Некоммерческий удостоверяющий центр Let’s Encrypt (https://letsencrypt.org/), контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, раскрыл (https://letsencrypt.org//2016/06/23/defending-our-brand.html) сведения о попытке компании Comodo Group (https://ru.wikipedia.org/wiki/Comodo), бизнес которой связан с распространением сертификатов SSL, присвоить себе право на бренд Let’s Encrypt. Проект Let’s Encrypt был анонсирован (https://www.opennet.ru/opennews/art.shtml?num=41086) в ноябре 2014 года, после чего Comodo Group как минимум три раза пыталась зарегистрировать торговую марку на выражение "Let’s Encrypt" для своих сервисов, связанных с работой удостоверяющего центра. В частности, в октябре 2015 года поданы заявки на торговые марки Let’s Encrypt (http://tsdr.uspto.gov/#caseNumber=86790719&caseType=SERIAL_N... Let’s Encrypt with Comodo (http://tsdr.uspto.gov/#caseNumber=86790812&caseType=SERIAL_N... и Comodo Let’s Encrypt (http://tsdr.uspto.gov/#caseNumber=86790789&caseType=SERIAL_N....Проект Let’s Encrypt потратил много времени и ресурсов на продвижение и обеспечение узнаваемости своего бренда, востребован миллионами пользователей и ассоциируется с деятельностью сообщества и высоким качеством. Деятельность Comodo по регистрации торговой марки Let’s Encrypt потенциально вводит в замешательство пользователей и может подорвать доверие, поэтому проект заявил о готовности решительно защищать свои права на бренд.
В случае судебного разбирательства, проект Let’s Encrypt уверен, что решение будет вынесено в его пользу, так как в областях интернет-безопасности и SSL/TLS-сертификатов проект использовал данное имя впервые и развил его в узнаваемый бренд. Но подача судебного иска требует значительных ресурсов, которые лучше потратить на развитие технологий в Web, чем на доказательство очевидной правоты. Представители Let’s Encrypt надеются на порядочность Comodo и просят мирным путём отказаться от поданных ими заявок на торговые марки Let’s Encrypt. Запросы по этому поводу напрямую или через адвокатов отправлялись в Comodo начиная с марта, но, к сожалению, пока не удовлетворены.
Дополнительно, можно отметить публикацию (https://letsencrypt.org/2016/06/22/https-progress-june-2016.... июньского отчёта сервиса Let’s Encrypt. После введения в строй сервиса в декабре 2015 года выдано более 5 млн сертификатов, из которых приблизительно 3.8 млн являются активными. Выданные сертификаты охватывают более 7 млн доменов. Из крупных массовых внедрений сертификатов Let’s Encrypt отмечаются проекты компаний OVH, WordPress.com, Akamai, Shopify, Dreamhost и Bitly. При запуске Let’s Encrypt HTTPS использовался в 39.5% загрузок страниц по данным Firefox Telemetry. В середине апреля этот показатель вырос до 42%, а сейчас составляет 45%. Целью работы сервиса является способствование полному переходу всех сайтов в интернете на HTTPS.
URL: https://letsencrypt.org//2016/06/23/defending-our-brand.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=44656
Народ, посоветуйте клиента для Let's Encrypt. Дефолтный требует рута и очень долго запускается. Нужно, чтобы сгенерило сертификат для нескольких доменов, прописалось в кроне и тихо-спокойно обновляло его когда нужно.
letsencrypt.sh ищщи на github'e
https://github.com/lukas2511/letsencrypt.sh
идеал.
Хорошо что помимо эталонной навороченной реализации, есть еще одна, которая просто делает свое дело.
портянка из 1к строк на баше, требующая внешние зависимости? Нет, спасибо
https://kristaps.bsd.lv/letskencrypt/
>> Secure Connection FailedT_T
>>> Secure Connection Failed
> T_TVerified by: Let's Encrypt
Если он в твоем браузере не рабтает (что это за трэш?) то зачем тебе их сертификат? А так там весьма фундаментально подошли к разделению прав. Только почему-то считают лажовый chroot какой-то зщитой. Опенбсдшники забавные перцы. Ставят трехметровый забор, но забывают установить ворота :).
> в твоем браузереЕсли мой Firefox 47 его не хочет — значит что-то там неправильно.
И сертификат это только начало истории, правильную настройку сервера он за тебя не проведёт.
> Если мой Firefox 47 его не хочет — значит что-то там неправильно.Это у тебя в системе или провайдере что-то неправильно, специально проверил, файрфокс 47 согласился на этот сертификат.
>> Если мой Firefox 47 его не хочет — значит что-то там неправильно.
> Это у тебя в системе или провайдере что-то неправильно, специально проверил, файрфокс
> 47 согласился на этот сертификат.Или всё-таки кто-то сервер жопой настраивал:
https://www.ssllabs.com/ssltest/analyze.html?d=kristaps.bsd....
> Или всё-таки кто-то сервер жопой настраивал:Да ладно... как клоуном можно сервер настраивать?
>>портянка из 1к строк на башеА портянка из 1К строк на языке %s лучше?
>>требующая внешние зависимости
Бегло посмотрел код. Какие внешние зависимости? Cat? Он есть в составе BusyBox. Что-то ещё?
>А портянка из 1К строк на языке %s лучше?лучше. Баш со своим вырвиглазным синтаксисом просто не предназначен для реализации сколько-нибудь сложных алгоритмов, плюс он привязан к unix-like осям
Мазохисты с вебсерверами на винде сами выбрали путь боли.
> лучше. Баш со своим вырвиглазным синтаксисом просто не предназначен для реализации сколько-нибудь
> сложных алгоритмовНо тем не менее на нём реализуют сложные алгоритмы и даже пишут игры.
>плюс он привязан к unix-like осям
Оратор выше всё сказал за меня ;)
> Но тем не менее на нём реализуют сложные алгоритмы и даже пишут игры.Игру можно написать даже на брейнфаке, если задаться такой целью. Однако серьезные геймдевы предпочитают более подходящие для этого инструменты.
> Игру можно написать даже на брейнфаке, если задаться такой целью. Однако серьезные
> геймдевы предпочитают более подходящие для этого инструменты.Естественно, но я не про игры в целом, я про "сложные алгоритмы". Просто привёл такой пример, не надо демагогии.
> Баш со своим вырвиглазным синтаксисом...Это синдром утёнка. Паскалисты доказывают, что у C вырвиглазный синтаксис. Сишники, то же самое думают про паскаль. Хипстеры, что bash им не осилить. Но реально вырвиглазных синтаксисов немного. Ну там brainfuck и ещё парочка.
perl?
Нет.
Forth?
Не, я его люблю, на самом деле.
> Баш со своим вырвиглазным синтаксисом просто не предназначен для реализации сколько-нибудь
> сложных алгоритмов, плюс он привязан к unix-like осямНе осилил, пионэришка7
> Не осилил, пионэришка7Ты уже переписал альтовские костыли на баш4, эксперт? Ах, вы же только осчастливить своим unsupportable умеете, скриптеры...
Она просто работает, причём отлично работает и под sudo -u nobody -- какого тебе ещё надо?+ Ничего "внешнего" помимо того что уже и так было в системе, ставить не пришлось.
check_dependencies() {
# just execute some dummy and/or version commands to see if required tools exist and are actually usable
openssl version > /dev/null 2>&1 || _exiterr "This script requires an openssl binary."
_sed "" < /dev/null > /dev/null 2>&1 || _exiterr "This script requires sed with support for extended (modern) regular expressions."
command -v grep > /dev/null 2>&1 || _exiterr "This script requires grep."
_mktemp -u > /dev/null 2>&1 || _exiterr "This script requires mktemp."
diff -u /dev/null /dev/null || _exiterr "This script requires diff."# curl returns with an error code in some ancient versions so we have to catch that
set +e
curl -V > /dev/null 2>&1
retcode="$?"
set -e
if [[ ! "${retcode}" = "0" ]] && [[ ! "${retcode}" = "2" ]]; then
_exiterr "This script requires curl."
fi
}это все, если не нравится - напиши сам
sudo тебе в помощь.
есть клиент lego, написан на go, компилируется в один бинарь, памяти ест мало, работу свою делает. есть поддержка верификации через dns
https://github.com/veeti/manuale
> https://github.com/veeti/manualesetup.py - поколение гвидобйсика перенимает опыт старших товарищей из visual basic.
Скорее опыт старших товарищей с configure
> Народ, посоветуйте клиента для Let's Encrypt. Дефолтный требует рута и очень долго
> запускается. Нужно, чтобы сгенерило сертификат для нескольких доменов, прописалось в кроне
> и тихо-спокойно обновляло его когда нужно.А его что надо запускать постоянно? Получил сертификат раз в год (или чаще?) и радуешься.
Вообще доля Let`s Encrypt сертификатов вырастет до 99,9%. Именно столько в интернете домашних страничек, говносайтов и SEO-шного шлака. Не требующих проверки принадлежности юр.лицам.
А оно вообще нигде не нужно. Либо well-known домены вроде google.com, либо морды банков, госконтор и т.д., где своё шифрование.Но для понтов - пойдёт.
либо когда наступит эра HTTP/2
https://ru.wikipedia.org/wiki/HTTP/2#.D0.A8.D0.B8.D1.84.D1.8...
Будем надеется, что эра http2 никогда не наступит.
> Будем надеется, что эра http2 никогда не наступит.Палишься, гэбист кровавый.
> Палишься, гэбист кровавый.Ты небось фанат "художественного исследователя" Солженицина?
Ещё расскажи про поедание младенцев на завтрак.
Это ты Роскомнадзору расскажи. Этих махровых.... не устраивает сертификат, выданный Let's Encrypt. Тоже, работал, работал, пришли, потребовали заменить. И хрен чего докажешь.
> работал, работал, пришли, потребовали заменитьМожно детали? Какой направленности сайт? Кто именно "приходил" (и каким способом -- не домой же, наверное)? Какая была от них претензия? Что именно требовали сделать? Чем закончилось?
К кому пришли? Что сказали? А веб-сервер с nginx на apache не просили заодно?
Чтобы ssl работал на сайте без лишних запросов и предупредений юзеру?
Паспорта нафиг не сдались для всех этих анонимусов в интернете.
доверие, что трафик между пользователем и сайтом не перехвачен.
> доверие, что трафик между пользователем и сайтом не перехвачен.Шифрование трафика теперь защищает от его перехвата трафика?
На опеннете пробито очередное дно.
>> доверие, что трафик между пользователем и сайтом не перехвачен.
> Шифрование трафика теперь защищает от его перехвата трафика?
> На опеннете пробито очередное дно.Шифрование защищает информацию в случае перехвата трафика. Насчет пробитого дна - не нужно проецировать свои потаенные фантазии тут.
> клоун: А зачем тебе SSL, если ты не работаешь с конфиденциальными данными?
> А если работаешь, то какое у пользователей может быть доверие к
> серту, который может получить любой аноним?Зачем ты всегда говоришь от лица какого-то клоуна?
> Мир движется к тому, что сертификаты станут цифровым паспортом. Паспорт будет в
> всего и всех: у людей, у устройств (паспорт технического устройства в
> котором указан его уникальный номер), у сайтов, у девайсов интернета вещей, ..Если допустить что твоя утопия случится, ты и будешь первый пострадавший. Тебя заткнут на опеннете и не только. Те кто посообразительнее - возьмут у тебя в супернадежной винде твой сертификат и оттянутся, ну а отсиживать будешь ты. Потому что судьи и следователи не очень в этом разбираются, а терпила которого дрючит и криминал и государство - это судьба.
> Может ли выданный Let's encrypt серт считаться таковым? И клоуны,
> вещающие про 99% просто не понимают зачем серты вообще нужны.Они нужны для того чтобы удостовериться что сайт - именно тот сайт, а не какой-то посторонний клоун-пупкин вклинившийся посередине.
Это смотря кому. Кому-то сертификаты нужны чтобы доносить единственно правильную точку зрения до потребителей информации в целевых странах.
> Тоже, работал, работал, пришли, потребовали заменить. И хрен чего докажешь.Скажи спасибо что не омон компьютеры вынес. Цивилизованная же страна.
> А оно вообще нигде не нужно.Проблема в том что поразвелось всяких! Кто пароли на открытой точке в кафешке снимает, а потом льет трояны через админку или спамит. Кто DPI ставит и слишком много хочет знать. Кто нагло вклинивается в транзитный траффик и врезает метрики или рекламу. Или того веселее, требуют отдкльной оплаты за "премиум" контент как мобильные операторы. Вот им всем уготовано пойти на.
Люто плюсую.
Это тот самый комод, который выпускает троян под видом антивируса и издаёт корни непонятно кому? Думаю, он выиграет в суде, ибо что-то тут нечисто.
Тот самый, который повторяет запросы вашего браузера с вашими куками, но со своих серверов.
зачем это им?
Интересно же!
> зачем это им?Они играют в MITM-атаки? Diginotar вон доигрался.
Ничего удивительного. Вокруг чего-либо некоммерческого, свободного, доступного, полезного, всегда коршунами кружится разная мразота.
Не понимаю, почему нельзя всегда придумывать несуществующие слова (или составное слово из существующих) или сокращения для своих сервисов и программ? Так туго с воображением у заморских братьев? А то, давайте шифровать, яблоко, окна и т.д. как то уж очень не честно! Еще бы "программа" зарегистрировали торговую марку и всех бы за это слово засуживали ...
Не понимаешь ты, судя по всему,сути новости.
Комодо начали подавать заявки на ™ уже после того, как имя «Let's Encrypt» стало известным. Что бы помешало им подавать заявки на придуманное тобой несуществующее слово или составное, м?
Так скажи срочно им, что бы ребята зарегали своё словосочетание! А то реально беда будет!
> Анонсирован в 2014 г.Это публичный анонс в 2014 был, однако:
«The Let's Encrypt project was started in 2012 by two Mozilla employees, Josh Aas and Eric Rescorla, together with Peter Eckersley at the Electronic Frontier Foundation and J. Alex Halderman at the University of Michigan. Internet Security Research Group, the company behind Let's Encrypt, was incorporated in May 2013.»
Насчёт известности — не имеет значения. Если в Комодо не совсем идиоты сидят им сразу было понятно, что их бизнесу халявная раздача сертификатов, мягко говоря, не поспособствует. И начали действовать на опережение, до приобретения широкой известности и масштабной раздачи сертов, точнее, чтоб её как раз не допустить.
Клоун, я понимаю, что ты тут исключительно с целью облизнуть всякого проприетарщика, сволочного баблоруба, патентного тролля и прочего говнюка, тусишь. Но давай ты сам с собою будешь этим заниматься, а не засорять мне мыло, отвечая на мои комменты.
Ага, конкурентная война между некоммерческим центром, который выдаёт бесплатные сертификаты, то есть несёт пользу сообществу, и коммерческой конторой, которая жаждет баблосов, и ради своей выгоды начинает строить вышеназванному центру (и, получается, сообществу) пакости.
Выбрал ли я сторону, учитывая вышесказанное? Знаешь, пожалуй, да.
> Не понимаешь ты, судя по всему,сути новости.
> Комодо начали подавать заявки на ™ уже после того, как имя «Let's
> Encrypt» стало известным. Что бы помешало им подавать заявки на придуманное
> тобой несуществующее слово или составное, м?Комод уже начал оправдываться и явно готов к судам морально и финансово, в отличии от оппонента. Не удивлюсь если толстый бумажник снова победит в суде. "Let's Encrypt сомод" вполне прокатит, думаю.
Как насчет другой "торговой марки" для COMODO? Let's boycott! :D
> А то, давайте шифровать, яблоко, окна и т.д. как то уж очень не честно!Ну вот ответь честно: давайте шифровать, яблоко, окна - ты предпочтёшь всему этому мою суперскую программу под названием "лфыуомр жыло"? Ок, ты да. А миллионы людей в среднем, как думаешь?
Они там просто поехавшие, ничего удивительного. Особенно забавляет пост ceo: https://forums.comodo.com/general-discussion-off-topic-anyth...
>Comodo has provided and built a Free SSL model that give SSL for free for 90 days since 2007
>Free SSL certificates are valid for 90 days and are limited to one issuance per domainТо есть, ни о каком продлении и не может быть речи, так как это просто trial.
Братцы, Comodo - зашквар. Помните об этом, когда будете делать csr-запрос. В вечный бан их.
Ну получат они бренд Let’s Encrypt with Comodo или Comodo Let’s Encrypt, что от этого плохого случится? LE и так хорошо распиарились и всем известно, что к комоду они отношения не имеют.
если они получат этот бренд то подадут в суд на настоящий Let's Encrypt, чтобы запретить им использовать это сочетание слов.
Вместо того, чтобы потратить чуть-чуть денег на регистрацию TM, сейчас потратят over 9000 на суды.
Есть надежда, что деньги можно будет отбить за умышленную регистрацию вещей, которые уже пересекаются с существующими. Я б этих "Абдулхайоглуев" наказал десятикратно.
А есть такая практика?
В комодо давным давно все сгнило и поведение Мели никого не удивляет. Лучше бы порол своих туповатых турков, может и стали бы лучше программировать ;)
Ожидаемая реакция, comodo и startcom как главные поставщики копеечных сертификатов сильнее всего пострадали от let's encrypt.Nothing personal, just business.
> Проект Let’s Encrypt потратил много времени и ресурсов на продвижение и обеспечение узнаваемости своего бренда...Ага и то что тут так часто стали про него писать/рекламировать тоже част их маркетинга?
> востребован миллионами пользователей
Миллионами ботов. Wosign востребован миллиардами реальных пользователей, включая админа этого сайта.
> и ассоциируется с деятельностью сообщества и высоким качеством.
Искать скрипт автообновления и надеется, что он будет работать?
Да нет спасибо, куда надёжнее, проще и легче у китайцев получить сертификат на 3 года, а не месяца, причём получить мгновенно в полуавтоматическом режиме в полтора клика, где пару раз потребуется заполнить капчу для авторизации и для подтверждения заказа.Но по сабжу, да, Комодо поступили подло!
А это нита ли контора, которая на офтопике платный фаервол делает?
> включая админа этого сайтаТак я узнал что на опеннете есть https
>> включая админа этого сайта
> Так я узнал что на опеннете есть httpsЛучше поздно, чем никогда. :-)
Единственный недочёт с его стороны, что ссылки на комментарии на мыло всегда приходят в http.
> Искать скрипт автообновления и надеется, что он будет работать?А написать десяток строк на sh уже нынешним кул хацкерам Коран не позволяет?
>> Искать скрипт автообновления и надеется, что он будет работать?
> А написать десяток строк на sh уже нынешним кул хацкерам Коран не
> позволяет?Мне здравый смысл не позволяет писать какие-то костыли не понятно для чего, вместо того, чтобы 1 раз прописать статически в конфигурации вэб-сервера, и раз в 3 года выполнить openssl команду, ввксти 2 раза капчу, распаковать полученный архив и заменить 1 файл.
Здравый смысл подсказывает, что лучше один раз настроить и забыть, чем помнить о грядущем через 3 года событии (с отличным шансом забыть) и делать что-то ручками.
> Здравый смысл подсказывает, что лучше один раз настроить и забыть, чем помнить
> о грядущем через 3 года событии (с отличным шансом забыть) и
> делать что-то ручками.Вы хоть дальше своего локалхоста можете смотреть?
1 Вы думаете ваш скрипт будет работать вечно? Может, банально, изменится адрес API, при котором скрипт не сработает.
2 Изменятся права на хосте и вы, или кто-то другой и вовсе забудет, что скрипт должен быть исполняемым.
3 Забудете перенести это правило в крон.
4 Передадите сайт другому программисту, а тот, кто над ним будет работать, даже и не будет догадываться о том, что в кроне нужно правило для автозапуска апдейта, а этому скрипту права на выполнение, так как sudo chmod -R =r,u+w,+X /srv/www/site/ это, в лучшем случае, привычные и правильные права, для сайта. Баранам, которые устанавливают sudo chmod -R 755 /srv/www/site/ это, конечно же, не грозит.
5 И главное, сертификат, вы или будете держать под обычным пользователем, давая его просмотреть кому угодно на хосте, на котором могут быть куча виртуальных серверов, или если будете держать под рутом, тогда крон нужно будет запускать с sudo без пароля, что может быть очень опасным, если этот скрипт каким-то образом будет модифицирован.Тут никаких преимуществ, одни недостатки. Если не считать некое быдлокодерское удовлетворение от того, что мол нифига себе, я смог написать костыль на баше.
Товарисч, извините, но вы не в теме.
Даже разбирать не буду по пунктам.
Удачи и крепкой памяти вам!