The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Проект Let's Encrypt опубликовал планы на 2018 год"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Проект Let's Encrypt опубликовал планы на 2018 год"  +/
Сообщение от opennews on 09-Дек-17, 21:57 
Некоммерческий удостоверяющий центр Let’s Encrypt (https://letsencrypt.org), контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, опубликовал (https://letsencrypt.org/2017/12/07/looking-forward-to-2018.html) сообщение, обобщающее итоги 2017 года и рассказывающее о планах на следующий год. В 2017 году доля запросов страниц по HTTPS увеличилось с 46% до 67%. Проектом Let's Encrypt выдано (https://letsencrypt.org/stats/) 46 млн сертификатов, охватывающих около 61 млн доменов, что составляет (https://nettrack.info/ssl_certificate_issuers.html) примерно 37% от всех выданных сертификатов.  В следующем году Let’s Encrypt намерен удвоить показатели и довести число выданных сертификатов до 90 млн, а число охваченных доменов до 120 млн.


В 2018 году также планируется представить вторую версию протокола ACME и обеспечить возможность  использования сертификатов, охватывающих группу поддоменов по маске (например, *.example.com). Сертификаты с масками можно будет генерировать начиная с 4 января 2018 года, в рамках начала тестирования API ACMEv2. Полноценный запуск нового API и масок запланирован на 27 февраля. Позднее в 2018 году планируется ввод в эксплуатацию корневого и промежуточных сертификатов, созданных с использованием алгоритма ECDSA (https://ru.wikipedia.org/wiki/ECDSA), более эффективного, чем ныне используемый RSA.


Текущая серверная инфраструктура Let's Encrypt обрабатывает примерно 2 миллиарда запросов в день. Оборудование размещено в двух датацентрах и все используемые серверы, хранилища, HSM, коммутаторы и межсетевые экраны занимают 70 юнитов в стойках. В следующем году для увеличения производительности и экономии энергии планируется заменить 10 серверов, занимающих по 2 юнита (2u), на 20 одноюнитовых серверов (1u).


Работу сервиса обеспечивают 5 постоянно трудоустроенных сотрудников, в 2018 году планируется нанять ещё одного человека. Запланированный бюджет на 2018 год составит 3 млн долларов, что всего на 13% больше, чем бюджет 2017 года. Средства собираются в основном за счёт финансовой помощи от крупных спонсоров, таких как Mozilla, Akamai, OVH, Cisco, Google, Electronic Frontier Foundation и  Ford Foundation.

URL: https://letsencrypt.org/2017/12/07/looking-forward-to-2018.html
Новость: http://www.opennet.ru/opennews/art.shtml?num=47713

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

2. "Проект Let's Encrypt опубликовал планы на 2018 год"  +/
Сообщение от Ilya Indigo (ok) on 09-Дек-17, 22:19 
А когда там у них в планах снова обновить лицензию. чтобы снова к чертям слетела вся автоматизация обновления на всех серверах?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Проект Let's Encrypt опубликовал планы на 2018 год"  –7 +/
Сообщение от Ilya Indigo (ok) on 09-Дек-17, 22:20 
Они её будут делать только через валидацию по dns. :-(
Ответить | Правка | Наверх | Cообщить модератору

4. "Проект Let's Encrypt опубликовал планы на 2018 год"  +/
Сообщение от Аноним (??) on 09-Дек-17, 22:30 
Ты о чём?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Проект Let's Encrypt опубликовал планы на 2018 год"  +9 +/
Сообщение от Аноним (??) on 09-Дек-17, 22:30 
> Они её будут делать только через валидацию по dns. :-(

А как ещё-то проверить, что у тебя есть права на домен?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Проект Let's Encrypt опубликовал планы на 2018 год"  –9 +/
Сообщение от Ilya Indigo (ok) on 09-Дек-17, 23:07 
По http.
Или по наличию доступа к базовому домену (да знаю, бывают случаи, когда базовый домен под www, и при этом тем кому доступен этот домен не должны иметь возможность зарегистрировать wildcard).
Или по разрешающей записи, по аналогии с CAA-записью, которая будет позволяет владельцу указанного домена или поддомена регистрировать wildcard.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Проект Let's Encrypt опубликовал планы на 2018 год"  +/
Сообщение от Ilya Indigo (ok) on 09-Дек-17, 23:17 
> Ты о чём?

Каждый раз при обращении по протоколу ACME нужно передавать url текущей лицензии, как знак твоего согласия с этой лицензией.
Я по началу ничего подозрительного не заподозрил, ну надо, значит надо.
И вот вчера я заметил, что на моих серверах не обновляются сертификаты и обращение завершается 400-какой-то ошибкой и выводом url-ей лицензий, на которые я не обратил внимания, подумал это просто шапка.
Думал что возможно что-то связанное с недавним переходом на openssl 1.1.0g.
А оказалось, он буквально хочет, чтобы я при авторизации передавал ему url свежайшей лицензии, то есть https://letsencrypt.org/documents/LE-SA-v1.2-November-15-201... без которого сервис отказывает мне в обслуживании!
Гениально!?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Проект Let's Encrypt опубликовал планы на 2018 год"  +/
Сообщение от Anonimus (??) on 10-Дек-17, 00:24 
Последние 6 месяцев такая проблема, я подумал, что LE решили устроить страдание таким образом.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Проект Let's Encrypt опубликовал планы на 2018 год"  +/
Сообщение от Аноним (??) on 10-Дек-17, 00:40 
> По http.

Это чтобы АНБ могло официально выписывать себе сертификаты на все что угодно, сделав MITM на транзитной циске?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Проект Let's Encrypt опубликовал планы на 2018 год"  +2 +/
Сообщение от Аноним (??) on 10-Дек-17, 00:42 
Ну а что, оригинальная у них антибот-капча.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Проект Let's Encrypt опубликовал планы на 2018 год"  –3 +/
Сообщение от Аноним (??) on 10-Дек-17, 01:29 
> Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом

Это прямое враньё, Let’s Encrypt контролируется корпорациями.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Проект Let's Encrypt опубликовал планы на 2018 год"  +1 +/
Сообщение от здравый смысл email on 10-Дек-17, 01:53 
А можно пруфы?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Проект Let's Encrypt опубликовал планы на 2018 год"  +5 +/
Сообщение от Аноним (??) on 10-Дек-17, 02:20 
И правильно. Другие способы валидации зло.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

15. "Проект Let's Encrypt опубликовал планы на 2018 год"  –1 +/
Сообщение от angra (ok) on 10-Дек-17, 02:28 
Легко, смотри последнее предложение в новости: "Средства собираются в основном за счёт финансовой помощи от крупных спонсоров, таких как Mozilla, Akamai, OVH, Cisco, Google, Electronic Frontier Foundation, IdenTrust, Ford Foundation и Internet Society.". Хотя ты можешь продолжать наивно верить, что те, кто платят, не заказывают музыку.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

16. "Проект Let's Encrypt опубликовал планы на 2018 год"  +/
Сообщение от angra (ok) on 10-Дек-17, 02:31 
> Проектом Let's Encrypt выдано (https://letsencrypt.org/stats/) 46 млн сертификатов
> Текущая серверная инфраструктура Let's Encrypt обрабатывает примерно 2 миллиарда запросов в день.

Очень интересно, что же составляет большую часть этих запросов. Судя по цифрам, это не выдача и обновление сертификатов.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Проект Let's Encrypt опубликовал планы на 2018 год"  +2 +/
Сообщение от Аноним (??) on 10-Дек-17, 04:14 
OCSP?
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

22. "Проект Let's Encrypt опубликовал планы на 2018 год"  +/
Сообщение от Аноним (??) on 10-Дек-17, 04:47 
Это не делает ее не некоммерческой организацией. Знаешь кто лучше чем они? Напиши
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

24. "Проект Let's Encrypt опубликовал планы на 2018 год"  –1 +/
Сообщение от Аноним (??) on 10-Дек-17, 09:23 
Думаешь, некоммерческая орг-я, - значит "хиппи-чудачки, работающие за идею"?

"Некоммерческая" у них только схема ухода от налогов (и проверки от государства на предмет характера выполняемых сотрудниками работ). С механизмом управления тип учреждения не связан от слова "никак". Можно создать PR-организацию, которая за твои деньги будет поливать твоих конкурентов г-ном (Microsoft, например, так и делает), и она тоже сможет гордо называть себя "некоммерческой": доходов нет, дивиденты никому не выплачиваются.

До тех пор, пока от компании нет прямой прибыли, некоммерческим может быть что-угодно, лишь бы удалось убедить отвечающих за присвоение ярлычка бюрократов.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "Проект Let's Encrypt опубликовал планы на 2018 год"  –1 +/
Сообщение от Аноним (??) on 10-Дек-17, 09:57 
Это Mozilla виноваты, что Firefox до сих пор дёргает OCSP-серверы на каждый полученный сертификат. Chrome вместо этой фигни давно использует централизованный чёрный список (и правильно делает).

Сама идея OCSP (заставить клиента перед отзывом сертификата организации вежливо интересоваться у CA этой организации) — полный швах, не выдерживающий столкновения с реальностью.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

27. "Проект Let's Encrypt опубликовал планы на 2018 год"  +2 +/
Сообщение от DmA (??) on 10-Дек-17, 10:32 
Кто боится давления со стороны Lets по блокировке неугодных сайтов или МИТМ атакам, то это же tcp/ip -всегда можно сделать некую автономную структуру внутри определённой территории (дома,села, города или района) без всякой цензуры!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Проект Let's Encrypt опубликовал планы на 2018 год"  +1 +/
Сообщение от Hellraiser email(??) on 10-Дек-17, 11:43 
всё правильно - на самом деле Let’s Encrypt распространяет не сертификаты, а ... трояны; причём эти трояны используют технологию 25-го кадра, зомбируя тех, кто их использует; судя по отчёту, зомби-бот уже превысил 40 млн
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

29. "Проект Let's Encrypt опубликовал планы на 2018 год"  +2 +/
Сообщение от Кирилл (??) on 10-Дек-17, 12:48 
Освойте уже Stapling и прекратите ныть.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

30. "Проект Let's Encrypt опубликовал планы на 2018 год"  +1 +/
Сообщение от Аноним (??) on 10-Дек-17, 13:09 
Не знаю, certbot из репы как работал, так и работает. Последний раз обновлялся в июле.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

31. "Проект Let's Encrypt опубликовал планы на 2018 год"  +/
Сообщение от Аноним (??) on 10-Дек-17, 13:11 
> Думаешь, некоммерческая орг-я, - значит "хиппи-чудачки, работающие за идею"?

А ты именно так представляешь себе "сообщество"? Ну так у меня для тебя плохие новости…

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

32. "Проект Let's Encrypt опубликовал планы на 2018 год"  +1 +/
Сообщение от xm (ok) on 10-Дек-17, 13:37 
Ключ --agree-tos не спасёт отца русской демократии?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

33. "Проект Let's Encrypt опубликовал планы на 2018 год"  +/
Сообщение от None (??) on 10-Дек-17, 13:50 
46 миллионов сертификатов, 3 млн долларов...
Это 6,5 центов за сертификат себестоимость получается.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Проект Let's Encrypt опубликовал планы на 2018 год"  +2 +/
Сообщение от Crazy Alex (ok) on 10-Дек-17, 17:04 
ну вот примерно из-за этого всякие коммерческие торговцы и бесят
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

35. "Проект Let's Encrypt опубликовал планы на 2018 год"  –1 +/
Сообщение от Аноним (??) on 10-Дек-17, 17:35 
> всегда можно сделать некую автономную структуру внутри определённой территории (дома,села, города или района) без всякой цензуры!

и как её сделать?

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

36. "Проект Let's Encrypt опубликовал планы на 2018 год"  +4 +/
Сообщение от iv on 10-Дек-17, 18:45 
Управляется сообществом корпораций.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

37. "Проект Let's Encrypt опубликовал планы на 2018 год"  +/
Сообщение от IdeaFix email(ok) on 10-Дек-17, 19:27 
Кстати, стартссл всё :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Проект Let's Encrypt опубликовал планы на 2018 год"  +/
Сообщение от Аноним (??) on 10-Дек-17, 21:52 
Выраженный синдром утенка: "все говорят: делай stapling, значит и мне надо".

Stapling, как и OCSP – бесмысленная трата трафика. Ок, мой сервер сломали. Или ещё лучше – сервер моего CA. Первый запрашивает у второго OCSP и отправляет ответ пользователю. Стоп, что???

Или ещё лучше – абстрактная компроментация ключа в вакууме. Чтобы OCSP-ответ о ней сообщил нужно чтобы о ней узнал CA. Внимание вопрос: в чём здесь профит OCSP? С задержкой сообщить пользователю то, про что он и так должен от меня узнать? Так к этому моменту я уже должен выкатить новый сертификат.

Нет и не может быть сценария, когда OCSP приносит реальную пользу.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

40. "Проект Let's Encrypt опубликовал планы на 2018 год"  +/
Сообщение от Johny on 10-Дек-17, 22:26 
> Они её будут делать только через валидацию по dns. :-(

а почему это вас расстраивает?
с этим есть хоть какие-то проблемы?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

41. "Проект Let's Encrypt опубликовал планы на 2018 год"  +/
Сообщение от Johny on 10-Дек-17, 22:27 

> А оказалось, он буквально хочет, чтобы я при авторизации передавал ему url
> свежайшей лицензии, то есть https://letsencrypt.org/documents/LE-SA-v1.2-November-15-201...
> без которого сервис отказывает мне в обслуживании!

dehydrated ничего такого не просил и не просит

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

44. "Проект Let's Encrypt опубликовал планы на 2018 год"  +/
Сообщение от Аноним (??) on 11-Дек-17, 00:03 
не удивлюсь, если все закрытые ключи давно у америкосов в папочке лежат. шифровать этими ключами что-то важное с точки зрения американца нельзя.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "Проект Let's Encrypt опубликовал планы на 2018 год"  +4 +/
Сообщение от Аноним (??) on 11-Дек-17, 04:22 
Закрытые ключи корневых сертификатов? Если имел в виду тех, что выдаются пользователям, то LE твои закрытые ключи не видит и не получает, ты генерируешь их у себя сам, LE только подписывает открытые ключи своим закрытым.
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

46. "Проект Let's Encrypt опубликовал планы на 2018 год"  –1 +/
Сообщение от Аноним (??) on 11-Дек-17, 05:43 
АНБ и так может выкатывать себе все что угодно. Не забываем, в чем состоит суть самой модели CA.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

49. "Проект Let's Encrypt опубликовал планы на 2018 год"  –2 +/
Сообщение от Ilya Indigo (ok) on 11-Дек-17, 12:21 
Тем что мне охота специально для этого держать bind, на том же самом сервере, на которому меня web/mail сервера.
DNS-сервер должен находится не то что на отдельном сервере, а вообще в другом месте земного шара, это же система валидации, как я понял, предлагает прописать в настройках домена DNS-сервера самого себя, и возложить на локальный бинд ответственность за этот домен.
В это схеме перехватчик получит контроль сразу и над сервером, и над доменом сразу с одного перехваченного узла.
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

50. "Проект Let's Encrypt опубликовал планы на 2018 год"  +/
Сообщение от Crazy Alex (ok) on 11-Дек-17, 13:16 
А сделать какое-то ограниченное управление к тому самому днс-серверу на краю земли - не судьба? Ну ладно, и без тебя сделают, если оно хоть кому-то надо
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

51. "Проект Let's Encrypt опубликовал планы на 2018 год"  +4 +/
Сообщение от Аноним (??) on 11-Дек-17, 13:27 
> не удивлюсь, если все закрытые ключи давно у америкосов в папочке лежат

У жидомасонов же.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

52. "Проект Let's Encrypt опубликовал планы на 2018 год"  –1 +/
Сообщение от Ilya Indigo (ok) on 11-Дек-17, 13:33 
> А сделать какое-то ограниченное управление к тому самому днс-серверу на краю земли
> - не судьба? Ну ладно, и без тебя сделают, если оно
> хоть кому-то надо

Регистраторам доменов, бесплатно предоставляющих свои DNS-сервера, предоставлять мне ещё интерфейс для DNS-валидации, точно будет не судьба. :-(

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

53. "Проект Let's Encrypt опубликовал планы на 2018 год"  +/
Сообщение от ruata on 11-Дек-17, 14:01 
С Yandex DNS / ПДД через API полностью автоматизируется, например в getssl
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

54. "Проект Let's Encrypt опубликовал планы на 2018 год"  –2 +/
Сообщение от пох on 11-Дек-17, 15:05 
> Гениально!?

а то!
Не забывайте регулярно обновлять ваши скрипты, делающие хз что, из нашего единственно-верного репо.
Иначе есть риск, что ваши сертификаты внезапно превратятся в тыкву, а http-то вы уже героически победили.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

55. "Проект Let's Encrypt опубликовал планы на 2018 год"  +/
Сообщение от пох on 11-Дек-17, 15:14 
> Stapling, как и OCSP – бесмысленная трата трафика. Ок, мой сервер сломали.
> Или ещё лучше – сервер моего CA. Первый запрашивает у второго

не читал, но осуждаю?
То есть ни область применимости, ни механизм работы - ни разу не поняты, но мнение - имеешь?

> Или ещё лучше – абстрактная компроментация ключа в вакууме. Чтобы OCSP-ответ о

неабстрактная - ломанули твой сервер, и ключики тютю.

> ней сообщил нужно чтобы о ней узнал CA. Внимание вопрос: в

ну вот узнал, пометил как невалидный, и дальше что? Пользователь ничего об этих отметках не знает, списки revoked certs не грузятся уже сто лет. И если попадает, внезапно, не к тебе, а к тому самому, которому достались ключики (dns poisoning там, или к твоему апстриму кто-то присосался) - наивно верит, что у него защищенная сессия с твоим сайтом.

ocsp эту проблему решает. stapling решает проблему досужего любопытства CA, что у тебя там за юзеры и откуда взялись.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

56. "Проект Let's Encrypt опубликовал планы на 2018 год"  +2 +/
Сообщение от dq0s4y71 (ok) on 11-Дек-17, 15:39 
Ты не поверишь, но Free Software Foundation тоже существует за счёт финансовой помощи от крупных спонсоров, таких как IBM, HP, Nec, Alibaba и др. https://www.fsf.org/patrons Значит ли это, что он тоже "контролируется корпорациями"?
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

57. "Проект Let's Encrypt опубликовал планы на 2018 год"  +1 +/
Сообщение от Всем Анонимам Аноним on 11-Дек-17, 16:14 
А ему все-равно, ведь комментарий бы не технический, а националистский.
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

58. "Проект Let's Encrypt опубликовал планы на 2018 год"  +/
Сообщение от Crazy Alex (ok) on 11-Дек-17, 16:36 
Там комментарием выше перед тобой, как минимум, кроме единственно-верного ещё dehidrated помянули как вполне работающий
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

