Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Проект Let's Encrypt представил модуль для http-сервера Apache, opennews (??), 17-Окт-17, (0) [смотреть все] Чтобы никто не догадался , Аноним (-), 21:53 , 17-Окт-17, (1) +10 // ага, могли бы mod_acme или mod_letsencrypt назвать, eRIC (ok), 22:02 , 17-Окт-17, (2) +4 // https github com icing mod_md issues 46, Аноним (-), 22:57 , 17-Окт-17, (7) +3 mod_mod будет загадочнее, ZimniY (ok), 22:03 , 17-Окт-17, (3) +13 ManagedDomain Чтобы тоже никто не догадался , . (?), 22:42 , 17-Окт-17, (5) +1 mod_markdown лил, Уборщица (?), 22:16 , 17-Окт-17, (4) +4 Может для Nginx такое не просто появится, но и в поставку войдет Наконец Symant, A (?), 23:00 , 17-Окт-17, (8) –2 // Ну для nginx уже давно есть Правда довольно муторно для настройки , Аноним (-), 01:40 , 18-Окт-17, (13) +1 // certbot не сложен в настройке Там на симлинках все , istepan (ok), 07:32 , 18-Окт-17, (16) Неужели Апачем до сих пор кто-то пользуется на продакшн-серверах , Онаним (?), 00:35 , 18-Окт-17, (10) –19 // Ещё как Покуда это единственный сервер в котором программисты могут сами себе р, Олег Михайлович Сиденко (?), 01:22 , 18-Окт-17, (11) +8 // Неужели ПХП до сих пор кто-то пользуется на продакшн-серверах , SSHServerNode.jsGolangElixir... (?), 01:29 , 18-Окт-17, (12) –10 // social network, Аноним (-), 06:05 , 18-Окт-17, (14) Facebook, vk и куча овна на wordpress е, Аноним (-), 07:25 , 18-Окт-17, (15) И чё, Facebook и vk гоняют PHP через Apache А WordPress - это не продакшн, 99 э, Онаним (?), 08:44 , 18-Окт-17, (18) –2 Да где ты видел чтоб софт юзали для того, для чего он делался - Зайди на любой, _ (??), 17:07 , 18-Окт-17, (45) это если открывается А если вместо магазина какая-то херь про b_cache_tag - м, пох (?), 13:58 , 19-Окт-17, (66) Facebook, Wikipedia и WordPress гоняют через HHVM, SSHServerNode.jsGolangElixir... (?), 23:17 , 18-Окт-17, (63) Вот я прям как жопой чувствовал, что Facebook и vk на wordpress е работают , Аноним (-), 13:23 , 18-Окт-17, (33) Пых слишком хорош, чтоб о нем так просто забыли Альтернативы Их нет , istepan (ok), 07:34 , 18-Окт-17, (17) –1 Плагины текут у него безбожно Хоть бы кто и valgrind ом прогнал бы , Вадик (??), 09:19 , 18-Окт-17, (19) Во и стену Весь хайлоад крутится на пыхе апач Ещё тарантуул и вообще выходит н, лютый жабист__ (?), 09:24 , 18-Окт-17, (21) На весь хайлоад работает менее 1 всех ЫненеГров Вот к примеру ты - не работаеш, _ (??), 17:56 , 18-Окт-17, (47) Плох тот инженегр, который не хочет спать с генералом Вообще, я больше по bac, лютый жабист__ (?), 07:33 , 20-Окт-17, (72) Ну, если говорить о продакшн серверах, то нгинкс там не более чем фронтенд А , Аноним (-), 09:23 , 18-Окт-17, (20) –3 // Он ещё и терминирует https ssl , так-что смысл в модуле в apache более сомнителе, Аноним (-), 09:42 , 18-Окт-17, (22) +3 // сейчас модно внутренний траффик тоже пускать overssl и непременно http 2, чтоб в, пох (?), 10:12 , 18-Окт-17, (23) –5 пох, ты закусывай - середина недели же Сайтикам ssl нужен потому что без него гу, _ (??), 18:00 , 18-Окт-17, (49) +1 да лана, не читай вместо завтрака опеннетовские комменты,пока ничего не предвеща, пох (?), 19:01 , 18-Окт-17, (54) Не то что прямо уж сильно нужно, но не помешает Название конечно ,Чем их назван, Ilya Indigo (ok), 10:53 , 18-Окт-17, (24) +2 // я в твоей схеме не понимаю, что помешает злоумышленнику, получившему контроль на, Аноним (-), 11:11 , 18-Окт-17, (25) –2 // Если у Вас угнали доступы к DNS, то тут уже ничего Вам не поможет, кроме их восс, Ilya Indigo (ok), 11:22 , 18-Окт-17, (26) +4   // У клиента же Речь про то, что сертификат это способ проверки того, куда направл, КО (?), 12:13 , 18-Окт-17, (28) +1   Не совсем удачный вы выбрали ник Куда в A или AAAA записях будет прописано, туда, Ilya Indigo (ok), 12:23 , 18-Окт-17, (29)   Злоумышленник подсовывает _конкретному клиенту_ свои записи DNS, вместо твоих И, angra (ok), 21:04 , 18-Окт-17, (58) +2   Благодарю Понял , Ilya Indigo (ok), 22:00 , 18-Окт-17, (60)   Сертификат