web-браузерах. Таким образом, сайты с сертификатами Let’s Encrypt отныне будут помечены в браузерах как безопасные.
Клиентские сертификаты Let's Encrypt теперь считаются подтверждёнными удостоверяющим центром IdenTrust, несмотря на то, что пока не завершён процесс добавления информации о корневом сертификате Let's Encrypt в поддерживаемые браузерами списки заслуживающих доверия сертификатов. Без перекрёстной подписи, для обеспечения доверия к выписанным в Let’s Encrypt сертификатам требовалось ручное изменение настроек.
Общедоступный запуск сервиса запланирован на 16 ноября. До этого времени планируется решить вопрос с рассмотрением заявок на включение Let's Encrypt в хранилище корневых сертификатов Mozilla, Google, Microsoft и Apple. В настоящий момент сервис доступен для участников ограниченной программы бета-тестирования. После публичного запуска любой желающий сможет получить сертификат для HTTPS без лишней волокиты, просто продемонстрировав контроль над доменом через создание специальной записи на DNS-сервере или размещение кодовой фразы в файле на web-сервере.URL: https://letsencrypt.org/2015/10/19/lets-encrypt-is-trusted.html
Новость: http://www.opennet.ru/opennews/art.shtml?num=43164
Yep!
Торговцы воздухом доживают свой век!База Root CA очиститься от мусора.
*тся
ца
шо?
Это теперь как получается - любой может создать себе сертификат, который будет приниматься всеми браузерами?
Не всеми браузерами, еще есть Safari и IE :)
> Не всеми браузерами, еще есть Safari и IE :)написано же: включение Let's Encrypt в хранилище корневых сертификатов Mozilla, Google, Microsoft и Apple
Microsoft (IE) и Apple (Safari) тоже
Любой владелец домена или веб сервера, на который указывает домен.
Да. Разница только в уровне доверия. Будет подтверждено только что сертификат для этого сайта (серенький значек замочка). Но не будет подтверждена принадлежность к организации (зелененьким замочек не станет).
Но это уже очень большой шаг вперед. Т.к. https смогут использовать все владельцы сайтов, и даже опеннет сможет.
но, ведь, опеннет и так по хттпс :/
> но, ведь, опеннет и так по хттпс :/В каком месте? Скажи еще, что HSTS.
http://i59.fastpic.ru/big/2015/1020/ff/7ae7cee1129f8c7f5fa9e...
Действительно... с мая этого сертификат. Поторопились покупать =)
free
> но, ведь, опеннет и так по хттпс :/только у админа этого сервера не все в порядке с знаниями по безопасности.
сертификат получил, а как настроить ngnix его не научили.https://www.ssllabs.com/ssltest/analyze.html?d=opennet.ru
This server supports weak Diffie-Hellman (DH) key exchange parameters. Grade capped to B. MORE INFO »
This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate. Grade capped to C. MORE INFO »
The server supports only older protocols, but not the current best TLS 1.2. Grade capped to C. MORE INFO »
The server does not support Forward Secrecy with the reference browsers. MORE INFO »
Ну это - да, не отключил SSL3. Хотя если честно - никто почти не отключил, сколько бы мы в колокола не били ... :( Действительно отключат если оно само с очередным апдейтом.
Знания по безопасности не обязывают иметь паранойю.
Чем, собственно, таким уж серьезным ОпенНету могут аукнуться проблемы с SSL?
> Да. Разница только в уровне доверия. Будет подтверждено только что сертификат для
> этого сайта (серенький значек замочка). Но не будет подтверждена принадлежность к
> организации (зелененьким замочек не станет).
> Но это уже очень большой шаг вперед. Т.к. https смогут использовать все
> владельцы сайтов, и даже опеннет сможет.Доверие не имеет уровня. Оно бинарно. Или да или нет. Точка.
> Доверие не имеет уровня. Оно бинарно. Или да или нет. Точка.Поздравляю, Шарик ты - балбес и тут не сайт по философии.
Уровни доверия оцениваются по степени возможного ущерба в случае утечки информации.
И, следственно, мер направленных на обеспечения уровня необходимой защиты.
Ну, есть и бинарная безопасность: да - если сервер физически отключен от сети...
> отключен от сети......питания.
И закопан в сейфе на дне Марианской впадины.
Ладно, поправка - абсолютная бинарная безопасность: да - если сервера нет и никогда не было...
или о нём не знают, кому не положено по званию ))
Вы вот в курсе например, о чём "номерные" коротковолновые радиостанции чирикают? И я нет. Значит всё-таки можно что-то безопасное сделать, а не кричать "всё пропало, защищаться бесполезно" на каждом углу.
> организации (зелененьким замочек не станет).В хроме все зелененькое, и замочек нормальных размеров, не то что в этом файерфоксе - мелкий такой, им что, жалко было ?
ну сделайте свою сборку огнелиса, с зелененькими обоями и замочками
Вообще-то это уже несколько месяцев как можно сделать. Ребята не первые, кто предоставляет такую возможность. Но чем больше подобных сервисов, тем лучше.
Да?!? 8-о
Я вообщето кроме сабжей знаю только два CA которые всё ещё трастед и раздают сертификаты бесплатно.
Как твое "знаю только два" противоречит моему "есть как минимум еще один"?
> Это теперь как получается - любой может создать себе сертификат, который будет
> приниматься всеми браузерами?Любой может бесплатно создать себе сертификат.
Платно и сейчас можно.
Ну дайте же, дайте мне пол-кило этих сертификатов!
Ну так предъяви, предъяви пол кило подконтрольных доменов.
> Ну так предъяви, предъяви пол кило подконтрольных доменов.По слухам, Let's Encrypt будет поддерживать "экзотические" домены типа *.tk, на которые плюётся StartSSL. Если слухи подтвердятся, то полкило подконтрольных доменов я предъявлю, предъявлю.
И тут на одного зарегенного пользователя у www.tk стало больше, и на 1 доступный домен меньше ))
Хорошее начинание, жаль что пока за wildcard сертификаты надо будет по-прежнему платить.
За wildcard и EV. также остальные ca могут заработать на контрактах с крупными it компаниями, которые хотят выпускать сертификаты для большого количества своих доменов без дополнительной валидации через api.
Нагенерировать кучу сертификатов на поддомены :)
wildcard тоже будет, только после.
LE не только сертификаты пилит, но и утилиту их автообновления. Чтобы забыть все эти мороки с генерацией как страшный сон.
Так что для многих wildcard станет просто делом техники.
> Хорошее начинание, жаль что пока за wildcard сертификаты надо будет по-прежнему платить.Поздно. Как и весь HTTPS. Актуально это было 20 лет назад. Сейчас поезд ушел и это как волосы на лобке - прикрывают, но от насилия не защищают.
>> Хорошее начинание, жаль что пока за wildcard сертификаты надо будет по-прежнему платить.
> Поздно. Как и весь HTTPS. Актуально это было 20 лет назад. Сейчас
> поезд ушел и это как волосы на лобке - прикрывают, но
> от насилия не защищают.Марти?
"Вот и всё, а ты боялась"... И нечего было кричать о том, что нет поддержки во всех брауерах, а значит - никому не надо. И впрямую их сертификаты в списки добавят, попомните моё слово. Думаю, уже месяцев через шесть станет повсеместным правилом хорошего тона эту штуку использовать когда поднимаешь новый сервис, кроме больших контор, конечно.
> "Вот и всё, а ты боялась"... И нечего было кричать о том,
> что нет поддержки во всех брауерах, а значит - никому не
> надо. И впрямую их сертификаты в списки добавят, попомните моё слово.
> Думаю, уже месяцев через шесть станет повсеместным правилом хорошего тона эту
> штуку использовать когда поднимаешь новый сервис, кроме больших контор, конечно.Алекс, ну ты-то не клинический идиoт, должен понимать, что иллюзия безопасности значительно хуже полной небезопасности!
>> "Вот и всё, а ты боялась"... И нечего было кричать о том,
>> что нет поддержки во всех брауерах, а значит - никому не
>> надо. И впрямую их сертификаты в списки добавят, попомните моё слово.
>> Думаю, уже месяцев через шесть станет повсеместным правилом хорошего тона эту
>> штуку использовать когда поднимаешь новый сервис, кроме больших контор, конечно.
> Алекс, ну ты-то не клинический идиoт, должен понимать, что иллюзия безопасности значительно
> хуже полной небезопасности!А он вроде и не говорил про безопасность. ))
Да и в самой новости только сказано "... будут помечены в браузерах как безопасные."
Да я уже объяснял свою точку зрения не раз: для тех сервисов, где нужна нормальная безопасность, вроде банков, в любом случае нужны дополнительные меры - обычно это OTP в каком-то виде.А задачу "прикрыть трафик от соседа, сотрудника провайдера и любопытного, но тупого товарища майора" SSL от Let's Encrypt вполне выполняет. От умного товарища майора и прочих серьёзных атак не спасёт - так там в любом случае нужен комплекс мер - как софтовых, так и организационных.
Плюс, мне нравятся ещё две вещи:
1) исчезнет нужда в возне с сертификатами на всяких личных серверах - и web, и xmpp, и, как противник облаков вне энетрпрайза, я это очень приветствую. А так через пол-года https будет корректно настраиваться прямо дистрибутивными пакетами, из коробки.
2) Роскомнадзор сможет давить толькос сайты целиком, что сделает цензуру гораздо более неудобной и заметной.
когда твой ребенок траванется спайсом - будешь так же твердить о свободе и цензуре ?
Тащмайор, шел бы ты номера спайсодилеров с заборов отдирать. А лучше ловить по номерам их.
> Тащмайор, шел бы ты номера спайсодилеров с заборов отдирать. А лучше ловить
> по номерам их.Дык точна - с заборами-то вернее выйдет! Молодёжь она там вся - у заборов. А в инете только полкалеки-ботаника - можно даж и не запариваться!
> Дык точна - с заборами-то вернее выйдет! Молодёжь она там вся -
> у заборов. А в инете только полкалеки-ботаника - можно даж и
> не запариваться!Ви таки не повегите, но норкоманы редко заходят в инет, потому что "запускают" всё, с чего можно это сделать барыгам или в ломбарды. А вот мимо заборов таки ходят, как и дети ваши. Так что боритесь в инете, и внуки незаметно появятся ;-)
Невежество - оно и от цензуры тоже, да.
> когда твой ребенок траванется спайсом - будешь так же твердить о свободе и цензуре ?К когда твоя младшая уедет к рыцарям IGIL - о чем будешь твердить ты?
Истина как обычно - где то посередине.
> К когда твоя младшая уедет к рыцарям IGIL - о чем будешь твердить ты?Т.е. если будет больше свобод и меньше цензуры, то младшая в игил не уедет?
> Истина как обычно - где то посередине.
Закончишь школу - пиши ещё.
Закончивший школу не знает как у алкашей руки дрожат? Сопляк :)
Ну в тудым ответил, каюсь.С цензурой бороться надо, но свободы вредить (не в смысле политики, на неё я уже дааааавно 7-и кг. болт на "76" ложил, а вредить реально) тоже быть не должно. Иначе ... смотри страну 404 :(
Наркота, работорговля, лохотрон. Есть что давить и давить это _надо_. И не менее _надо_ не позволять давить остальное (а скорее и более).А я и не обещал что будет легко :)
Там наверху какой перец обещал - да :) Мол с https невозможно заблочить сайтег, только IP целиком. Но во первых - органам по***уй, а во вторых - IE на XP всё :) Остальное таки умеет: https://www.digicert.com/ssl-support/apache-secure-multiple-...
И будет вам селективный блок.
Про IP тебе примерещилось. Обещал, что невозможно страничку заблочить, только сайт целиком.А с "бороться" ты всё в кучу перемешал - работорговлю, которая подразумевает насилие, с которым и надо бороться, лохотроны, из которых три четверти легальны, и жертвами становятся, как правило, жадные или ленивые идиоты, и "наркоту", куда записали что попало - от реально опасных опиатов до абсолютно безвредных стравы и сальвии. И тут я понять не могу, почему человек в здравом уме и твёрдой памяти не может делать с собой что хочет - в том числе заниматься всякой фигнёй или гробить здоровье.
Ключевое слово -"в здравом уме и твёрдой памяти"
> А с "бороться" ты всё в кучу перемешал - работорговлю, которая подразумевает
> насилие, с которым и надо бороться, лохотроны, из которых три четверти
> легальны, и жертвами становятся, как правило, жадные или ленивые идиоты, и
> "наркоту", куда записали что попало - от реально опасных опиатов до
> абсолютно безвредных стравы и сальвии. И тут я понять не могу,
> почему человек в здравом уме и твёрдой памяти не может делать
> с собой что хочет - в том числе заниматься всякой фигнёй
> или гробить здоровье.
Ну так те, кто не в здравом уме и твёрдой памяти, называются недееспособными и решения за них принимают опекуны. А попытки объявить ле-факто недееспособными и нуждающимися в присмотре всех подряд - это тоталитарное скотство.
> Ну так те, кто не в здравом уме и твёрдой памяти, называются
> недееспособными и решения за них принимают опекуны. А попытки объявить ле-факто
> недееспособными и нуждающимися в присмотре всех подряд - это тоталитарное скотство.Как и добровольно-принудительные проверки школьников на наркоту. С подтекстом: Папа Васи ему запретил - значит неблагонадежный или Вася, или папа. Надо их на учёт поставить, на всякий случай.
Вы кстати знаете, что в образовательных учреждениях принудительно согласно коллективному договору, без которого не берут на работу, требуют ставить преподам прививки? А если аллергия, или эта прививка даст побочку? На кого в суд подавать?
Нас уже клеймят как скот, ребята, а вы тут про свободы рассуждаете. Каждый носит телефончик с уникальным номером, привязанным к прописке, и трекинг перемещений анализируется "когда надо". Скоро карательную психиатрию вернут, уже делали пробные забросы по ТВ. Мол дураков много на улицах, надо бы их принудительно госпитализировать.
Что там насчёт дураков - я не знаю, а нелюбовь к продаже SIM-карт по паспорту и наличию в телефонах IMEI разделяю полностью.Вот только про прививки не надо. Прививка - такая штука, которая крайне эффективна - но если привито подавляющее большинство. А если у человека проблемы с прививками - ну да, не надо ему с детьми (у которых прививок ещё нет и, следовательно, они уязвимы) работать - считай, профнепригодность по медицинским показаниям.
ISIS. Learn language, Carl!
Да.
Решение то же, что и с цензурой - не запрещать вся подряд, а просвещать, что сильно вредно, что нет. Без проб не обойдётся, понятное дело - но я не знаю вообще никого, кто бы не пробовал ту же траву. А вот вреда будет всяко меньше. Собственно, пока за курительные смеси не гоняли и в них был нормальный синтетический каннабиол - проблем особых не было. А теперь - травятся, потому что суют (пока) легальную, но ядовитую хрень. Запретят её - найдётся что-то ещё. Потому как спрос есть.
> когда твой ребенок траванется спайсом1. Ну-ка, расскажи нам всем, каким образом, блокировка какого-либо сайта роспотребом, защитит ребенка от спайса? С конкретными примерами из жизни только, а не из рекламно-пропагадистских речей.
2. Заполни пробелы в "логической" цепочке (а то чё-то связь никак не просматривается):
"доступные сертификаты"->"проще https"-> ... ->существенное ухудшение ситуации по детской наркомании.3. Каким образом наличие подтвержденных сертификатов и https усложняет работу полиции, например, по мониторингу сайтов по продаже наркотиков и "отработке" их владельцев? У полиции, госнаркоконтроля, таможни и т. д. браузеры не поддерживают https или что? Как повлияет тот факт, что теперь сертификаты будут подтвержденные (о чем, собственно, сама новость)?
Выдыхай Ytch :)
Всё гораздо проще:
нумбер 1 - практически никак. Ну ежели только рецепты варева уберутся ...
нумбер тво - перец запостивший мислид просто до сих пор на ослике в XP сидит, и думает что так будет ещё одну вечность ... А все чой то повелись 8-)
Вдыхай глубже.
Даже если прямых рецептов на сайтах не будет, крутые поцы типа вас с Ytch будут выкладывать на ютуб ролики типа: "Чуваки, никаких рецептов не будет, ищите сами.. Но я вчера такую штуку вдул, что теперь весь такой гламурный и толерантный по самое оно..."
А для тинейджера в период половой ломки - это прямой вызов.> Выдыхай Ytch :)
> Всё гораздо проще:
> нумбер 1 - практически никак. Ну ежели только рецепты варева уберутся ...
И? При чём здесь государство? Это - максимум - прерогатива родителей - контролировать (или не котролировать) подобное. А претензии на знание, как правильно для всех - идут лесом.
Попробуйте потоньше
Ура! Ждём релиза.
Ждём ебилдов!
Кхм, то есть, сертификатов.
ебилды уже готовы, gpo.zugaina.org -> letsencrypt
Зелёные EV сертификаты станут более востребованы - они точно не бесплатные.
Дело не в бесплатности. Главное, это зашифрованное соединение. Веб станет более безопасным.
а для почты они не планируют сделать такие бесплатные сертификаты? Удобно было
https сертификат навешать на почту, не?
Подниму тему. Вчера сделал эти сертификаты для своих сайтов. Удобно, процедура достаточно простая. В Gentoo имеется соответствующий портаг. Сертификат выдаётся на 3 месяца, но обещают, что с обновлением не будет проблем, функция обновления присутствует, и ничто не мешает её воткнуть в Крон. Использую их в связке с Lighttpd. Выписал сертификат на домен и два его поддомена.
Протестировал на разных браузерах, в числе которых Хром, Опера, Эдж, Файрфокс Яндекс. Ругнулся на сертификат только Файрфокс. Видимо, не договорились они пока с Мозиллой.