59. "Проект Let's Encrypt опубликовал планы на 2018 год"  +1 +/
Сообщение от Crazy Alex (ok) on 11-Дек-17, 16:40 
Ну будешь выбирать регистратора (или провайдера DNS) который это умеет. Если уж тебе нужны вайлдкард-сернтификаты это в любом случае подразумевает некие объёмы и разборчивость, а чаще - вообще свои DNS. Да и они зачешутся, куда денутся. Или на худой конец будешь жить так, как живёш сейчас, никто у тебя ничего не забирает.
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

60. "Проект Let's Encrypt опубликовал планы на 2018 год"  –1 +/
Сообщение от Ilya Indigo (ok) on 11-Дек-17, 16:55 
> Ну будешь выбирать регистратора (или провайдера DNS) который это умеет. Если уж
> тебе нужны вайлдкард-сернтификаты это в любом случае подразумевает некие объёмы и
> разборчивость, а чаще - вообще свои DNS. Да и они зачешутся,
> куда денутся. Или на худой конец будешь жить так, как живёш
> сейчас, никто у тебя ничего не забирает.

Если они подтянутся, то будет здорово.
Да, я и сейчас нормально живу, только вместо нескольких десятков файлов на каждом сервере может быть только 3, а так сам вайлдкард мне и впрямь не нужен.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

61. "Проект Let's Encrypt опубликовал планы на 2018 год"  –1 +/
Сообщение от пох on 11-Дек-17, 18:42 
> Там комментарием выше перед тобой, как минимум, кроме единственно-верного ещё dehidrated
> помянули как вполне работающий

если дурацкая лицензия действительно часть апи - то, значит, либо тоже "не забывайте обновлять, из другого репо", либо он там сам к чему-то делает запрос, что подсказывает ему, какая нынче лицензия правильная.

в общем, так себе идеология.


Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

62. "Проект Let's Encrypt опубликовал планы на 2018 год"  –1 +/
Сообщение от Аноним (??) on 11-Дек-17, 20:59 
Безусловно, значит. Вопрос только в степени этого контроля.
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

63. "Проект Let's Encrypt опубликовал планы на 2018 год"  +/
Сообщение от Аноним (??) on 11-Дек-17, 21:02 
> и как её сделать?

Очевидно, на пауэр шелле.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

64. "Проект Let's Encrypt опубликовал планы на 2018 год"  +2 +/
Сообщение от Led (ok) on 11-Дек-17, 22:26 
> не удивлюсь, если все закрытые ключи давно у америкосов в папочке лежат.

В мамочке же, вендодятел!

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

65. "Проект Let's Encrypt опубликовал планы на 2018 год"  +/
Сообщение от Вулх on 12-Дек-17, 03:09 
И что с того? Всё равно можно будет автоматизировать
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

66. "Проект Let's Encrypt опубликовал планы на 2018 год"  +/
Сообщение от Аноним (??) on 12-Дек-17, 05:39 
Ещё раз – чтобы OCSP-ответ сообщил пользователю, что "дело швах" *владелец сертификата* должен сообщить об этом CA.

Т.е. использование OCSP  позволит клиенту узнать о проблеме только если о ней и так известно основным заинтересованным лицам (а не заинтересованный в чёрном пиаре админ просто забьёт на ревокацию).

Если о проблеме известно, а злоумышленник вволю "подсасывается к апстриму" и "отравляет DNS", то владельцу сайта нужно делать публичное заявление о взломе, а пользователю – искать политического убежища где-нибудь в Уганде.

А то ведь такой злоумышленник может и от управления сертификатом отлучит (и продолжать "подсосавшись к апстриму" получать новые сертификаты через HTTP -challenge CA). И через DNS перенаправить пользователя на свой сервак, для которого у него есть *валидный* сертификат.

И OCSP при этом поможет как мёртвому припарка.

Если ваш сайт интересен таким злоумышленникам, самый надёжный способ — раструбить про взлом и исправить причины. А OCSP — удобное оправдание для не желающих это делать, не более.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

67. "Проект Let's Encrypt опубликовал планы на 2018 год"  +/
Сообщение от Аноним (??) on 14-Дек-17, 14:37 
С разморозкой!
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor