Ассоциация CA/Browser Forum, выступающая площадкой для совместного принятия решений с учётом интересов производителей браузеров и удостоверяющих центров, утвердила новые требования к организациям, выдающим сертификаты для HTTPS. В новых требованиях объявлены устаревшими 11 методов проверки владения доменом, для которого выдаётся сертификат. Прекращение поддержки устаревших методов будет производиться поэтапно до марта 2028 года. В качестве причин прекращения поддержки отмечается фокусирование внимания на автоматически выполняемых и криптографически верифицируемых методах проверки...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64426
А это чё то меняет в общем?
Похоже, будет требоваться установка криптобота на сервер.
Типа certbot?
Это значит, что старые сайты с контентом теперь придется обновить или стереть знания нахрен.
Почему кто-то решил, что контент требует защиты при доставке?
Поищи в интернетах, как провайдеры инжектировали свою рекламу в передаваемые по хттп страницы.
лол. две строчки в шапку, одна - в бодик. на несекьюре это уже задачка для школьников, кажется
Так погуглить вопрос не "как это сделать", а "зачем защищать"
А теперь голову включи. Реклама это самое простое и безобидное, ровно так же это может быть для сбора инфы откуда куда ты ходишь, что смотришь, читаешь, пишешь, получать всякие куки-токены-пароли. Фильтровать любую инфу, которую они посчитают нужным, включая искажение ответа, с ИИ это делается уже легко (не трогая политику и острые темы как в китае - банально гуглишь скорость света, а в ответе будет 500м/с. Зачем? Потому что.). Банально подмена рекламных баннеров своими, с таким сам сталкивался много лет назад.
Провайдеры это делали, делают и делать будут при первой же возможности, особенно сотовые, такой халявный источник денег на встроенной рекламе. А теперь ломанули магистральный свич, подхимичили - и вот уже прямо злой умысел и в чтении, и в модификации.
>Фильтровать любую инфу, которую они посчитают нужным, включая искажение ответа, с ИИ это делается уже легкоКстати есть такое, Организации которые поддерживают ИИ, заинтересованны, чтобы в результатах ИИ, выдававло именно их продукт, например их конкретную марку машины, или что то что это ИИ восхавляет, показывая что это самое лучшее, а что то другое ( конкурента ), даже не выдает в поиске, или говорит что то ( другое ) хуже.
И только тогда когда самому ИИ, говоришь, а как на счет ( другое ), ии внезапно вспоминает, или говорит, что совершил ошибку якобы.
Но если начать спрашивать конкретные подробности, как бы вглубь то ответ может быть совершенно противоположен первичному.
Я уже такое замечал.
Кстати кажется что ИИ, стал как будто намеренно тупее.
и что плохого в том, что гопотящий скорость света узнает, что она 500м/c?
Клаудя и сейчас это делает, только под сертом сайта под httpS. Вместо сайта видишь страницу клауди. А серт - сайта...
Но этот инжект кого надо инжект.
Это проблема пользователей таких провайдеров, как владелец сайта который ничего не зарабатывает на пользователях/просмотрах - мне нет дела до этого.
Ростелеком начал подстановку своей рекламы в трафик абонентов https://opennet.ru/52444
Билайн подставляет в транзитный HTTP-трафик свой JavaSсript-код https://opennet.ru/43918
>РостелекомНу это же самый лучший интернет провайдер.
Который любит урезать скорость когда ем это нужно, ну тоесть забавно скорость 120 мб/сек,
Но только якобы от ростелеком до клиента.
Только вот реклама почему то никогда не тормозит.
Нет, можно оставить и дальше только http.
Крипто-бота, который требует root-прав?
> требует root-прав?Для начала: под каким юзером работает системДа? Вопрос на подумать.
от системды ты уже никуда не денешься, и её код есть кому изучать.
что там за бот будет никто не знает.
Например, acmesh работает от непривилегированного юзера.
certbot или acme.sh не требуют рутовых прав доступа.
Да ничего в общем. Американцы как были Питэрами, так и остались. Усложнили методы верификации. Для старых сервисов представляющих конструкторы сайтов это небольшая головная боль теперь если хотят остаться.
p.s. предполагаю что гуглу за это нужно сказать спасибо
Не увидел в списке подтверждение по телеграфу
Телетайпу!
Почтовыми голубями
Сарафанное радио, и фреймы для передачи - бабули.
Шанс на потерю фреймов высокий
При этом есть вероятность что фрейм отожмет у тебя квартиру
>Почтовыми голубямиДааа, без них почте России тяжко было бы...))))
не графу а маху
Как же теперь в Японии без факсов будут сертификаты обновлять? Бида-бида.
> Как же теперь в ЯпонииЗачем им интернет вообще? Они всё в бумажном виде делают. Иногда на дискетах было, но те кончились.
Ну например со скоростью интернета у них вполне нормально:
https://en.wikipedia.org/wiki/List_of_countries_by_Internet_...
Министерство правды?!
А что не так с данными ? Тем более там медианная скорость, а не средняя.
А почтовых голубей дропнули в предыдущий раз?
Или все еще в ходу?
Это ж рабочие столы потом отмывать приходится...
Голубь не пройдёт проверку:
https://www.cloudflare.com/ru-ru/ssl/encrypted-sni/
Будешь удивлен, но... https://ru.wikipedia.org/wiki/IP_посредством_почтовых_голубей
Цифровой гулаг он такой.
Главное что LetsEncrypt от товарища из АНБ со времянем жизни в пол наноскунды все так же моден и молодёжен.
Большой брат уже изготовил... ну это certbot, для каждого "свободного" гражданина.
Интересно когда они начнут требовать установку скажем виндоус-дефендера на каждый сервер для еще лучшей верификации того, что получатель это "добропорядочный" ра... пользователь?
>Главное что LetsEncrypt от товарища из АНБНу ставь от нашего товарища:
- https://opennet.ru/56830-tls
- https://habr.com/ru/articles/968218/
Ставишь самоподписной сертификат и тебе никто не указ.
только бровсеры на них ругаются
Если правильно ставить не ругаются. Но для этого нужно хотя бы примитивные знания об устройстве компьютеров и интернета иметь.
ждём ссылки на инструкцию
> знания об устройстве компьютеровЛучше про телефоны расскажи... Почему установленный серт браузером игнорируется.
Игнорируется в Firefox, потому что Mozilla не доверяет системному хранилищу. Можно включить настройку в опциях разработчика, и все заработает.
увы, хром тоже игнорит. Когда со всякими банками работаешь (и не только), там свой СА внутренний и свои серты, в систему обдобавляйся - хром будет игнорить. В винде - так.
Пробовал - на мобилках не работают.
Работают, просто тебе было недостаточно надо.
Ты узнаешь об этом из новостей Опеннета
> Интересно когда они начнут требовать установку скажем виндоус-дефендера на каждый сервер для еще лучшей верификации того, что получатель это "добропорядочный" ра... пользователь?Крупные игроки не требуют, а ломают совместимость. При проприетарности сервисов типа Google Play, закрытии доступа к прошлым версиям. Форсируя обновления.
Но домашний пользователь не чувствует это. Изменения плавные. По мере привыкания всё будет. Это, скорее всего, годы.
Например, ты уже больше не можешь в последних Андроид пользоваться для навигации только спутниковыми данными. От тебя требуют интеграции с наземными радио вокруг. Потихоньку все перепишут софт под это. И станет привычным.
Столман-то прав, между прочим.
Контактные данные, которые получены с проверкой DNSSEC, всё ещё оставят валидными методами связи? Или этот CA картель помимо акции "обновляй свой сертификат каждый день, а то нам тебя отзывать неудобно если ты нам не понравился" решили ещё и методы обновления заколотить до "вот тебе curl certbot | sudo bash -, других способов получить сертификат мы тебе не дадим"?
Ну похоже что именно в этом и цель.Уничтожить все методы, которые _действительно_ подтверждали владение доменом и которые не получится использовать перехватив твой траффик на пару секунд.
Возможность проверки сертификата (а не слепой веры в CA) уже успешно уничтожили.
И все под видом заботки о безопастносте, видидити, видити - оно целый один раз сломалось в никому ненужном домене! Запритить! (что LE не один раз выдавала сертификаты кому попало - разумеется этодругое)
> вот тебе curl certbot | sudo bash -И не забудь дать доступ на запись к DNS
Не очень понятно, как связан DNSSEC и контактные данные.
DNSSEC подтверждает содержимое зоны, а контактные данные в неё как-то не добавляют обычно.Кстати многие домены скрывают контактные данные из whois, платят за эту услугу.
цифровой гулаг всё ближе. подумываю о переходе на http
Скорее на https с самоподписанным сертом. Последний можно хоть в DNS запись добавить для удобства.
А как?
> А как?Ну, самый тупой вариант, просто потому-что я не изучил вопрос - в TXT запись в base64 закодировать. Почти так же, как cloudflare свой ECH ключик распространяет.
она его криптографически-надежно распространяет. Минусы этого решения - отсутствие хотя бы одного днс-сервера без историй уязвимостей в криптографической части и при этом пригодного в качестве собственно сервера.
Хз в плане проблем с криптой, мне кажется подписывающую часть можно вообще вынести в отдельный скрипт который openssl дёргать будет, всё равно эти записи кэшируются и обновляются довольно редко. А в плане удобства... это да, настроить BIND так, чтобы потом ещё был уверен, что всё правильно, достаточно тяжело.
настроить bind, если умеешь - несложно. Сложно успеть его поапгрейдить до того как поломают. Причем ВСЕ последние серьезные проблемы - именно в его крипточасти. Если ты не пихаешь в днс ненужно-шифрование - все они обошли бы тебя стороной.К сожалению, даже с более замороченными в настройке и якобы-надежными authoritative - все тоже так себе именно вот в месте где они контактируют с криптой. (В том числе еще и потому что это, конечно же, openssl)
> в TXT запись в base64 закодировать.без днс сека - грош цена, и такой же порочный круг получается, там же тоже есть корень доверия.
DNSSec абсолютно бесполезен, но есть же DOH/DOT.
DNSSEC не защищает от митма на днс, он позволяет подписывать поля DNS своим ключом. Сами записи в DNS не являются секретом, вся доменная система сделана как глобальная телефонная книжка. Если хочешь защитить данные между клиентом и сервером - используй что угодно, хоть свой кэширующий резолвер подними и ходи к нему по tls (DoT) или внутри впн.
> DNSSEC не защищает от митма на днс, он позволяет подписывать поля DNS своим ключом.неверно, к прочтению
//ru.wikipedia.org/wiki/DNSSEC
дурак что ли? DNSSEC не шифрует само сообщение, а только подписывает поля ключом того, кому принадлежит зона
> дурак что ли? DNSSEC не шифрует само сообщениеА где я такое утверждал? Во сне вам приснилось?
> но есть же DOH/DOT.У вас DOH/DOT тоже на самопидписанных сертификатах?
Это то понятно, просто для удобства свой ключ (от CA или сразу самоподписанный от сервера, не суть) можно распространять таким образом. Защищённости сам факт хостинга ключа в днс не добавляет.
> DNSSEC не защищает от митма на днсну вот вы утверждаете вот такое, что в корне не верно и верно с одним НО, которое подтверждает мое утверждение о порочном круге.
Как и в TLS так и в DNSSEC есть понятие корня доверия. И наша задача избавится от корня доверия в TLS, средствами публикации самоподписанных сертификатов в системе DNS (в TXT записях или отдельно выделенных записях - не важно). Сама система DNS подвержена MiTM, что приведет к MiTM самого TLS. Поэтому придумали DNSSEC механизм, который имеет такой же корень доверия, с помощью которого можно предотвратить MiTM. И в этом случае ваше утверждение не верно. Но то самое НО это когда вам подменят этот самый корень доверия и тогда MiTM реализуем, и это получается порочный круг, так как мы еще не придумали метода который "безопасно" в онлайне позволит получать корень доверия. Но тут всегда есть оговорка, что корни доверия у нас передаются в "оффлайне", то есть руками сверяем из разных источников и т.д. перепроверки, как в случае с PGP.
Гипотеза: Не существует метода борьбы с MiTM без корней доверия (это может быть третья сторона), либо без "оффлайн договоренности" (СA/Certificate pinning).
Под митм я имел ввиду всё то, что даёт DoT - аутентификацию (при наличии доверия к серту) + конфиденциальность (никто не видит, что вы там пересылаете). Сам по себе DoT не даёт того, что даёт DNSSEC - возможность владельцу зоны подписать своим ключом записи и распространить их. То, что _сейчас_ нет практики ставить ключи для DNSSEC прям в ваш девайс не означает, что это невыполнимо - у вас в /etc/ssl/certs же откуда-то эти файлики взялись, хотя вы цепочку доверия сами никакую не устанавливали. Просто в отличие от TLS, DNSSEC даёт подписать по сути любую информацию и хостить её из своей зоны. DoT только даёт защищённый канал до чьего-то резолвера, а что он там нарезолвил - хрен его знает.
> Под митм я имел ввиду всё то, что даёт DoT - аутентификацию (при наличии доверия к серту) + конфиденциальность (никто не видит, что вы там пересылаете).Что вам DoT дает? Вы же в TLS хотите избавиться от корня доверия (CA) и использовать TLS с самоподписанными сертификатами, вопрос, как у вас DoT будет работать? Все так же с предустановленными корневыми CA? Ну тогда вы их безопасно получили или нет? Из рук в руки или по той же сети, скачивая iso установленной ОС?
И все это порочный круг!!!
> DNSSEC - возможность владельцу зоны подписать своим ключом записи и распространить их.
а кто ваш ключ подписывает? опять корень доверия? который у себя хранить надо, а как его безопасно получить? Опять порочный круг?
> То, что _сейчас_ нет практики ставить ключи для DNSSEC прям в ваш девайс не означает, что это невыполнимо - у вас в /etc/ssl/certs же откуда-то эти файлики взялись
Взялись в той iso которую вы скачали, а теперь вопрос, вы безопасно скачали ту самую iso, вам ее не подменили?
> Просто в отличие от TLS, DNSSEC даёт подписать по сути любую информацию и хостить её из своей зоны.
нету никакого отличия, и там и там есть корень доверия, и в том же TLS вы хотели от него избавиться, тогда корень доверия в dnssec должен остаться.
> DoT только даёт защищённый канал
Как он может дать защищенный канал, если вы хотите избавиться от корня доверия (СА) и сделать TLS на самоподписанных сертификатах :)
пс: короче, говорю я походу с ЫЫ ботом.
> И все это порочный круг!!!
> а кто ваш ключ подписывает? опять корень доверия? который у себя хранить надо, а как его безопасно получить? Опять порочный круг?
> пс: короче, говорю я походу с ЫЫ ботом.С ботом тут я похоже разговариваю.
1. Цепочку доверия либо делигируешь другим (и получаешь CA с TLS, где у хомячков является мовитоном иметь самоподписанный сертификат и просить их один раз его проверить и сохранить для вашего домена), либо делаешь web-of-trust, попутно взаимно-заверяя сертификаты других людей, чтобы было несколько точек доверия, а не одна у конгломерата хитрожопых компаний, и так уже всё загнавших всех в облако.
2. В отличии от TLS, запись в DNS - штука универсальная (там даже адреса сервисов держат, тот же самый xmpp и емейловые серверы) и значительно более лёгкая, чем TLS. Проблема только сделать DNS как демона в системе (хотя бы и кэщирующего рекурсивного) нормой, куда любое приложение сможет подключиться и сделать запрос безопасно, а не переизобретать в каждой приложухе кнопку с выбором айпишника dns сервера и трястись что в приложении X нет DoT, или что оно не чекает DNSSEC.
> взаимно-заверяя сертификаты других людейотлично, вы придумали схему PGP, то есть предлагаете Максиму созваниваться с каждым анонимом, чтобы он на ушко им диктовал фингерпринт своего сертификата от opennet.ru?
> Проблема только сделать
Так в чем проблема - сделать "безопасТный" протокол без корня доверия? Ваша же изначальная цель была избавиться от него в TLS и сделать самоподписанные сертификаты. Ну что получилось? Нет, это будет работать в единичных случаях - "точка к точке", аля пиннинг.
> Скорее на https с самоподписанным сертом.замумукаешься обновлять каждые 25 минут. А сертификаты сроком жизни 30 - запритить как небезопастные.
Так что я тоже уже за http без s.
> замумукаешься обновлять каждые 25 минут. А сертификаты сроком жизни 30 - запритить как небезопастные.Адекватные браузеры всё ещё позволяют нажать "запомни этот серт для этого домена". Всё остальное, что не позволяет пользователю разрешить вручную/ перенастроить разрешённые серты - это и так уже потерянная история.
> Адекватные браузеры всё ещё позволяют нажать "запомни этот серт для этого домена"А чего толку-то если он каждый день новый будет?
(А что даже адекватные смогут и захотят бороться с запретом долгоживущих сертификатов - это вряд ли. Да и его быстренько запихнут в код непосредственно openssl/nss/кто там еще так что хрен и обойдешь.)
С чего бы мой самоподписанный сертификат будет обновляться чаще, чем раз в год или два? Мне самого себя подтверждать и автоматически протухать не нужно. А другого нормального способа сделать безопасный канал (который может мне понадобится не только для публичной информации, но и той, для которой хочетелось бы хоть какой-то аутентификации, даже по Basic Auth) в браузере нету, только TLS.
> С чего бы мой самоподписанный сертификат будет обновляться чаще, чем раз в год или два?ERR_CERT_VALIDITY_TOO_LONG без кнопки продолжить.
они таким же макаром завтра тебе иметь селфсайнед сертификаты запретят :)
селфсайнед они УЖЕ запретили. (cors и что там еще - _принципиально_ не работает с self signed)Можешь вон, для практики, например - настроить пресловутый onlyoffice ровно по инструкции.
(не докер в докере под докером, а собственно сам onlyoffice _server_ поднять, и потом запустить их же тестовый код из документации)Тебе даже "бессмысленную галиматью БОЛЬШИМИ БУКВАМИ полную неведомой херни" не покажут, просто пустое место. (и нет, без https тоже не заведется)
Но не думаю что запретят собственные CA - как еще копро-рации будут проверять твой траффик на безопастность?
Просто они тоже не смогут выдавать сертификаты сроком больше чем на неделю - и придется тебе с _двух_ сторон - на хосте и на сервере самого CA ставить васянские скрипты с полным доступом к закрытым ключам и к конфигурации веб-сервера.
> селфсайнед они УЖЕ запретили. (cors и что там еще - _принципиально_ не работает с self signed)почему не работает? должен работать там же свой СA пихается в доверенные в любом случае.
> Но не думаю что запретят собственные CA - как еще копро-рации будут проверять твой траффик на безопастность?
А понятие селф-сайнед это что такое? Это именно то о чем вы пишите. А запретить то хотели ведь.
> Просто они тоже не смогут выдавать сертификаты сроком больше чем на неделю
Ну там уже захардкодят и все, тут ничего не поделаешь, если только не будете перекомпилять хром.
> почему не работает?небебебебезапастна!
> А понятие селф-сайнед это что такое?
это когда нет подписи вообще никакого CA. Вместо нее подпись тем же самым открытым ключом что и собственно этот сертификат.
(корневой сертификат CA - всегда self-signed. Мы ему доверяем не из-за подписи, а потому что он вручную кем-то добавлен в волшебный списочек)Т.е. тебе придется именно развернуть и поддерживать цельную инфраструктуру. Корпам-то сойдет, точнее, у них сто лет как есть. Останется к ней прикрутить автоматику и все ключи от всего без паролей под коврик положить (иначе автоматика работать и не может)
> небебебебезапастна!эники беники ели вареники
> это когда нет подписи вообще никакого CA.
подпись есть, вопрос в том чьим приватным ключем, и тут две ситуации селф-сайнеда - когда подписывается приватным ключем самой пары, то есть приватный ключ подписывает свой публичный ключ, и вторая ситуация - это CA, который есть такая же пара ключей, которая создана для подписания других публичных ключей (аля выдача сертификата - подписывания публичного ключа). И для того, чтобы ваш браузер принимал селф-сайнед сертификат без ворнингов, надо пихнуть публичный ключ от СA, либо сам публичный ключ того самого селфсайнед сертификата в список доверенных (он только должен содержать флаг CA:true? браузер может не принять).
> Вместо нее подпись тем же самым открытым ключом что и собственно этот сертификат.
подписывает закрытый ключ! подписывают - публичный!
> (корневой сертификат CA - всегда self-signed. Мы ему доверяем не из-за подписи, а потому что он вручную кем-то добавлен в волшебный списочек)
Отличие лишь в том, что там есть флаг CA: true, никто не мешает какому-нибудь вебсерверу использовать в качестве серверных сертификатов для TLS то самый сертификат СA. В таком случае получив от сервера сертификат, и тупо добавить его в список доверенных. Вопрос лишь в том, что при такой схеме возможен MiTM при первом соединении. При офлайне - исключен.
> Т.е. тебе придется именно развернуть и поддерживать цельную инфраструктуру.
зачем, если они всю онлайновость (OCSP) выкручивают из браузера. А вебсерверу тупо дать сертификаты с флагом CA:true, и ничего городить не надо.
> А вебсерверу тупо дать сертификаты с флагом CA:true, и ничего городить не надо.Ну попробовать можешь, но что-то мне подсказывает что раз явное добавление self-signed в исключения не помогает, то и с флагом CA тоже не поможет. Принесите ему подписанный каким-нибудь третьим ключом. И переподписывать раз в три дня не забудьте.
> раз явное добавление self-signed в исключения не помогает, то и с флагом CA тоже не поможет.а у вас в доверенных списках сертификаты с каким флагом лежат? CA по определению селфсайнед, который добавляется в список доверенных. А вебсерверу пофиг, что вам разрешено тем или иным сертификатом делать, то есть с флагом CA:true вебсервер спокойно будет работать.
домашние странички вполне себе лепят без httpshttp://xahlee.info/w/why_no_https.html
я последнее время на таких старых добрых блогах и провожу
Без https годно только для локальных сайтов, роутеров и подобного, в трафик которых не врезается провайдер, обгаживающий все http страницы рекламой.
просто не позволяй своему провайдеру вмешиваться в свой трафик. про суды слышал что-нибудь?
> просто не позволяй своему провайдеруПросто у меня нет своего провайдера, и приходится пользоваться вражескими
>про суды слышал
Ну насмешили :)
так себе вариант. Тогда мерзкий провайдер будет не стесняясь туда инжектить рекламу и прочие личные кабинеты "исключительно для удобства клиентов!"Помнится знатно прифигел от такой практики лет 5 назад.
> Помнится знатно прифигела что с тобой будет от современной клауди...
хромог http уже не открывает вроде, не?
а не пофиг, что там не открывает браузер без uBO?
В ms edge, который идет в комплекте с виндой и который базируется на хромиуме, ubo все еще работает отлично, сам сижу с этого браузера даже в linux. А фурифокс всем хорош, но много сайтов работают криво, сыпля ошибками в js console.
Ты не поверишь, но если заблочить весь или почти весь жс на сайтах, где нанимали идиотов, которые не в состоянии даже найти официальные спецификации и учиться по ним, а не по гайдам в стиле "заверните всё в div", то какую-то инфу с этих помоек вытащить всё ещё можно и ничего ломаться само не будет, потому что дом теперь статичный.
Открывает, при многих если. Включая но не ограничиваясь - отсутствием на том же хосте на том же адресе ДРУГОГО сайта с поддержкой https.Ну, собственно, если хост твой, то этой проблемы у тебя и не будет.
А вот вставить картинку выложенную у себя, на сайт с https - опа, уже не получится.
Это небебебебезопастно и овцы не должны сами решать какие картиночки им можно видеть а какие нет.
Переходи на гипертекстовый фидонет.
Я бы с удовольствием перешел в фидонет, bbs и irc. Но там никто не сидит. Эти люди выросли, женились, родили детей и теперь им не до инторнетов.
Вообще-то ровно наоборот. Большинству тех на ком держался фидонет начала 90х было хорошо если под 30 (кое-кому и за 50).Его проблема была в том что он уже к концу 90х абсолютно исчерпал себя технологически, при этом не имея никаких реальных механизмов реформирования.
Это была религиозная секта, чей бог давным-давно умер, а они продолжали отправлять свои странные и бессмысленные ритуалы.
irc вполе себе живо, постоянно появляются новые люди
Это не то irc. Вот прям совсем не то. Даже по технической части не то. Одно лишь название. Настоящий irc это когда ты по видеотерминалу (а иногда и по печатному!) и телефонному модему дозваниваешься к удаленному мейнфрейму с юниксом и… ну вы меня поняли.
>>подумываю о переходе на httpна gopher сразу
и с подтверждением через finger
>была продемонстрирована возможность получения TLS-сертификатов для чужих доменов в зоне ".mobi" путём захвата устаревшего WHOIS-сервиса регистратора данной доменной зоны.Может, все таки, проблема не в процедуре верификации, а в захвате WHOIS-сервиса
По классике, убрали всё самое простое и полезное. Технологии всё больше идут по пути усложнения и пригодности для использования только большими корпами.Как это у вас до сих пор нет кластера кубернетес со 100500 нужными сервисами? Хрен вам, а не сертификат.
>Технологии всё больше идут по пути усложненияОчевидно же! Скользящие сани -> катящаяся телега -> самолет
> Скользящие сани -> катящаяся телега -> самолетК твоей 4-колёсной колымаге предъявляют требования как к самолёту?
> Скользящие саниСанки ещё никто не запретил, даже прокат есть на курортах.
Уже не редкость, когда ИИ предлагает код хеллоуворлда с клиент-серверной архитектурой в докере через классы и сторонними библиотеками на 4 гигабайта.
И чтобы три строчки из этого обязательно на расте были, иначе небезопасный хеллоуворлд будет.
Свои проекты принципиально не перевожу на HTTPS. Благо, ориентированы они на людей, чем IQ выше среднего. Ровно, как и не требуют никакой авторизации (как на оупеннете кстати).
>Ассоциация CA/Browser Forum, выступающая площадкой для совместного принятия решений с учётом интересов производителей браузеров и удостоверяющих центрова учёт ваших интересов - это ваши проблемы
Так, а что остаётся то?
>а что остаётся то?- ЕСИА
Поначалу как-то негативно воспринял данную новость, но подумав, понял что в целом возможно это ради безопасности - данные методы которые отменяют могут быть использованы в качестве компрометации или даже угона домена.
прочитал про mobi
вообще поиск правильного whois сервера это творческий процесс, поэтому видимо многие 1 раз сохраняют у себя и уже не обновляют.
сейчас у них вообще только RDAP
https://www.iana.org/domains/root/db/mobi.htmlТут не устаревшим объявлять надо по-хорошему, а отзывать сертификат CA, которое такой косяк в процедуре допустило.
Это всё-равно носит рекомендательный характер.Или центры сертификации (CA) и доменных регистраторов будут как то наказывать на использование других методов?
Когда уже внедрят достойную систему подтверждения доменов, на базе каких-нибудь блокчейнов? Тогда хотя бы от криптовалют, NFC-токенов и т.п., математически и криптографически грамотно спроектированных технологий, будет реальная практическая польза человечеству.
> Когда уже внедрят достойную системуИшь чего захотел. Достойную - для кого? Для ЦА? Для гугла или мозилы?
Кажется "светлое будущее" заключается в том, чтобы спрашивать ключ симметричного шифрования у корпорации при каждом соединении. И это будет ради безопасности, квантовые компьютеры эти ваши RSA/DSA будут легко взламывать и безопасно лишь симметричное шифрование. Поэтому идите в магазин, купите флешку с уникальным ключом для доступа к серверам корпорации и радуйтесь безопасности, пока ключ не протух.
> Кажется "светлое будущее" заключается в том, чтобы спрашивать ключ симметричного шифрования
> у корпорации при каждом соединении. И это будет ради безопасности, квантовые
> компьютеры эти ваши RSA/DSA будут легко взламывать и безопасно лишь симметричное
> шифрование. Поэтому идите в магазин, купите флешку с уникальным ключом для
> доступа к серверам корпорации и радуйтесь безопасности, пока ключ не протух.так это было бы надежно и эффективно. (если тебе не надо такой безопасности - ну и не покупай) Поэтому - не прокатит.
Даже если ты сам себе такую флэшку соорудишь (что как раз было бы правильно да и несложно - шифровать надо _канал_ а не прикладной протокол) для себя и друзей - все равно мы тебя заставим ставить на сервер однодневный сертификат шетшиткрыпты.
> Ассоциация CA/Browser Forum, выступающая площадкой для совместного принятия решений
> с учётом интересов производителей браузеров и удостоверяющих центровОпять какая-то полумафиозная групппировка всем диктует что такое хорошо и что такое плохо. Ничего нового.