https://opennet.me/openforum/vsluhforumID3/116220.html Некоммерческий удостоверяющий центр Let&#8217;s Encrypt (https://letsencrypt.org), контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, подвёл (https://letsencrypt.org/2018/12/31/looking-forward-to-2019.html) итоги прошедшего года и рассказал о планах на 2019 год. В 2018 году доля запросов страниц по HTTPS увеличилось с 76% до 77%. Проектом Let's Encrypt выдано (https://letsencrypt.org/stats/) 87 млн сертификатов, охватывающих около 150 млн доменов (год назад было охвачено 61 млн доменов и прогнозировался рост до 120 млн к концу 2018 года). В 2019 году сервис планирует преодолеть планку в 120 млн активных сертификатов и 215 млн сайтов.<br><br><br><br><br>В 2019 году планируется внедрить многопозиционную систему проверки, при которой подтверждение полномочий на получение сертификата для домена производится с использованием нескольких проверок, выполняемых из территориально разнесённых подсетей, привязанных к разным автономным системам. Данная система позволит минимизировать риски получения https://opennet.me/openforum/vsluhforumID3/116220.html#130 Sun, 13 Jan 2019 17:09:00 GMT "Автопродление wildcard сертификата."<br><br>Не работает оно. certbot и acme.sh - точно!<br>В acme багрепорт тупо закрыли.<br> https://opennet.me/openforum/vsluhforumID3/116220.html#129 Fri, 11 Jan 2019 13:16:06 GMT &gt; В ssh ты соединяешься со знакомым тебе сервером, возможно даже подконтрольным. <br><br>алиса, это сервер, сервер - это алиса!<br><br>&gt; Предлагаешь автоматически устанавливать соединение без проверки? <br><br>если тебя не интересует реальная безопасность, то - да.<br><br>&gt; Человеки посередине будут рады, а шифрование бессмысленным. <br><br>в большинстве случаев они и так рады, и шифрование- бессмысленно, независимо от их радости.<br>Котики твои никому не нужны, ни шифрованные, ни нет.<br><br>&gt; Предлагаешь показывать юзерам диалог? Они этого не хотят.<br><br>значит им не надо ничего показывать, и безопасность им не нужна<br><br>&gt; Подтверждает что тот, с кем ты устанавливаешь шифрованное соединение, владеет этим доменом, а не<br>&gt; кто-то другой.<br><br>тоже необязательно - подтверждает что тот с кем устанавливаешь соединение, сумел убедить робота полоумного, что он "владеет этим доменом".<br><br>то есть до эпохи DV было надежнее - убеждать надо было _людей_, и человеческими методами - документами на бумаге. А чувак, ломанувший инфраструктуру dns, внезапно, в https://opennet.me/openforum/vsluhforumID3/116220.html#128 Thu, 10 Jan 2019 19:01:35 GMT &gt;Ну-ну, вы думайте, какие советы даёте. Выставлять это глобально -- очень плохая затея.<br><br>Да согласен 100%, просто из полезной фичи сделали каку, покупать и ходить в банк онлайн все же реже, чем просто бродить в нете.<br>Для банков и покупок вообще-то надо держать отдельный профиль, а для всего остального все же лучше ИМХО прикрыть дыру.<br>Вот почему то ходить по дому в трусах, а на работу в костюме - это нормально, а вот держать раздельные учетки экаунтов или профилей - ну это просто страшно аж как тяжело для народа.<br> https://opennet.me/openforum/vsluhforumID3/116220.html#127 Wed, 09 Jan 2019 14:35:02 GMT &gt; Пока что есть возможность избежать этого просто отключив проверку по OSCP в браузере<br><br>Ну-ну, вы думайте, какие советы даёте. Выставлять это глобально -- очень плохая затея. Особенно если пользователь совершает покупки в интернете, например, могут запросто оказаться скомпрометированы данные банковской карты и всё, привет.<br><br>&gt; SSL сертификат защищает только от men-in-a-middle<br><br>Man-in-the-middle<br><br>&gt; В итоге, в большинстве случаев, SSL просто защита от недобросовестных работников инернет провайдера и промежуточных роутеров, которые могут просматривать проходящий не шифрованный трафик.<br><br>Так это, в общем-то никогда и не скрывалось. PKI именно для того и придуман. Казуалам на самом деле стоит бояться не крупных мира сего, а как раз самых, что ни на есть, заурядных кракеров в ISP.<br><br>&gt; Внедряя повсеместно SSL, слежка очень сильно облегчается<br><br>Опять же, облегчается слежка за казуалами. Мы же можем продолжать использовать Tor и прочие анонимайзеры.<br><br> https://opennet.me/openforum/vsluhforumID3/116220.html#126 Wed, 09 Jan 2019 13:11:31 GMT &gt; Есть dehydrated с 1782 строчками на шелле<br><br>dehydrated написан на баше. На башизмах. Если уж нужна многофункциональность, то лучше уж acme.sh, который работает на чистом sh<br> https://opennet.me/openforum/vsluhforumID3/116220.html#125 Mon, 07 Jan 2019 14:12:00 GMT Есть так-то GlobalSign и Entrust еще. Вроде помирать не собираются. В том же LeaderSSL берете (реселлер) и все.<br> https://opennet.me/openforum/vsluhforumID3/116220.html#124 Mon, 07 Jan 2019 01:43:51 GMT Кто-нибудь остановит эту свинью Шталя?<br>Оно везде, как протечка канализации.<br> https://opennet.me/openforum/vsluhforumID3/116220.html#123 Sun, 06 Jan 2019 16:57:25 GMT &gt; двое-трое поймут, о чем там вообще идет речь<br><br>И хорошо, если из этих двоих-троих хотя бы один удосужится проверить соответствие бинарника(-ов) прочитанным исходникам.<br><br>Да и отсутствие условного майнера в условном nginx-е не означает "чистоты" кода сторонних библиотек. Так что либо параноить с вычиткой кода *всех* компонентов системы и самостоятельной их сборкой, либо полагаться на всё ту же честность разработчиков и мейнтейнеров. Опенсорс даже от "secutiry through obscurity" не полностью защищает, о гарантиях безопасности и говорить нечего &#8212; их нет.<br> https://opennet.me/openforum/vsluhforumID3/116220.html#122 Sun, 06 Jan 2019 16:38:29 GMT Есть dehydrated с 1782 строчками на шелле, которые умеют больше (например, проверка доменов через DNS и создание закрытого ключа для новых/обновляемых сертификатов), чем те 200 на питоне.<br>