URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 116799
[ Назад ]
Исходное сообщение
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено opennews , 12-Мрт-19 10:42 
Комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, завершил (https://letsencrypt.org/2019/03/11/acme-protocol-ietf-standa...) формирование RFC для протокола ACME (Automatic Certificate Management Environment) и опубликовал связанную с ним спецификацию под идентификатором RFC 8555 (https://tools.ietf.org/html/rfc8555). RFC получил статус "Предложенного стандарта", после чего начнётся работа по приданию RFC статуса чернового стандарта (Draft Standard), фактически означающего полную стабилизацию протокола и учёт всех высказанных замечаний.

Протокол ACME применяется для организации взаимодействия удостоверяющего центра и web-сервера, например, для автоматизации получения и обслуживания сертификатов. Запросы передаются в формате JSON поверх HTTPS. Проект разработан некоммерческим удостоверяющим центром Let’s Encrypt, контролируемым сообществом и предоставляющим сертификаты безвозмездно всем желающим. Доступны реализации ACME на различных языках программирования, а также специализированный модуль (https://www.opennet.ru/opennews/art.shtml?num=47403) для http-сервера Apache (входит в основной состав начиная с выпуска 2.4.33 (https://www.opennet.ru/opennews/art.shtml?num=48335)).

URL: https://letsencrypt.org/2019/03/11/acme-protocol-ietf-standa...
Новость: https://www.opennet.ru/opennews/art.shtml?num=50301

Содержание
Сообщения в этом обсуждении
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Аноним , 12-Мрт-19 10:42 
Да, это будет круто. Давно пора все такие вещи автоматизировать
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Аноним , 12-Мрт-19 11:44 
>Дополнительно опубликован план прекращения поддержки прошлой версии протокола ACMEv1.

'раз настроилъ и забылъ' - говорили они.

"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Аноним , 12-Мрт-19 11:51 
> 'раз настроилъ и забылъ' - говорили они.

Как страшный сон!

"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено mumu , 12-Мрт-19 12:03 
ИТ - динамично развивающаяся область. Никто под пистолетом не заставляет в неё соваться.
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено петя , 12-Мрт-19 12:18 
ежики давились, но продолжали жрать кактус
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Andrey Mitrofanov , 12-Мрт-19 12:28 
> ежики

мыши

>давились

плакали, кололись

"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Аноним , 12-Мрт-19 12:42 
мыши плакали, кололись, но продолжали жрать ежика
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Аноним , 12-Мрт-19 12:45 
Не, там филин посоветовал мышам стать ёжиками.
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Andrey Mitrofanov , 12-Мрт-19 13:02 
> мыши плакали, кололись, но продолжали

лохматить бабушку </хватит да уже>


"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено metakeks , 14-Мрт-19 22:16 
Семья жрать захочет, с кормильцем, и не так страдать будете.
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Аноним , 12-Мрт-19 21:23 
Всё верно, раз настроил и забыл. Обновление протокола вам прилетит само, вместе с обновлением софта. Вы же не оставляете сервер, торчащий голой жопой в интернет, без обновлений, правда?
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Аноним , 13-Мрт-19 10:48 
И забыл, пока не кончилась память, либо пока не прилетел сплойт, либо пока не забанили протокол. И так на каждом хосте где нужен ссл-сертификат. Ты так и делаешь, да?
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено OldMonster , 14-Мрт-19 10:05 
>И так на каждом хосте где нужен ссл-сертификат.

Хм. На все мои хосты получаю сертификаты, сидя на ns1. Далее скрипт (scp+ssh).
Я что-то делаю не так?

"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено KonstantinB , 13-Мрт-19 04:02 
За 2.5 года можно успеть в конфиге 1 на 2 поменять :-)
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Аноним , 13-Мрт-19 10:50 
Там выше аноним советует настраивать на каждом сервере и забывать. А ты советуешь каждые 2.5 года что-то менять. Фу.
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Аноним , 12-Мрт-19 12:47 
Вы по прежнему можете купить DV сроком на год у других ЦС.
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Аноним , 12-Мрт-19 13:04 
Что и делаем, в общем.
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено dry , 12-Мрт-19 16:01 
В редких, отдельных случаях. Но и эти проблемы решаемы.
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено InuYasha , 12-Мрт-19 12:48 
Всё та же старая пластинка о централизованном "доверии" какой-нибудь хитрой конторе типа ViralSign, которой владеет (не)известно кто, берёт деньги "за доверие", может в любой момент любой хост заклеймить "недоверенным" и т.д.
А ещё придется привязывать сертификаты к платным DNS-именам, которые тоже централизованно-подконтрольные.
В итоге-то очевидно, что интернет сейчас - абсолютно пирамидальная система, вне зависимости от автоматизации. :(
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Онанимус , 13-Мрт-19 10:27 
> А ещё придется привязывать сертификаты к платным DNS-именам

Вот это поподробней пожалуйста.

"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено litrovi4 , 12-Мрт-19 13:26 
...
> Протокол ACME применяется для организации взаимодействия удостоверяющего центра и web-сервера,
> например, для автоматизации получения и обслуживания сертификатов. Запросы передаются
> в формате JSON поверх HTTPS. Проект разработан некоммерческим удостоверяющим центром Let’s

...

HTTP(S) - шо, опять ? (c)


"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Аноним , 12-Мрт-19 13:51 
>предоставляющим сертификаты безвозмездно всем желающим.

Не перестаю поражаться, как долго удавалось торговать воздухом.

"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Аноним , 12-Мрт-19 14:12 
Серверы и электричество из воздуха тоже беруться? Или админам можно зарплату воздухом платить?
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Annoynymous , 12-Мрт-19 15:02 
Для выдачи сертификатов не нужны ни серверы, ни админы.

А вот для DNS, например, нужны — но DNS почему-то бесплатный.

"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено anonymous , 12-Мрт-19 18:31 
а сертификаты подписываются как? перстом божьим? может для этого signing server нужен?
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Annoynymous , 12-Мрт-19 20:41 
> а сертификаты подписываются как? перстом божьим? может для этого signing server нужен?

Не нужен, достаточно одного компа, на котором всё подписывается. Совершенно не нужно превращать его в сервер.

"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Аноним , 12-Мрт-19 15:04 
Дополнительное электричество и новые сервера покупаются как раз из-за повсеместного внедрения "бесплатных" сертификатов.
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Григорий Федорович Конин , 12-Мрт-19 14:14 
вы же понимаете что у бесплатного и платного сертификата есть некотарое различие? Например, мне бы не хотелось видеть бесплатный сертификат у банка.

А для бложика, конечно, сойдет.

"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Drew , 12-Мрт-19 14:48 
> Например, мне бы не хотелось видеть бесплатный сертификат у банка.

Да, вообще-то, мне бы не хотелось видеть не-EV-сертификат у банка. ;)

Ну а так -- ACME/Let's Encrypt для бложегов и придумали же. Каждый занимает свою нишу...

"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Tita_M , 12-Мрт-19 15:07 
Вот где-то неделю-две назад видел сертификат от Let's Encrypt на вредоносном домене так что не только для бложегов.
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Kuromi , 12-Мрт-19 17:59 
А уже довольно давно вредоносные сайты массово используют LE сертификаты для создания видимости легитимности. Дошло до того, что во всяких "советах для новичков по безопасности" уже начали делать ремарки вида "протокол HTTPS не означает что сайт точно не поддельная копия банка".
Представители и евангелисты LE в свою очередь на это отвечают, что HTTPS это в первую очередь технология защиты соединения от подсматривания и  перехвата, а не "защита клиента от скама".
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Онанёр , 12-Мрт-19 19:06 
"Представители и евангелисты LE в свою очередь на это отвечают, что HTTPS это в первую очередь технология защиты соединения от подсматривания и  перехвата, а не "защита клиента от скама"."
А это не так?
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Kuromi , 12-Мрт-19 22:36 
Это-то так, но у "массовой публики" за годы сложилось иное мнение, мол сертификат = неанонимный проверенный сайт уважаемой компании, чем некоторые скаммерсанты и пользуются.
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено епваывпв , 12-Мрт-19 23:08 
Для массовой публики сертификат - то, что дарят на День рожденья. Тот факт, что некоторые браузеры подсвечивают сайты зелененьким, - рассматривать это, как недостаток бесплатных сертификатов от LE - нужно иметь очень богатое воображение.
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Онаним , 13-Мрт-19 00:12 
LE неплохо бы подсвечивать жёлтеньким. А лучше - красненьким.
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Kuromi , 13-Мрт-19 00:41 
> LE неплохо бы подсвечивать жёлтеньким. А лучше - красненьким.

Лучше всего было делать как когда в Firefox тестировали Opportunistic Security - сайт никак не подсвечивается, но соединение зашифровано самописным сертификатом.

"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Kuromi , 13-Мрт-19 00:38 
Плохой подарок на днюху - сертификат. Правильные друзья дарят либо деньги либо то что течет и горит (ну так утверждают).
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено True anon , 13-Мрт-19 08:53 
Зачем мне бензин, если у меня нету авто? Ну таких друзей
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Аноним , 13-Мрт-19 10:55 
Хороший друг подарит полезную лично тебе книгу. Деньгами и спиртным от тебя откупаются, чтобы не заморачиваться.
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Dmitry77 , 13-Мрт-19 07:38 
Это да, а то  задолбали рекламой открытые wifi точки..
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Kuromi , 12-Мрт-19 18:02 
В принипе так и должно быть, сурьезный бизнес платит серьезные деньги за получение расширенных сертификатов, а если задача просто сделать HTTPS то хватит и LE. Другой вопрос что неоднократно уже выяснялось, что "серьезные дяди" порой выдавали расширенные сертификаты непойми кому не делая никаких проверок либо делая их крайне формально.
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Аноним , 12-Мрт-19 14:48 
> вы же понимаете что у бесплатного и платного сертификата есть некотарое различие? Например, мне бы не хотелось видеть бесплатный сертификат у банка.
>
> А для бложика, конечно, сойдет.

https://brand.santander.com/en/

"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Ключевский , 13-Мрт-19 04:16 
Ты вот сюда https://www.sberbank.ru/ не ходи, а то там обычный DV-сертификат, а не EV :-D
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Аноним , 13-Мрт-19 09:02 
Сбербанк АСТ до сих пор требует Internet Explorer для подачи заявки.
Вчера мучался.
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено mumu , 13-Мрт-19 09:27 
И работать этот банк конечно тоже должен по какому-нибудь сурьёзному платному протоколу. Бесплатный Http(s) только для бложиков
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Аноним , 13-Мрт-19 10:53 
Это у тебя из-за возраста. Лет через 30 возможно дойдёт, что это единственное, чем теперь занимается человечество.
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Аноним , 12-Мрт-19 15:20 
> TLS-SNI-02

А чем вторая версия отличается от первой?

"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено zanswer CCNA RS and S , 12-Мрт-19 18:53 
Его в RFC 8555 вообще нет:

The values "tls-sni-01" and "tls-sni-02" are reserved because they were used in pre-RFC versions of this specification to denote validation methods that were removed because they were found not to be secure in some cases.

"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено Аноним , 12-Мрт-19 19:50 
> и предлагающий новый метод проверки владения доменом TLS-SNI-02 (не вошёл в RFC).

тогда как понять что изменилось?

"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено zanswer CCNA RS and S , 13-Мрт-19 07:06 
Хороший вопрос, могу предположить только, что возможно речь идёт о вот этом Draft: draft-ietf-tls-esni-03: Encrypted Server Name Indication for TLS 1.3, но не утверждаю.
"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Отправлено zanswer CCNA RS and S , 13-Мрт-19 07:21 
Я был не прав, речь не об этом, а вот об этом:

draft-ietf-acme-acme-01: Automatic Certificate Management Environment (ACME)

"type (required, string):  The string "tls-sni-01"

   token (required, string):  A random value that uniquely identifies
      the challenge.  This value MUST have at least 128 bits of entropy,
      in order to prevent an attacker from guessing it.  It MUST NOT
      contain any characters outside the URL-safe Base64 alphabet.

   n (required, number):  Number of tls-sni-01 iterations

   {
     "type": "tls-sni-01",
     "token": "evaGxfADs6pSRb2LAv9IZf17Dt3juxGJ-PCt92wr-oA",
     "n": 25
   }"

draft-ietf-acme-acme-09: Automatic Certificate Management Environment (ACME)

"type (required, string):  The string "tls-sni-02"

   token (required, string):  A random value that uniquely identifies
      the challenge.  This value MUST have at least 128 bits of entropy.
      It MUST NOT contain any characters outside the base64url alphabet,
      including padding characters ("=").

   GET /acme/authz/1234/1 HTTP/1.1
   Host: example.com

   HTTP/1.1 200 OK
   {
     "type": "tls-sni-02",
     "url": "https://example.com/acme/authz/1234/1",
     "status": "pending",
     "token": "evaGxfADs6pSRb2LAv9IZf17Dt3juxGJ-PCt92wr-oA"
   }"

Собственно говоря полный список отличий между TLS-SNI-01 и TLS-SNI-02, можно почерпнуть из анализа этих двух версий Draft. Если это вообще требуется, ведь в RFC 8555 эти механизмы вообще не вошли, им на замену предлагается следующий механизм: draft-ietf-acme-tls-alpn-05: ACME TLS ALPN Challenge Extension.