DV не является средством проверки DNS Его выдача при любой схеме так, Аноним (-), 12:49 , 18-Окт-17, (32)   Я никогда не использовал EV-сертификаты, но полагаю, что от этого и они тоже не , Ilya Indigo (ok), 14:53 , 18-Окт-17, (38)   Ну это уже другая история Можно сказать, что никакие сертификаты ни от чего не , Аноним (-), 15:16 , 18-Окт-17, (40)   иэто не одно и то же Хотспот в кафе может вместо 8 8 8 8 подставьте любой адрес, КО (?), 08:59 , 21-Окт-17, (73)   да тут пичаль полная - клиент безнадежен, даже со второго раза до него не доходи, пох (?), 12:35 , 18-Окт-17, (30) –7 DANE уже давно придумали Но у него есть два недостатка во-первых, он имеет смы, Аноним (-), 12:43 , 18-Окт-17, (31) +1 // он даже при повсеместном не имеет никакого смысла, потому что мы просто вернем ю, пох (?), 13:35 , 18-Окт-17, (34) –2 DANE - это совсем другое, это механизм аутентификации, а не валидации , Ilya Indigo (ok), 14:45 , 18-Окт-17, (36) // Зато в нём нет лишних сущностей, коей является УЦ , Аноним (-), 15:12 , 18-Окт-17, (39) Провайдера клиента Провайдер может и DNS записи подменить и трафик до сайта спро, XoRe (ok), 16:53 , 18-Окт-17, (44) +1 // И как же эту величественную проблему решает классическая схема с УЦ , Ilya Indigo (ok), 17:29 , 18-Окт-17, (46) –2 // За счет списка доверенных УЦ на клиенте Сертификат УЦ лежит на клиенте, клиент е, XoRe (ok), 17:58 , 18-Окт-17, (48) +2 А что мешает провайдеру, получившему контроль над ДНС, зарегистрировать валидный, Ilya Indigo (ok), 19:44 , 18-Окт-17, (55) Ну пойди зарегистрируй кстати, они подписываются, а не регистрируются валидный , angra (ok), 21:14 , 18-Окт-17, (59) +2 Да без проблем, скидывайте доступы на их ДНС, и я через сабж получу подписанный , Ilya Indigo (ok), 22:13 , 18-Окт-17, (61) Есть несколько другой вариант - CAA записи https www opennet ru tips 3028_ssl_, XoRe (ok), 17:21 , 19-Окт-17, (68) +1 Этот вариант мне известен и уже применяется мной Но, к сожалению, пока нет обяза, Ilya Indigo (ok), 20:06 , 19-Окт-17, (71) Ничего подобного Сертификат состоит из пары закрытого и открытого ключей Открыты, Ilya Indigo (ok), 19:54 , 18-Окт-17, (56) s нешифрованным ненадёжным , Аноним (-), 09:07 , 19-Окт-17, (65) +1 Провайдеру ничего не мешает сгенерить серитифкат, а в DNS отдавать его слепок Ес, XoRe (ok), 17:19 , 19-Окт-17, (67) +1 Вообще есть технология HTTP Public Key Pinning, там в DNS прописываются отпечатк, XoRe (ok), 18:06 , 18-Окт-17, (50) –1 мда, у нас сегодня парад анонов, где-то слышавших звон pkp не имеет ни малейшего, пох (?), 18:27 , 18-Окт-17, (52) +1 Да, неправильно написал Там заголовки в HTTP ответе Если проект коммерческий и в, XoRe (ok), 17:26 , 19-Окт-17, (69) обычно таким проектам по многим причинам приходится раскошеливаться на EV, а там, пох (?), 18:42 , 19-Окт-17, (70) Маргинальному проектику зеленый свет в сторону let s encrypt А в крупных компани, XoRe (ok), 02:39 , 22-Окт-17, (74) Я так понимаю Вы имеете ввиду HTTP Public Key Pinning HPKP Это тоже не то, так, Ilya Indigo (ok), 20:09 , 18-Окт-17, (57) Не совсем так Просто о замене сертификата надо побеспокоиться заранее, и запини, Аноним (-), 23:07 , 18-Окт-17, (62) ты все же феноменально тyпой То есть ладно, еще - быть админом но не понимать и, пох (?), 18:10 , 18-Окт-17, (51) –4 осталось написать модуль админки под это в виде mod_mdadm with zfs support , Аноним (-), 12:12 , 18-Окт-17, (27) +1 // Ага, и mod_luks , Аноним (-), 16:14 , 18-Окт-17, (43) Почему не сделать выдачу на пол целый год , qwe (??), 14:06 , 18-Окт-17, (35) // В маркетинге сказали, что, мол, чем больше они за нами бегают, тем лучше Товар , Andrey Mitrofanov (?), 14:50 , 18-Окт-17, (37) –1 https letsencrypt org 2015 11 09 why-90-days html, Аноним (-), 15:19 , 18-Окт-17, (41) +2 // Как научиться про полимеры вать ключи и перестать беспокоиться Опера-балет , Andrey Mitrofanov (?), 15:46 , 18-Окт-17, (42) +1 // обрати только внимание - правдивый ответ - во втором акте мы таким образом за, пох (?), 18:39 , 18-Окт-17, (53) 1,4,8,10,24,27,35

Сообщения

[Сортировка по времени | RSS]

	26. "Проект Let's Encrypt представил модуль для http-сервера Apac..."	+4 +/–
	Сообщение от Ilya Indigo (ok), 18-Окт-17, 11:22
	> я в твоей схеме не понимаю, что помешает злоумышленнику, получившему контроль над > твоей DNS записью, изменить и А запись, и слепок? В итоге > - угоняем домен и у всех "светится" валидный сертификат. Если у Вас угнали доступы к DNS, то тут уже ничего Вам не поможет, кроме их восстановления у своего регистратора. В классической схеме абсолютно аналогично, но это не проблема и даже не задача валидации!
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Проект Let's Encrypt представил модуль для http-сервера Apac..."	+1 +/–
	Сообщение от КО (?), 18-Окт-17, 12:13
	>Если у Вас угнали доступы к DNS У клиента же. Речь про то, что сертификат это способ проверки того, куда направляет DNS сервер. Если же проверка сертификата будет зависеть от того же DNS сервера, то сертификат нафиг не нужен - ибо MITM DNS в купе с MITM трафика браузера не "невероятная вещь".
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Проект Let's Encrypt представил модуль для http-сервера Apac..."	+/–
	Сообщение от Ilya Indigo (ok), 18-Окт-17, 12:23
	Не совсем удачный вы выбрали ник. > куда направляет DNS сервер Куда в A или AAAA записях будет прописано, туда и отправит в любом случае. Суть сертификата подтвердить что сервер именно тот, за кого себя выдаёт, а не кто-то левый, собственно это и может удостоверить соответствие слепка, хранимого в DNS слепку, полученному из сертификата сервера. И как тут может вклиниться кто то левый (MITM), если 1 Он не будет обладать закрытым ключом и 2 Даже если он будет обладать валидным, но иным сертификатом, то слепок у него будет другой и он пойдёт лесом, в отличие от классической схемы. Уже молчу про отсутствие проверок всяких откатов сертификата (SSLUseStapling) и прочего мусора, который тут просто не нужен.
	Ответить | Правка | Наверх | Cообщить модератору

	58. "Проект Let's Encrypt представил модуль для http-сервера Apac..."	+2 +/–
	Сообщение от angra (ok), 18-Окт-17, 21:04
	Злоумышленник подсовывает _конкретному клиенту_ свои записи DNS, вместо твоих. И в этих записях будет и нужный IP и нужный слепок для фейкового сертификата по этому IP. От этого как раз и защищает классическая схема. Но про неудачный ник ты правильно сказал, данный вариант далеко не для всех очевиден.
	Ответить | Правка | Наверх | Cообщить модератору

	60. "Проект Let's Encrypt представил модуль для http-сервера Apac..."	+/–
	Сообщение от Ilya Indigo (ok), 18-Окт-17, 22:00
	Благодарю! Понял.
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Проект Let's Encrypt представил модуль для http-сервера Apac..."	+/–
	Сообщение от Аноним (-), 18-Окт-17, 12:49
	>>Если у Вас угнали доступы к DNS > У клиента же. Речь про то, что сертификат это способ проверки того, > куда направляет DNS сервер. Если же проверка сертификата будет зависеть от > того же DNS сервера, то сертификат нафиг не нужен - ибо > MITM DNS в купе с MITM трафика браузера не "невероятная вещь". Сертификат DV не является средством проверки DNS. Его выдача при любой схеме так или иначе завязана на DNS, кто имеет может рулить записями, тот может и сертификат получить. Без вариантов. Защитить от этого могут только EV-сертификаты.
	Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

	38. "Проект Let's Encrypt представил модуль для http-сервера Apac..."	+/–
	Сообщение от Ilya Indigo (ok), 18-Окт-17, 14:53
	> Защитить от этого могут только EV-сертификаты. Я никогда не использовал EV-сертификаты, но полагаю, что от этого и они тоже не защитят. Ведь если вместо EV-сертификата подсунуть валидный DV-сертификат, то браузер также примет соединение, и покажет замочек, хоть и без большой зелёной полоски. Большинство пользователей и не обратят на это внимание, а если и обратят, то подумают что ничего страшного, ведь замочек-то есть. Смысл от EV-сертификата будет только тогда, когда браузер будет знать, что к этому ресурсу можно обращаться только через EV-сертификат, посредством чего-то наподобие HSTS-списков.
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Проект Let's Encrypt представил модуль для http-сервера Apac..."	+/–
	Сообщение от Аноним (-), 18-Окт-17, 15:16
	> Ведь если вместо EV-сертификата подсунуть валидный DV-сертификат, то браузер также примет > соединение, и покажет замочек, хоть и без большой зелёной полоски. > Большинство пользователей и не обратят на это внимание, а если и обратят, > то подумают что ничего страшного, ведь замочек-то есть. Ну это уже другая история. Можно сказать, что никакие сертификаты ни от чего не защитят, потому что пользователь, жаждя поскорее дорваться до прона, добавит левый сертификат в доверенные. > Смысл от EV-сертификата будет только тогда, когда браузер будет знать, что к > этому ресурсу можно обращаться только через EV-сертификат, посредством чего-то наподобие > HSTS-списков. Есть HPKP, и для него не имеет значения, халявный у тебя сертификат или платный.
	Ответить | Правка | Наверх | Cообщить модератору

	73. "Проект Let's Encrypt представил модуль для http-сервера Apac..."	+/–
	Сообщение от КО (?), 21-Окт-17, 08:59
	>Сертификат DV не является средством проверки DNS и >>куда направляет DNS сервер это не одно и то же. Хотспот в кафе может вместо 8.8.8.8 (подставьте любой адрес) направлять куда ему вздумается. И там www.вашлюбимыйбанк.com могут отресолвить в то, что им угодно. Но для получения валидного сертификата этого не достаточно. Надо еще то же провернуть с доверенным центром сертификации.
	Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема