The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

17.10.2017 21:31  Проект Let's Encrypt представил модуль для http-сервера Apache

Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, представил выпуск mod_md 1.0, модуля к http-серверу Apache для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment).

При помощи mod_md можно упростить процесс сопровождения сертификатов на серверах с большим числом сайтов или в системах массового хостинга. При наличии mod_md пользователям не нужно заботиться об обновлении сертификатов, модуль сам получит необходимые сертификаты в сервисе Let’s Encrypt при первом запуске, организует их загрузку в mod_ssl (указание директив SSLCertificate* не требуется) и периодически будет обновлять сертификаты при приближении к истечению срока действия.

Модуль mod_md уже принят в экспериментальную ветку Apache httpd и запланирован к бэкпортированию в стабильную ветку 2.4.x. Из нововведений экспериментальной ветки httpd также отмечается новая директива SSLPolicy, упрощающая корректную настройку параметров TLS, благодаря выбору готовых типовых настроек вместо перечисления списка допустимых шифров. Предложено три базовых режима: modern - включение только самых передовых шифров, поддерживаемых в современных браузерах; intermediate - возможность отката на не самые современные, но не устаревшие шифры для старых клиентов; old - возможность использования устаревших шифров для таких систем, как Windows XP/Internet Explorer 6.

  1. Главная ссылка к новости (https://letsencrypt.org//2017/...)
  2. OpenNews: Компания Mozilla распределила 539 тысяч долларов на гранты открытым проектам
  3. OpenNews: Let's Encrypt обеспечит поддержку масок в сертификатах
  4. OpenNews: Некоммерческий удостоверяющий центр Let's Encrypt начал выдачу сертификатов всем желающим
  5. OpenNews: Доля обращений по HTTPS среди пользователей Firefox превысила 50%
  6. OpenNews: Сервис Let's Encrypt преодолел рубеж в 100 млн сертификатов
Лицензия: CC-BY
Тип: Программы
Ключевые слова: acme, apache, letsencrypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 21:53, 17/10/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +10 +/
    > mod_md

    Чтобы никто не догадался?

     
     
  • 2.2, eRIC (ok), 22:02, 17/10/2017 [^] [ответить]    [к модератору]
  • +4 +/
    > Чтобы никто не догадался?

    ага, могли бы mod_acme или mod_letsencrypt назвать


     
     
  • 3.7, Аноним (-), 22:57, 17/10/2017 [^] [ответить]    [к модератору]
  • +3 +/
    https://github.com/icing/mod_md/issues/46
     
  • 2.3, ZimniY (ok), 22:03, 17/10/2017 [^] [ответить]    [к модератору]
  • +13 +/
    mod_mod будет загадочнее
     
  • 2.5, . (?), 22:42, 17/10/2017 [^] [ответить]    [к модератору]
  • +1 +/
    > > mod_md
    > Чтобы никто не догадался?

    ManagedDomain. Чтобы тоже никто не догадался.

     
  • 1.4, Уборщица (?), 22:16, 17/10/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    mod_markdown? лил
     
  • 1.8, A (?), 23:00, 17/10/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Может для Nginx такое не просто появится, но и в поставку войдет? Наконец Symantec и компания зачешутся!
     
     
  • 2.13, Аноним (-), 01:40, 18/10/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Ну для nginx уже давно есть. Правда довольно муторно для настройки.
     
     
  • 3.16, istepan (ok), 07:32, 18/10/2017 [^] [ответить]    [к модератору]  
  • +/
    certbot не сложен в настройке. Там на симлинках все.
     
  • 1.10, Онаним (?), 00:35, 18/10/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –19 +/
    Неужели Апачем до сих пор кто-то пользуется на продакшн-серверах?
     
     
  • 2.11, Олег Михайлович Сиденко (?), 01:22, 18/10/2017 [^] [ответить]    [к модератору]  
  • +8 +/
    Ещё как! Покуда это единственный сервер в котором программисты могут сами себе реврайтить и пхп конфиги менять он будет жить.
     
     
  • 3.12, SSHServerNode.jsGolangElixir... (?), 01:29, 18/10/2017 [^] [ответить]    [к модератору]  
  • –10 +/
    Неужели ПХП до сих пор кто-то пользуется на продакшн-серверах?
     
     
  • 4.14, Аноним (-), 06:05, 18/10/2017 [^] [ответить]    [к модератору]  
  • +/
    social network
     
  • 4.15, Аноним (-), 07:25, 18/10/2017 [^] [ответить]    [к модератору]  
  • +/
    Facebook, vk и куча овна на wordpress'е
     
     
  • 5.18, Онаним (?), 08:44, 18/10/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    И чё, Facebook и vk гоняют PHP через Apache?

    А WordPress - это не продакшн, 99% это любительские недосайтики по определению.

     
     
  • 6.45, _ (??), 17:07, 18/10/2017 [^] [ответить]     [к модератору]  
  • +/
    Да где ты видел чтоб софт юзали для того, для чего он делался - Зайди на любо... весь текст скрыт [показать]
     
     
  • 7.66, пох (?), 13:58, 19/10/2017 [^] [ответить]     [к модератору]  
  • +/
    это если открывается А если вместо магазина какая-то херь про b_cache_tag - м... весь текст скрыт [показать]
     
  • 6.63, SSHServerNode.jsGolangElixir... (?), 23:17, 18/10/2017 [^] [ответить]    [к модератору]  
  • +/
    Facebook, Wikipedia и WordPress гоняют через HHVM
     
  • 5.33, Аноним (-), 13:23, 18/10/2017 [^] [ответить]    [к модератору]  
  • +/
    > Facebook, vk и куча овна на wordpress'е

    Вот я прям как жопой чувствовал, что Facebook и vk на wordpress'е работают.

     
  • 4.17, istepan (ok), 07:34, 18/10/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > Неужели ПХП до сих пор кто-то пользуется на продакшн-серверах?

    Пых слишком хорош, чтоб о нем так просто забыли.

    Альтернативы?

    Их нет.

     
     
  • 5.19, Вадик (??), 09:19, 18/10/2017 [^] [ответить]    [к модератору]  
  • +/
    Плагины текут у него безбожно. Хоть бы кто и valgrind'ом прогнал бы...
     
  • 5.21, лютый жабист__ (?), 09:24, 18/10/2017 [^] [ответить]    [к модератору]  
  • +/
    >Пых слишком хорош, чтоб о нем так просто забыли.

    Во(и)стену! Весь хайлоад крутится на пыхе+апач. Ещё тарантуул и вообще выходит непобедимо!

     
     
  • 6.47, _ (??), 17:56, 18/10/2017 [^] [ответить]     [к модератору]  
  • +/
    На весь хайлоад работает менее 1 всех ЫненеГров Вот к примеру ты - не работаеш... весь текст скрыт [показать]
     
     
  • 7.72, лютый жабист__ (?), 07:33, 20/10/2017 [^] [ответить]     [к модератору]  
  • +/
    Плох тот инженегр, который не хочет спать с генералом Вообще, я больше по ba... весь текст скрыт [показать]
     
  • 2.20, Аноним (-), 09:23, 18/10/2017 [^] [ответить]     [к модератору]  
  • –3 +/
    Ну, если говорить о продакшн серверах, то нгинкс там не более чем фронтенд А ... весь текст скрыт [показать]
     
     
  • 3.22, Аноним (-), 09:42, 18/10/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    Он ещё и терминирует https(ssl), так-что смысл в модуле в apache более сомнителен.
     
     
  • 4.23, пох (?), 10:12, 18/10/2017 [^] [ответить]     [к модератору]  
  • –5 +/
    сейчас модно внутренний траффик тоже пускать overssl и непременно http 2, чтоб в... весь текст скрыт [показать]
     
     
  • 5.49, _ (??), 18:00, 18/10/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    пох, ты закусывай - середина недели же Сайтикам ssl нужен потому что без него г... весь текст скрыт [показать]
     
     
  • 6.54, пох (?), 19:01, 18/10/2017 [^] [ответить]     [к модератору]  
  • +/
    да лана, не читай вместо завтрака опеннетовские комменты,пока ничего не предвеща... весь текст скрыт [показать]
     
  • 1.24, Ilya Indigo (ok), 10:53, 18/10/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Не то что прямо уж сильно нужно, но не помешает.
    > mod_md

    Название конечно..,
    Чем их название mod_le не устроило?
    А вайлдкарды, по dns оно сможет регистрировать?

    Вот у меня вопрос, НЕ холивара и хайпа ради, на офф форуме, пока, не решился задать, из-за моего английского.

    Допустим мне, да и не только мне, нужна только domain validation (DV), про расширенную (EV) пока не говорю, хотя le только с DV и работает.
    почему бы просто, не создавать самоподписанный сертификат, причём на любые домены, к которым есть доступ для добавления DNS-записи, любым алгоритмом который поддерживают браузеры, и на любой срок, после чего "слепок" (modules) ключа поместить в специальную DNS-запись для соответствующих A и AAAA записей.
    Браузер обнаруживает самоподписанный сертификат, обращается к этой DNS-записи, сверяет отпечатки, и если они соответствуют, то считает сертификат и соединение надёжными, а если DNS-запись установлена и она или пустая или не соответсвует сертификату, пускай даже валидный и подписанный УЦ, но она не соответствует этому сертификату, то браузер люто ругается и блокирует ресурс.

    Вроде все счастливы были бы, и безопасность и скорость и надёжность на порядке выше, а УЦ, вроде LE, вообще были бы не нужны! Разве что только для EV и лентяям, которые привыкли просто платить и не думать.

    Почему так не происходит, а вместо этого существует LE?
    Какую кардинально-важную деталь я упускаю, кроме EV?

     
     
  • 2.25, Аноним (-), 11:11, 18/10/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    я в твоей схеме не понимаю, что помешает злоумышленнику, получившему контроль над твоей DNS записью, изменить и А запись, и слепок? В итоге - угоняем домен и у всех "светится" валидный сертификат.
     
     
  • 3.26, Ilya Indigo (ok), 11:22, 18/10/2017 [^] [ответить]     [к модератору]  
  • +4 +/
    Если у Вас угнали доступы к DNS, то тут уже ничего Вам не поможет, кроме их восс... весь текст скрыт [показать]
     
     
  • 4.28, КО (?), 12:13, 18/10/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    У клиента же Речь про то, что сертификат это способ проверки того, куда направл... весь текст скрыт [показать]
     
     
  • 5.29, Ilya Indigo (ok), 12:23, 18/10/2017 [^] [ответить]     [к модератору]  
  • +/
    Не совсем удачный вы выбрали ник Куда в A или AAAA записях будет прописано, туд... весь текст скрыт [показать]
     
     
  • 6.58, angra (ok), 21:04, 18/10/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Злоумышленник подсовывает _конкретному клиенту_ свои записи DNS, вместо твоих И... весь текст скрыт [показать]
     
     
  • 7.60, Ilya Indigo (ok), 22:00, 18/10/2017 [^] [ответить]    [к модератору]  
  • +/
    Благодарю! Понял.
     
  • 5.32, Аноним (-), 12:49, 18/10/2017 [^] [ответить]     [к модератору]  
  • +/
    Сертификат DV не является средством проверки DNS Его выдача при любой схеме так... весь текст скрыт [показать]
     
     
  • 6.38, Ilya Indigo (ok), 14:53, 18/10/2017 [^] [ответить]     [к модератору]  
  • +/
    Я никогда не использовал EV-сертификаты, но полагаю, что от этого и они тоже не ... весь текст скрыт [показать]
     
     
  • 7.40, Аноним (-), 15:16, 18/10/2017 [^] [ответить]     [к модератору]  
  • +/
    Ну это уже другая история Можно сказать, что никакие сертификаты ни от чего не ... весь текст скрыт [показать]
     
  • 6.73, КО (?), 08:59, 21/10/2017 [^] [ответить]     [к модератору]  
  • +/
    и это не одно и то же Хотспот в кафе может вместо 8 8 8 8 подставьте любой адр... весь текст скрыт [показать]
     
  • 3.30, пох (?), 12:35, 18/10/2017 [^] [ответить]    [к модератору]  
  • –7 +/
    да тут пичаль полная - клиент безнадежен, даже со второго раза до него не доходит.

    ну вот такие люди у нас и идут в админы, других сто лет не делают.

     
  • 2.31, Аноним (-), 12:43, 18/10/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    DANE уже давно придумали Но у него есть два недостатка во-первых, он имеет смы... весь текст скрыт [показать]
     
     
  • 3.34, пох (?), 13:35, 18/10/2017 [^] [ответить]     [к модератору]  
  • –2 +/
    он даже при повсеместном не имеет никакого смысла, потому что мы просто вернем ю... весь текст скрыт [показать]
     
  • 3.36, Ilya Indigo (ok), 14:45, 18/10/2017 [^] [ответить]    [к модератору]  
  • +/
    > DANE уже давно придумали.

    DANE - это совсем другое, это механизм аутентификации, а не валидации.

     
     
  • 4.39, Аноним (-), 15:12, 18/10/2017 [^] [ответить]    [к модератору]  
  • +/
    Зато в нём нет лишних сущностей, коей является УЦ.
     
  • 2.44, XoRe (ok), 16:53, 18/10/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Провайдера клиента Провайдер может и DNS записи подменить и трафик до сайта спр... весь текст скрыт [показать]
     
     
  • 3.46, Ilya Indigo (ok), 17:29, 18/10/2017 [^] [ответить]     [к модератору]  
  • –2 +/
    И как же эту величественную проблему решает классическая схема с УЦ ... весь текст скрыт [показать]
     
     
  • 4.48, XoRe (ok), 17:58, 18/10/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    За счет списка доверенных УЦ на клиенте Сертификат УЦ лежит на клиенте, клиент ... весь текст скрыт [показать]
     
     
  • 5.55, Ilya Indigo (ok), 19:44, 18/10/2017 [^] [ответить]     [к модератору]  
  • +/
    А что мешает провайдеру, получившему контроль над ДНС, зарегистрировать валидный... весь текст скрыт [показать]
     
     
  • 6.59, angra (ok), 21:14, 18/10/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Ну пойди зарегистрируй кстати, они подписываются, а не регистрируются валидный ... весь текст скрыт [показать]
     
     
  • 7.61, Ilya Indigo (ok), 22:13, 18/10/2017 [^] [ответить]     [к модератору]  
  • +/
    Да без проблем, скидывайте доступы на их ДНС, и я через сабж получу подписанный ... весь текст скрыт [показать]
     
     
  • 8.68, XoRe (ok), 17:21, 19/10/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Есть несколько другой вариант - CAA записи https www opennet ru tips 3028_ssl... весь текст скрыт [показать]
     
     
  • 9.71, Ilya Indigo (ok), 20:06, 19/10/2017 [^] [ответить]     [к модератору]  
  • +/
    Этот вариант мне известен и уже применяется мной Но, к сожалению, пока нет обяз... весь текст скрыт [показать]
     
  • 5.56, Ilya Indigo (ok), 19:54, 18/10/2017 [^] [ответить]    [к модератору]  
  • +/
    > Я согласен, что у доверенных УЦ есть свои минусы.
    > Но в вашей схеме серификат передается вообще по нешифрованным каналам - DNS.  
    > Это сводит на нет все дальнейшее шифрование.

    Ничего подобного!
    Сертификат состоит из пары закрытого и открытого ключей.
    Открытый ключ передаётся всегда всем и как угодно!
    Закрытый ключ лежит только на сервере и он никому никогда не передаётся.
    В ДНС прописан отпечаток ключа, а не сам ключ.

     
     
  • 6.65, Аноним (-), 09:07, 19/10/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    s/нешифрованным/ненадёжным/
     
  • 6.67, XoRe (ok), 17:19, 19/10/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > В ДНС прописан отпечаток ключа, а не сам ключ.

    Провайдеру ничего не мешает сгенерить серитифкат, а в DNS отдавать его слепок.
    Если все ограничивается только ненадежным DNS, без дополнительных проверок чего-либо ещё, вам придется верить DNS на слово.
    А что туда записать - технический момент.

     
  • 4.50, XoRe (ok), 18:06, 18/10/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Вообще есть технология HTTP Public Key Pinning, там в DNS прописываются отпечатки сертификатов.
    Т.е. защита от подмены сертификата на другой, даже валидный.
    Но там очень легко выстрелить себе в ногу так, что оторвет голову.
    Если неправильно настроить, можно закешировать на клиентах запись о том, что ваш текущий сертификат - фигня.
    И все, нужен новый сертификат.
     
     
  • 5.52, пох (?), 18:27, 18/10/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    мда, у нас сегодня парад анонов, где-то слышавших звон pkp не имеет ни малейшег... весь текст скрыт [показать]
     
     
  • 6.69, XoRe (ok), 17:26, 19/10/2017 [^] [ответить]    [к модератору]  
  • +/
    > pkp не имеет ни малейшего отношения к dns.

    Да, неправильно написал.
    Там заголовки в HTTP ответе.

    > Если же ты платишь за них по $90 штучка (или по $800
    > за EV), то тут у тебя начинаются некоторые проблемы

    Если проект коммерческий и вышел на некоторую прибыль, 90$ - не проблема.

     
     
  • 7.70, пох (?), 18:42, 19/10/2017 [^] [ответить]    [к модератору]  
  • +/
    > Если проект коммерческий и вышел на некоторую прибыль, 90$ - не проблема.

    обычно таким проектам по многим причинам приходится раскошеливаться на EV, а там 90 внезапно превращаются в около-900. И их уже выкидывать стопками ради очень сомнительного улучшизма могут разьве что "коммерческие проекты" размером с  мордокнигу.

    А для маргинального проектика с копеейчной прибылью, еле-еле покрывающей расходы, _еще_раз_ $90 за воздух - уже совсем лишняя трата.

    А вот microsofтогуглегрызку - оно на халяву дается. Поэтому при попытке назойливо поинтересоваться, что это такое они о тебе сливают хозяевам - тебя ждет pkp'шный облом.

     
     
  • 8.74, XoRe (ok), 02:39, 22/10/2017 [^] [ответить]    [к модератору]  
  • +/
    > А для маргинального проектика с копеейчной прибылью, еле-еле покрывающей расходы, _еще_раз_
    > $90 за воздух - уже совсем лишняя трата.

    Маргинальному проектику зеленый свет в сторону let's encrypt.
    А в крупных компаниях - да, трудновато будет уговорить перевести все на LE.

     
  • 5.57, Ilya Indigo (ok), 20:09, 18/10/2017 [^] [ответить]    [к модератору]  
  • +/
    > Вообще есть технология HTTP Public Key Pinning, там в DNS прописываются отпечатки
    > сертификатов.
    > Т.е. защита от подмены сертификата на другой, даже валидный.
    > Но там очень легко выстрелить себе в ногу так, что оторвет голову.
    > Если неправильно настроить, можно закешировать на клиентах запись о том, что ваш
    > текущий сертификат - фигня.
    > И все, нужен новый сертификат.

    Я так понимаю Вы имеете ввиду HTTP Public Key Pinning (HPKP).
    Это тоже не то, так как она, как Вы ране упомянули, кеширует у клиента отпечаток ключа, не давая возможности, до истечения срока кеша, изменить сертификат самому серверу, что очень не удобно.
    Мне кажется это лишнее и ненужное действе. Не нужно кешировать слепок ключа, его нужно при каждом обращении сверять с ДНС, что бы сервер мог, при желании, хоть каждый день их менять, и при этом не у кого их не подписывать в ограниченном количестве. А пользователь будет уверен, что он общается с этим сервером.
    А если клиент, то есть администратор ресурса, не доверяет своему собственному регистратору домена, то тут уже ничего не поможет, да и классическая схема от этого не защищает.

     
     
  • 6.62, Аноним (-), 23:07, 18/10/2017 [^] [ответить]     [к модератору]  
  • +/
    Не совсем так Просто о замене сертификата надо побеспокоиться заранее, и запини... весь текст скрыт [показать]
     
  • 4.51, пох (?), 18:10, 18/10/2017 [^] [ответить]     [к модератору]  
  • –4 +/
    ты все же феноменально тyпой То есть ладно, еще - быть админом но не понимать и... весь текст скрыт [показать]
     
  • 1.27, Аноним (-), 12:12, 18/10/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    осталось написать модуль админки под это в виде mod_mdadm (with zfs support)
     
     
  • 2.43, Аноним (-), 16:14, 18/10/2017 [^] [ответить]    [к модератору]  
  • +/
    Ага, и mod_luks.
     
  • 1.35, qwe (??), 14:06, 18/10/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Почему не сделать выдачу на пол/целый год?
     
     
  • 2.37, Andrey Mitrofanov (?), 14:50, 18/10/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > Почему не сделать выдачу на пол/целый год?

    В маркетинге сказали, что, мол, чем больше они за нами бегают, тем лучше Товар. Они-то знают!!

     
  • 2.41, Аноним (-), 15:19, 18/10/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    > Почему не сделать выдачу на пол/целый год?

    https://letsencrypt.org/2015/11/09/why-90-days.html

     
     
  • 3.42, Andrey Mitrofanov (?), 15:46, 18/10/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    >> Почему не сделать выдачу на пол/целый год?
    > https://letsencrypt.org/2015/11/09/why-90-days.html

    %) "Как научиться про[полимеры]вать ключи и перестать беспокоиться. Опера-балет в двух актах, коротенько."

     
     
  • 4.53, пох (?), 18:39, 18/10/2017 [^] [ответить]    [к модератору]  
  • +/
    > %) "Как научиться про[полимеры]вать ключи и перестать беспокоиться.
    > Опера-балет в двух актах, коротенько."

    обрати только внимание - правдивый ответ - во втором акте.
    "мы таким образом *заставим* вас использовать [нашу] автоматику" (запудрив вам мозги про беспокойство о просере ключей)
    Соответственно - лишим вас возможности не хранить нешифрованные ключи на сервере, а ваших пользователей - доверять вашему _сертификату_, а не только нашей подписи под ним -  для чего, полагаю, все и затеяно на самом деле.

    Ну и попутно заставим либо исполнять свои кривые скрипты, либо вообще втыкать в веб-сервер наши модули - а что они там делают (и что будет делать версия x.y.z+1 ) - тебе знать необязательно. Но это так, побочная фишка, скорее всего.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor