The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Проект Let's Encrypt опубликовал планы на 2018 год

09.12.2017 21:52

Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, опубликовал сообщение, обобщающее итоги 2017 года и рассказывающее о планах на следующий год. В 2017 году доля запросов страниц по HTTPS увеличилось с 46% до 67%. Проектом Let's Encrypt выдано 46 млн сертификатов, охватывающих около 61 млн доменов, что составляет примерно 37% от всех выданных сертификатов. В следующем году Let’s Encrypt намерен удвоить показатели и довести число выданных сертификатов до 90 млн, а число охваченных доменов до 120 млн.

В 2018 году также планируется представить вторую версию протокола ACME и обеспечить возможность использования сертификатов, охватывающих группу поддоменов по маске (например, *.example.com). Сертификаты с масками можно будет генерировать начиная с 4 января 2018 года, в рамках начала тестирования API ACMEv2. Полноценный запуск нового API и масок запланирован на 27 февраля. Позднее в 2018 году планируется ввод в эксплуатацию корневого и промежуточных сертификатов, созданных с использованием алгоритма ECDSA, более эффективного, чем ныне используемый RSA.

Текущая серверная инфраструктура Let's Encrypt обрабатывает примерно 2 миллиарда запросов в день. Оборудование размещено в двух датацентрах и все используемые серверы, хранилища, HSM, коммутаторы и межсетевые экраны занимают 70 юнитов в стойках. В следующем году для увеличения производительности и экономии энергии планируется заменить 10 серверов, занимающих по 2 юнита (2u), на 20 одноюнитовых серверов (1u).

Работу сервиса обеспечивают 5 постоянно трудоустроенных сотрудников, в 2018 году планируется нанять ещё одного человека. Запланированный бюджет на 2018 год составит 3 млн долларов, что всего на 13% больше, чем бюджет 2017 года. Средства собираются в основном за счёт финансовой помощи от крупных спонсоров, таких как Mozilla, Akamai, OVH, Cisco, Google, Electronic Frontier Foundation, IdenTrust, Ford Foundation и Internet Society.

  1. Главная ссылка к новости (https://letsencrypt.org/2017/1...)
  2. OpenNews: Let's Encrypt занял 36% рынка удостоверяющих центров
  3. OpenNews: Проект Let's Encrypt представил модуль для http-сервера Apache
  4. OpenNews: Сервис Let's Encrypt преодолел рубеж в 100 млн сертификатов
  5. OpenNews: Корневой сертификат Let's Encrypt принят в список доверия Mozilla
  6. OpenNews: Comodo пытается завладеть брендом Let's Encrypt
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/47713-letsencrypt
Ключевые слова: letsencrypt, ssl, cert, crypt
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (54) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
 
  • 2.3, Ilya Indigo (ok), 22:20, 09/12/2017 [ответить]  
  • –7 +/
    Они её будут делать только через валидацию по dns. :-(
     
     
  • 3.5, Аноним (-), 22:30, 09/12/2017 [^] [^^] [^^^] [ответить]  
  • +9 +/
    > Они её будут делать только через валидацию по dns. :-(

    А как ещё-то проверить, что у тебя есть права на домен?

     
     
  • 4.6, Ilya Indigo (ok), 23:07, 09/12/2017 [^] [^^] [^^^] [ответить]  
  • –9 +/
    По http.
    Или по наличию доступа к базовому домену (да знаю, бывают случаи, когда базовый домен под www, и при этом тем кому доступен этот домен не должны иметь возможность зарегистрировать wildcard).
    Или по разрешающей записи, по аналогии с CAA-записью, которая будет позволяет владельцу указанного домена или поддомена регистрировать wildcard.
     
     
  • 5.9, Аноним (-), 00:40, 10/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > По http.

    Это чтобы АНБ могло официально выписывать себе сертификаты на все что угодно, сделав MITM на транзитной циске?

     
     
  • 6.46, Аноним (-), 05:43, 11/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    АНБ и так может выкатывать себе все что угодно. Не забываем, в чем состоит суть самой модели CA.
     
  • 3.14, Аноним (-), 02:20, 10/12/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    И правильно. Другие способы валидации зло.
     
  • 3.40, Johny (?), 22:26, 10/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Они её будут делать только через валидацию по dns. :-(

    а почему это вас расстраивает?
    с этим есть хоть какие-то проблемы?

     
     
  • 4.49, Ilya Indigo (ok), 12:21, 11/12/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Тем что мне охота специально для этого держать bind, на том же самом сервере, на которому меня web/mail сервера.
    DNS-сервер должен находится не то что на отдельном сервере, а вообще в другом месте земного шара, это же система валидации, как я понял, предлагает прописать в настройках домена DNS-сервера самого себя, и возложить на локальный бинд ответственность за этот домен.
    В это схеме перехватчик получит контроль сразу и над сервером, и над доменом сразу с одного перехваченного узла.
     
     
  • 5.50, Crazy Alex (ok), 13:16, 11/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А сделать какое-то ограниченное управление к тому самому днс-серверу на краю земли - не судьба? Ну ладно, и без тебя сделают, если оно хоть кому-то надо
     
     
  • 6.52, Ilya Indigo (ok), 13:33, 11/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А сделать какое-то ограниченное управление к тому самому днс-серверу на краю земли
    > - не судьба? Ну ладно, и без тебя сделают, если оно
    > хоть кому-то надо

    Регистраторам доменов, бесплатно предоставляющих свои DNS-сервера, предоставлять мне ещё интерфейс для DNS-валидации, точно будет не судьба. :-(

     
     
  • 7.53, ruata (?), 14:01, 11/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    С Yandex DNS / ПДД через API полностью автоматизируется, например в getssl
     
  • 7.59, Crazy Alex (ok), 16:40, 11/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну будешь выбирать регистратора (или провайдера DNS) который это умеет. Если уж тебе нужны вайлдкард-сернтификаты это в любом случае подразумевает некие объёмы и разборчивость, а чаще - вообще свои DNS. Да и они зачешутся, куда денутся. Или на худой конец будешь жить так, как живёш сейчас, никто у тебя ничего не забирает.
     
     
  • 8.60, Ilya Indigo (ok), 16:55, 11/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если они подтянутся, то будет здорово Да, я и сейчас нормально живу, только вме... текст свёрнут, показать
     
  • 3.65, Вулх (?), 03:09, 12/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    И что с того? Всё равно можно будет автоматизировать
     
  • 1.2, Ilya Indigo (ok), 22:19, 09/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А когда там у них в планах снова обновить лицензию. чтобы снова к чертям слетела вся автоматизация обновления на всех серверах?
     
     
  • 2.4, Аноним (-), 22:30, 09/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ты о чём?
     
     
  • 3.7, Ilya Indigo (ok), 23:17, 09/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты о чём?

    Каждый раз при обращении по протоколу ACME нужно передавать url текущей лицензии, как знак твоего согласия с этой лицензией.
    Я по началу ничего подозрительного не заподозрил, ну надо, значит надо.
    И вот вчера я заметил, что на моих серверах не обновляются сертификаты и обращение завершается 400-какой-то ошибкой и выводом url-ей лицензий, на которые я не обратил внимания, подумал это просто шапка.
    Думал что возможно что-то связанное с недавним переходом на openssl 1.1.0g.
    А оказалось, он буквально хочет, чтобы я при авторизации передавал ему url свежайшей лицензии, то есть https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf без которого сервис отказывает мне в обслуживании!
    Гениально!?

     
     
  • 4.8, Anonimus (??), 00:24, 10/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Последние 6 месяцев такая проблема, я подумал, что LE решили устроить страдание таким образом.
     
  • 4.10, Аноним (-), 00:42, 10/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну а что, оригинальная у них антибот-капча.
     
  • 4.30, Аноним (-), 13:09, 10/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не знаю, certbot из репы как работал, так и работает. Последний раз обновлялся в июле.
     
  • 4.32, xm (ok), 13:37, 10/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ключ --agree-tos не спасёт отца русской демократии?
     
  • 4.41, Johny (?), 22:27, 10/12/2017 [^] [^^] [^^^] [ответить]  
  • +/

    > А оказалось, он буквально хочет, чтобы я при авторизации передавал ему url
    > свежайшей лицензии, то есть https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf
    > без которого сервис отказывает мне в обслуживании!

    dehydrated ничего такого не просил и не просит

     
  • 4.54, пох (?), 15:05, 11/12/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Гениально!?

    а то!
    Не забывайте регулярно обновлять ваши скрипты, делающие хз что, из нашего единственно-верного репо.
    Иначе есть риск, что ваши сертификаты внезапно превратятся в тыкву, а http-то вы уже героически победили.

     
     
  • 5.58, Crazy Alex (ok), 16:36, 11/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Там комментарием выше перед тобой, как минимум, кроме единственно-верного ещё dehidrated помянули как вполне работающий
     
     
  • 6.61, пох (?), 18:42, 11/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Там комментарием выше перед тобой, как минимум, кроме единственно-верного ещё dehidrated
    > помянули как вполне работающий

    если дурацкая лицензия действительно часть апи - то, значит, либо тоже "не забывайте обновлять, из другого репо", либо он там сам к чему-то делает запрос, что подсказывает ему, какая нынче лицензия правильная.

    в общем, так себе идеология.


     

  • 1.11, Аноним (-), 01:29, 10/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    > Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом

    Это прямое враньё, Let’s Encrypt контролируется корпорациями.

     
     
  • 2.12, здравый смысл (?), 01:53, 10/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А можно пруфы?
     
     
  • 3.15, angra (ok), 02:28, 10/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Легко, смотри последнее предложение в новости: "Средства собираются в основном за счёт финансовой помощи от крупных спонсоров, таких как Mozilla, Akamai, OVH, Cisco, Google, Electronic Frontier Foundation, IdenTrust, Ford Foundation и Internet Society.". Хотя ты можешь продолжать наивно верить, что те, кто платят, не заказывают музыку.
     
     
  • 4.22, Аноним (-), 04:47, 10/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Это не делает ее не некоммерческой организацией. Знаешь кто лучше чем они? Напиши
     
     
  • 5.24, Аноним (-), 09:23, 10/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Думаешь, некоммерческая орг-я, - значит "хиппи-чудачки, работающие за идею"?

    "Некоммерческая" у них только схема ухода от налогов (и проверки от государства на предмет характера выполняемых сотрудниками работ). С механизмом управления тип учреждения не связан от слова "никак". Можно создать PR-организацию, которая за твои деньги будет поливать твоих конкурентов г-ном (Microsoft, например, так и делает), и она тоже сможет гордо называть себя "некоммерческой": доходов нет, дивиденты никому не выплачиваются.

    До тех пор, пока от компании нет прямой прибыли, некоммерческим может быть что-угодно, лишь бы удалось убедить отвечающих за присвоение ярлычка бюрократов.

     
     
  • 6.28, Hellraiser (??), 11:43, 10/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    всё правильно - на самом деле Let’s Encrypt распространяет не сертификаты, а ... трояны; причём эти трояны используют технологию 25-го кадра, зомбируя тех, кто их использует; судя по отчёту, зомби-бот уже превысил 40 млн
     
  • 6.31, Аноним (-), 13:11, 10/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Думаешь, некоммерческая орг-я, - значит "хиппи-чудачки, работающие за идею"?

    А ты именно так представляешь себе "сообщество"? Ну так у меня для тебя плохие новости…

     
  • 4.56, dq0s4y71 (ok), 15:39, 11/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ты не поверишь, но Free Software Foundation тоже существует за счёт финансовой помощи от крупных спонсоров, таких как IBM, HP, Nec, Alibaba и др. https://www.fsf.org/patrons Значит ли это, что он тоже "контролируется корпорациями"?
     
     
  • 5.62, Аноним (-), 20:59, 11/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Безусловно, значит. Вопрос только в степени этого контроля.
     
  • 2.36, iv (?), 18:45, 10/12/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Управляется сообществом корпораций.
     

  • 1.16, angra (ok), 02:31, 10/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Проектом Let's Encrypt выдано (https://letsencrypt.org/stats/) 46 млн сертификатов
    > Текущая серверная инфраструктура Let's Encrypt обрабатывает примерно 2 миллиарда запросов в день.

    Очень интересно, что же составляет большую часть этих запросов. Судя по цифрам, это не выдача и обновление сертификатов.

     
     
  • 2.19, Аноним (-), 04:14, 10/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    OCSP?
     
     
  • 3.26, Аноним (-), 09:57, 10/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это Mozilla виноваты, что Firefox до сих пор дёргает OCSP-серверы на каждый полученный сертификат. Chrome вместо этой фигни давно использует централизованный чёрный список (и правильно делает).

    Сама идея OCSP (заставить клиента перед отзывом сертификата организации вежливо интересоваться у CA этой организации) — полный швах, не выдерживающий столкновения с реальностью.

     
     
  • 4.29, Кирилл (??), 12:48, 10/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Освойте уже Stapling и прекратите ныть.
     
     
  • 5.39, Аноним (-), 21:52, 10/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Выраженный синдром утенка: "все говорят: делай stapling, значит и мне надо".

    Stapling, как и OCSP – бесмысленная трата трафика. Ок, мой сервер сломали. Или ещё лучше – сервер моего CA. Первый запрашивает у второго OCSP и отправляет ответ пользователю. Стоп, что???

    Или ещё лучше – абстрактная компроментация ключа в вакууме. Чтобы OCSP-ответ о ней сообщил нужно чтобы о ней узнал CA. Внимание вопрос: в чём здесь профит OCSP? С задержкой сообщить пользователю то, про что он и так должен от меня узнать? Так к этому моменту я уже должен выкатить новый сертификат.

    Нет и не может быть сценария, когда OCSP приносит реальную пользу.

     
     
  • 6.55, пох (?), 15:14, 11/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Stapling, как и OCSP – бесмысленная трата трафика. Ок, мой сервер сломали.
    > Или ещё лучше – сервер моего CA. Первый запрашивает у второго

    не читал, но осуждаю?
    То есть ни область применимости, ни механизм работы - ни разу не поняты, но мнение - имеешь?

    > Или ещё лучше – абстрактная компроментация ключа в вакууме. Чтобы OCSP-ответ о

    неабстрактная - ломанули твой сервер, и ключики тютю.

    > ней сообщил нужно чтобы о ней узнал CA. Внимание вопрос: в

    ну вот узнал, пометил как невалидный, и дальше что? Пользователь ничего об этих отметках не знает, списки revoked certs не грузятся уже сто лет. И если попадает, внезапно, не к тебе, а к тому самому, которому достались ключики (dns poisoning там, или к твоему апстриму кто-то присосался) - наивно верит, что у него защищенная сессия с твоим сайтом.

    ocsp эту проблему решает. stapling решает проблему досужего любопытства CA, что у тебя там за юзеры и откуда взялись.

     
     
  • 7.66, Аноним (-), 05:39, 12/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ещё раз 8211 чтобы OCSP-ответ сообщил пользователю, что дело швах владелец... большой текст свёрнут, показать
     

  • 1.27, DmA (??), 10:32, 10/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Кто боится давления со стороны Lets по блокировке неугодных сайтов или МИТМ атакам, то это же tcp/ip -всегда можно сделать некую автономную структуру внутри определённой территории (дома,села, города или района) без всякой цензуры!
     
     
  • 2.35, Аноним (-), 17:35, 10/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > всегда можно сделать некую автономную структуру внутри определённой территории (дома,села, города или района) без всякой цензуры!

    и как её сделать?

     
     
  • 3.63, Аноним (-), 21:02, 11/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > и как её сделать?

    Очевидно, на пауэр шелле.

     

  • 1.33, None (??), 13:50, 10/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    46 миллионов сертификатов, 3 млн долларов...
    Это 6,5 центов за сертификат себестоимость получается.
     
     
  • 2.34, Crazy Alex (ok), 17:04, 10/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ну вот примерно из-за этого всякие коммерческие торговцы и бесят
     

  • 1.37, IdeaFix (ok), 19:27, 10/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кстати, стартссл всё :)
     
     
  • 2.67, Аноним (-), 14:37, 14/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    С разморозкой!
     

  • 1.44, Аноним (-), 00:03, 11/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    не удивлюсь, если все закрытые ключи давно у америкосов в папочке лежат. шифровать этими ключами что-то важное с точки зрения американца нельзя.
     
     
  • 2.45, Аноним (-), 04:22, 11/12/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Закрытые ключи корневых сертификатов? Если имел в виду тех, что выдаются пользователям, то LE твои закрытые ключи не видит и не получает, ты генерируешь их у себя сам, LE только подписывает открытые ключи своим закрытым.
     
     
  • 3.57, Всем Анонимам Аноним (?), 16:14, 11/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А ему все-равно, ведь комментарий бы не технический, а националистский.
     
  • 2.51, Аноним (-), 13:27, 11/12/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > не удивлюсь, если все закрытые ключи давно у америкосов в папочке лежат

    У жидомасонов же.

     
  • 2.64, Led (ok), 22:26, 11/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > не удивлюсь, если все закрытые ключи давно у америкосов в папочке лежат.

    В мамочке же, вендодятел!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру