OpenForum RSS: В сервисе Let's Encrypt произошла утечка email-адресов части... https://www.opennet.ru/openforum/vsluhforumID3/108227.html Некоммерческий удостоверяющий центр Let&#8217;s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, сообщил (https://community.letsencrypt.org/t/email-address-disclosures-preliminary-report-june-11-2016/16867) об инциденте, в результате которого произошла утечка 383 тысяч адресов электронной почты пользователей сервиса (около 1.9% от общей пользовательской базы). <br><br><br>Утечка произошла из-за некорректной организации массовой рассылки уведомления об изменении условий предоставления сервиса. Недоработка в скрипте рассылки привела к тому, что к телу письма добавлялись данные о других получателях (прикреплялось от 0 до 7618 email), т.е. получатель письма мог увидеть сведения о других пользователях.<br><br><br><br><br>URL: https://community.letsencrypt.org/t/email-address-disclosures-preliminary-report-june-11-2016/16867<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=44597<br> В сервисе Let's Encrypt произошла утечка email-адресов части... (tacitusdef) https://www.opennet.ru/openforum/vsluhforumID3/108227.html#49 Wed, 22 Jun 2016 07:19:56 GMT Это вы про США?<br> В сервисе Let's Encrypt произошла утечка email-адресов части... (пох) https://www.opennet.ru/openforum/vsluhforumID3/108227.html#47 Thu, 16 Jun 2016 11:55:56 GMT "тосамоеписьмо" что-то не нашлось.<br>P.S. одни цифирки - это оно? Жаль, придется отказаться от подобных мэйлов на будущее.<br><br> В сервисе Let's Encrypt произошла утечка email-адресов части... (Ilya Indigo) https://www.opennet.ru/openforum/vsluhforumID3/108227.html#45 Wed, 15 Jun 2016 21:08:09 GMT Видимо да.<br>Сегодня зарегистрировал аж 5 доменов на 3 года. Действительно на 3 года и бесплатно в автоматическом режиме быстро легко и удобно.<br>Только вот я не понял чем бесплатный домен Domain Control verification который предлагается на 1 год, отличается от обычного, который предлагают на 3 года?<br>И ещё я генерировал запрос оной коммандой<br>[code]h=host && p=path && sudo openssl genrsa -out $p/ssl.key/$h.key 4096 && sudo openssl req -new -sha512 -key $p/ssl.key/$h.key -out $p/ssl.csr/$h.csr && cat $p/ssl.csr/$h.csr[/code]<br>И я наивно предполагал, что он в итоге получится 4096 с sha512, но в итоге он 2048 с sha256.<br> В сервисе Let's Encrypt произошла утечка email-адресов части... (5kbps) https://www.opennet.ru/openforum/vsluhforumID3/108227.html#44 Wed, 15 Jun 2016 15:13:47 GMT Осиль поиск по пастбину.<br> В сервисе Let's Encrypt произошла утечка email-адресов части... (пох) https://www.opennet.ru/openforum/vsluhforumID3/108227.html#43 Wed, 15 Jun 2016 14:44:47 GMT ну и где ссылка-то? Жядный, да?<br><br> В сервисе Let's Encrypt произошла утечка email-адресов части... (Онаним) https://www.opennet.ru/openforum/vsluhforumID3/108227.html#42 Wed, 15 Jun 2016 14:11:47 GMT &gt; Зато не получить серт на несколько поддоменов домена, зато риск остаться без серта, если проект им кажется коммерческим... И т.д.<br><br>Это у кого такая хрень? У LE?<br> В сервисе Let's Encrypt произошла утечка email-адресов части... (пох) https://www.opennet.ru/openforum/vsluhforumID3/108227.html#41 Wed, 15 Jun 2016 08:57:27 GMT &gt; Ядро Linux "по умолчанию" use_tempaddr ставит в 0.<br><br>да это, вроде, и в официальных документах (в смысле, на v6, не ядро) именно так и озвучено, и я не слышал, чтобы тут что-то меняли - mac preferred, generated optional, ничего нового десять лет как нету, и в ведре линукса тоже. И опять же - попадешься-то не ты, кому "нечего скрывать", а твой пользователь, в миру человек может хороший и грамотный, да вот подобными тонкостями, в силу совсем других профессиональных навыков, не обремененный.<br><br>И, в общем-то, опять же - живем-то в стране, где и айпишники упорно пытаются привязать к паспорту (а используя места, где еще не проверяют - ты подставляешь владельца). Так что шифруем щательней - пока всех не обязали использовать зарегистрированный на госуслугах "правильный" сертификат, хехехе.<br><br> В сервисе Let's Encrypt произошла утечка email-адресов части... (пох) https://www.opennet.ru/openforum/vsluhforumID3/108227.html#40 Wed, 15 Jun 2016 08:46:26 GMT &gt; Да пойми ты две вещи: <br>&gt; 1) оно не для корпораций, во всяком случае, сейчас<br><br>упс, ннниипоел? У тебя лично столько "на всякий случай, не включая мозг, пошифрованных просто чтоб было" серверов, что нужна вот такая автоматизация да еще и нельзя использовать самодельные CA при этом?<br><br>Мне казалось, оно затевалось как раз для взрослых (называешься ты при этом корпорацией или "добровольной некоммерческой инициативой" - при этом совершенно неважно, уже пора и за EV сертификатом, и за своим im ca если не прям щас, то в перспективе. Стойка с серверами доступными произвольной публике (иначе опять не нужны несамодельные CA) всяко на порядок дороже) - у кого большие фермы и просто не осилить руками все делать.<br><br>&gt; 2) HTTPS - не абсолютная защита ни разу. Но на порядок лучше <br>&gt; вообще не шифрованного HTTP - и ровно в этом смысл летсенкрипта <br><br>ну, я только вчера товарищу в соседней ветке объяснял, да, зачем нужен https там где "нечего скрывать". И, собственно, с этого и начал в первом же комменте - главная заслуга В сервисе Let's Encrypt произошла утечка email-адресов части... (5kbps) https://www.opennet.ru/openforum/vsluhforumID3/108227.html#39 Wed, 15 Jun 2016 08:32:10 GMT Пришло ТО САМОЕ письмо, ~1200 мыл. Слил всё на пастбин ^^<br>