Разработчики проекта Chromium внесли изменение, прекращающее доверие к TLS-сертификатам, время жизни которых превышает 398 дней (13 месяцев). Ограничение будет действовать только для сертификатов, выписанных начиная с 1 сентября 2020 года. Для полученных до 1 сентября сертификатов с длительным сроком действия доверие будет сохранено, но ограничено 825 днями (2.2 года)...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53250
Началось...
Почалося
Опять Интернет ломают. Цепочка доверия говорит,что сертификат валидный, а браузер будет говорить что нет...Почему, это уже другой вопрос. Но неужели нельзя на уровне стандартов и консорциумов договориться, удостоверяющим центрами только на руку - обновление на новые, да ещё и более "скоропортящиеся" сертификаты.
Да нет никакого стандарта, сейчас каждый рак куда хочет, туда тянет.
Стандарты есть, но хочется иметь и денюжку. И чем чаще, тем лучше. Например, раз в месяц менять.
Не, ну чо, правильно думают. А то нагенерируют себе сертификаты на 10 лет.
Ну, и как оно объяснили это решение? Логически объяснили! А то не ясно, с какого фига именно год? И тем более "2.2", LOL!
Ну, с 2.2 всё просто: 366*2 +25%.
А! Точно!
Apple, Mozilla & Google не торгуют сертификатами = итого сpать хотели на бизнес всяких там уд центров.Но спамеры/кракеры/хацкеры утюжат простых пользователей и тем самым бросают тень на секурность браузеров и самых компаний.
Элементарно, Ватсон.
> простых пользователейОбобряю! Слишком простые могут идти асфальт укладывать. Без инторнетов.
>>Слишком простые могут идти асфальт укладывать.Так вот такие и укладывают. Правда, часто прям поверх снега\луж\прочих говен.
> Так вот такие и укладывают. Правда, часто прям поверх снега\луж\прочих говен.Ты не поверишь, но это проблема руководителей а не исполнителей.
> Ты не поверишь, но это проблема руководителей а не исполнителей.Видимо, руководятел - недалеко от исполнителей ушёл.
> Видимо, руководятел - недалеко от исполнителей ушёл.Речь не об этом, и не важно это. Важно другое, даже другие обстоятельства.
Тут не совсем понятно недовольство УЦ, т.к речь о том, что долговечность их продукции( сертификаты ) будет снижена, соотв., спрос на них будет как минимум не меньше, а то и ощутимо больше.
Это называется "конкуренция", слышали же про такое?Вот торгуешь ты сертами. И видишь что у конкурента твоего и ценник уже предельно низкий. И сервис не хуже твоего, а то и получше. А пользователя надо заманивать к себе.
Чем ты его удивишь, чем приманишь? Только срок и остаётся - его можно до бесконечности наращивать, и совершенно бесплатно для себя.
И тут на тебе, лавочку прикрывают, и ваши супер-серты с 5летним сроком становятся ничуть не лучше чем у конкурентов, при худшей поддержке и маркетинге.
Это же свободный рынок! Большие бизнесы => много баблища => много свободы => можно росчерком пера предрешить судьбы множества не таких свободных в бабле бизнесиков. В общем, никогда не было, и вот опять!
PS За***ли со своим шифрованием котиков и сисечек. Пихают его где надо, но в основном где не надо. А страдают от этого все, кроме тех самых больших бизнесов.
Суть высказывания не понятна, поскольку тем, кто торгует более дешевыми сертификатами ничто не мешало наращивать их сроки...Но проблема том, что сейчас все сложнее сделать систему, которая бы просто работала - все чаще начинает что-то отваливаться, а теперь - даже сертификаты будут служить не более года, как будто бы кто-то всерьез по шифрованному каналу передает все те же логины/пароли в открытом виде( их, кагбэ, предлагается вообще на стороне клиента хешировать и хеши уже передавать на сервак и хоть заперехватывай такой трафик, пароля в явном виде все равно не увидишь ).
А вот так наложат какие-нибудь сша какие-нибудь санкции на энное государство - и все..
Если ранее все ИТ для внешних потребителей( сайты / сервисы / итп ) могли протянуть вплоть до 5 до скисания сертификатов и за это время условно-спокойно найти оптимальные решения( а то и санкции уже отменят ).
То теперь - речь о сроках не более года, что, для каких-нибудь крупных сервисов, уже дает не шибко то большой простор для движений и попахивает серьезными издержками.
Это к слову о том, что за крупнейшими и общепризнанными УЦ стоит конечная контора, зарегистрированная в конечном государстве и исполняющая его хотелки.
Мальчик, ты дурак? Если перехватить хеш, зачем нужно искать для него пароль?
> Мальчик, ты дурак? Если перехватить хеш, зачем нужно искать для него пароль?Похоже, дурак тут только ты, поскольку обеими руками ЗА передачу логина и пароля в открытом виде.
"Внезапно" хэш может зависеть от множества условий и нюансов.А пароль в открытом виде - он пароль и есть, и, как ни меняй алгоритмы хеширования и шифрования, но пароль "123456" юзера будет эквивалентно "123456" злоумышленника, однажды перехватившего его пароль.
> Похоже, дурак тут только ты, поскольку обеими руками ЗА передачу логина и пароля в открытом виде.А ты умный такой, да? Нельзя передавать пароль в хешированном виде. Хеш считается на стороне сервера. С солью. Если б передавался уже в виде хеша, то действительно не было бы разницы — украсть пароль или хеш. Делается так для того, чтобы обеспечить защиту от подбора пароля в случае утечки базы. А пароль, передаваемый по шифрованному соединению, уже не «открытый». По определению.
В общем, двойка тебе.
Вы все дураки, я - умный. На стороне клиента считается хэш поверх хэша пароля, соли от клиента и соли от сервера, потом то же самое делается на стороне сервера и сравнивается. Ни хэш пароля, ни сам пароль не могут быть перехвачены, передаваемые соли и хэш - одноразовые.
А теперь пальцем мне укажите на сервисы где это реализовано кроме моего приватного.
ну перехватил ты хеш от пароля и что дальше? второй раз этот хеш не пройдёт, т.к. сеанс уже открыт, хеш протух, а для следующего сеанса для _того же самого_ пароля будет сгенерирован другой хеш. что будешь делать, сосать пису?
Это скрывает пароль, но не защищает аккаунт
> для следующего сеанса для _того же самого_ пароля будет сгенерирован другой хешЭто что ж за алгоритм такой, который каждый раз для одних и тех же входных данных разные хеши выдаёт? Просвети нас, тёмных, о криптогуру!
Алгоритм обычный, а входные данные разные. https://en.m.wikipedia.org/wiki/Digest_access_authentication , искать по слову nonce
HTTP digest? Серьёзно? Нет, спасибо, конечно, что не basic, но, боюсь, ты отстал от жизни лет на 15 как минимум. Посмотри, как сделана аутентификация в любой современной CMS, что ли.
> HTTP digest? Серьёзно? Нет, спасибо, конечно, что не basic, но, боюсь, ты
> отстал от жизни лет на 15 как минимум. Посмотри, как сделана
> аутентификация в любой современной CMS, что ли.https://docs.aws.amazon.com/cognito/latest/developerguide/am...
Боюсь, отстал от жизни лет на *надцать совсем не он.
challenge-response — это замечательно, только речь выше шла о паролях.
>> для следующего сеанса для _того же самого_ пароля будет сгенерирован другой хеш
> Это что ж за алгоритм такой, который каждый раз для одних и
> тех же входных данных разные хеши выдаёт?
> Просвети нас, тёмных, о криптогуру!Принцип работы WPA-PSK?
PAKE/SRP (Secure Remote Password)?
https://en.wikipedia.org/wiki/Secure_Remote_Password_protoco...
Не, не слышали!
PSK не есть пароль, строго говоря. А про SRP, ты прав, действительно не слышали. Не подскажешь какой-нибудь проект, где он реально используется?
> Суть высказывания не понятна, поскольку тем, кто торгует более дешевыми сертификатами ничто не мешало наращивать их сроки...Они и наращивали, или вам 5 лет мало?
Непонятно что вам непонятно. Суть высказывания в том и была, что под прессом конкуренции мелкие/бедные/жадные бизнесы могли отращивать ... срок, до пределов граничащих с приличием. Вплоть до первого инцидента после которого их могли лишить сертификации. Тем самым они могли наращивать себе выгоду.
Теперь, по решению больших бизнесов - не смогут. И выгоду наращивать, а может и вообще иметь.> предлагается вообще на стороне клиента хешировать и хеши уже передавать на сервак
Угу, идея понятна. Особо если вспомнить о соли. Ну типа - если и украл доступ, то только от одного сайта. Но выглядит как очередное так-себе решение, но это в духе последних лет.
> наложат какие-нибудь сша какие-нибудь санкции на энное государство - и всеНе делай гадости и никто не наложит на тебя санкции.
Я так считаю, несмотря на то, что США не люблю.
Вы крупно ошибаетесь -- типовая логика здесь описана ещё Крыловым в басне про волка и ягнёнка.
> Ты виноват лишь в том, что хочется мне кушатьТо есть, чтобы не съели, нужно делать гадости. Что Россия и делает, я об этом уже говорил. А остальные страны как-то живут сотрудничая.
И всё-таки, вы басню-то почитайте, чтобы глупостей не писать.
Нет смысла пытаться объяснять ягненку даже если они пишет под анонимом.
> Не делай гадости...Т.е. "делай, что США велят"?
> Т.е. "делай, что США велят"?Необязательно. Свои решения тоже нужно принимать, но не перегибать палку. Остальные страны же как-то уживаются с ними. И кстати во многих уровень жизни неплохой.
Это было бы возможно, если бы в мире существовала Великая Истина, всеобщая справедливость и взаимопонимание. Жизнь так не работает, уважаемый. В реальности, вместо истины есть правда и она у каждого своя, вместо справедливости законы, а вместо взаимопонимания договоры и компромиссы.Если вы верите что такие универсальные концепты, как Добро и Зло существуют и являются едиными для всех (а без этого условия "гадости" становится субъективным понятием), то это лишь означает, что вы являетесь приверженцем какой-то из Авраамических религий. Иронично, что даже в рамках разных христианских культов понятие добра и "гадостей" очень разные.
И это мы еще не затронули тему невежественного безразличия, когда можно мучить, притеснять и оболгать другого в собственных интересах даже не разбирая последствий.
А теперь попытайтесь обобщить это на уровень государств и международных отношений, где нет места человеку и личности и подумайте из каких соображений там происходит качественная оценка, что такое хорошо и что такое "гадости".
Правда в том, что любите вы США или нет, любите ли вы Европу или нет, любите ли вы Индию или Китай или Бангладеш или Нигерию - не важно. В самом лучшем раскладе кроме Вас и Ваших близких Ваша судьба заинтересует только Ваше государство, и то, если повезёт. А если кому-то сильно захочется против вас можно что угодно смастерить и обвинить вас в "гадостях" себе на пользу. Угодить всем в этой ситуации, будучи "правильным" технически не возможно и контрпродуктивно.
> В самом лучшем раскладе кроме Вас и Ваших близких Ваша судьба заинтересует только Ваше государствоИстория показывает, что это далеко не всегда так. Бывает и ровно наоборот.
А она и существует, уже очень давно.Истинно только то, что приводит к долгосрочному выживанию человечества.
Но понять это наверное можно только если принял решение членом этого самого человечества быть, и то в полной мере, и возложил на себя такую ответственность. А иначе ты так, black lives matter (?) без отца на пособии.
Я как раз считаю, что добро и зло это субъективные понятия. Но, если кто-то сбивает самолет с гражданскими людьми, у меня язык не поворачивается назвать это добром или пустяком.
C LE сейчас вообще никаких проблем нет сделать себе сертификат. Раньше за это деньги требовалось платить
Бабло вымогают
Зачем нужны сертификаты, если им нельзя доверять? Но, в любом случае, это призрачная гарантия чего бы то ни было. С тем же успехом можно вернуться к plain http -- единственное отличие разве что в том, что сосед сможет подслушть модифицировать трафик.
> единственное отличие разве что в том, что сосед сможет подслушть модифицировать трафиксосед - по любому не сможет.
Оператор - да, сможет - но кроме совсем охреневших монополистов, не захочет - в отличие от гуглемурзилы он-то живет на твои денежки, которые ты, обидевшись, можешь отнести другому оператору. А вот гуглемурзиле ты не платишь. И владелец сайта на который ты зашел, что характерно, тоже не платит.Поэтому товар - вы.
>> единственное отличие разве что в том, что сосед сможет подслушть модифицировать трафик
> сосед - по любому не сможет.про ARP spoofing/cache poisoning не слыхали? оно и видно
Про разделение по vlanам и pppoe слышали?
> Про разделение по vlanам и pppoe слышали?ты читать не умеешь? выше писали про соседа. ты думаешь подразумевали VLAN? или всё-таки подразумевали общую локальную сеть? заминусуй сам себя
> выше писали про соседа. ты думаешь подразумевали VLAN? или всё-таки подразумевали общую локальную сеть?Да что ты, блин, такое несёшь?..
Если ты думаешь что типичный домушник (Eth-ISP) на каждую квартиру выделяет отдельный VLAN, то ты сильно заблуждаешься...Да и DOCSIS/GPON - общая шина и там есть свои прекрасные приколы для перехвата соседского траффика... В xDSL - не получится (без учета приколов на дисламе разумеется), но он мертв.
>> выше писали про соседа. ты думаешь подразумевали VLAN? или всё-таки подразумевали общую локальную сеть?
> Да что ты, блин, такое несёшь?..ты прежде чем варежку разевать читать бы научился больше чем 1 строчку в 1 комментарии. понял, блин? салага!
>про ARP spoofing/cache poisoning не слыхали? оно и видноИ? Как это поможет, если есть привязка к порту коммутатора?
Да ктож ее делает-то?
мы рассмотрим все возможные случаи что могут уложиться в бредовый комментарий пох? или ты поленился прочитать откуда ноги растут но как и все включил эксперта?
Как минимум если окажется в одной с вами WiFi сети - легко сможет.
В сетях тех же ресторанов - вообще элементарно, если обращаетесь к сайту без HTTPS и не используете VPN.
Возможно конкретно ты и товар, но у нормальных людей в такой ситуации товар - возможность доступа к интернету или конкретной его части.Владелец сайта, кстати, платит, пусть и немного иными путями - за «красивый» адрес, за хостинг итп, т.е он как раз платит за то, чтобы к нему могли зайти пользователи.
> Владелец сайта, кстати, платит, пусть и немного иными путями - за «красивый»
> адрес, за хостинг итп, т.е он как раз платит за то,А где тут деньги гуглемурзилы? Во-о-от, то есть этим пацанам, за крышу, не забашлял!
Поэтому они его самого продадут. "На `добавить` - хватит!"> чтобы к нему могли зайти пользователи.
А они херак, и не могут больше к нему зайти - вместо сайта белая страница с неведомой фигней бледносерыми буквами посередине: ERR_CERT_VALIDITY_TOO_LONG
> Оператор - да, сможет - но кроме совсем охреневших монополистов, не захочетА других нет. Почитайте, как мегафон и прочие внедряет скрипты с рекламой в страницу (и по…ть, что она ломается). Два стула, в общем.
> А других нет.у меня до сих пор не замечено попыток пихания рекламы и прочего мусора ни за одним из двух домашних провайдеров, что я делаю не так?
Может, не гоняюсь за дешевизной?
А мегафон и остальная троица - именно охреневший монополист, это я как участник попытки создания ему альтернативы ответственно заявляю. В РФ нет и не может быть еще одного мобильного оператора, всё. Поделено, и смотрящие приставлены, чтоб заносили кому надо и с кем надо делились.
Не, ну на условиях йопты или теле2 можно, конечно. Если добрые дяди хотя бы за пол-цены купят.
Так что в мобильной связи стульев вроде бы целых четыре, и еще пара приставных табуреточек, но ассортимент того что по ним расставлено - тот же.
А MT_FREE у тебя в списке сохраненых сетей, ога? :)
> А MT_FREE у тебя в списке сохраненых сетей, ога? :)у меня вообще нет карманного шпиона.
Его нет только у того кто не работает.
Такое ощущение, что существующая TLS PKI приближается к порогу раскола, разброда и шатаний. Автоматическая регенерация короткоживущих сертификатов тоже так себе решение с т.з. возможных рисков.
по-моему наоборот - смело товарищи в ногу шагают к полному контролю твоего сайта.
Потому что сайт-то может пока еще и твой, а интернет - ихний.> Автоматическая регенерация короткоживущих сертификатов тоже так себе решение с т.з. возможных
> рисков.а что если их целью и является максимизация этих рисков? Нееее, ну не может же ж быть - гугль, мурзила, ябл - честнейшие же ребята, вы только гляньте в эти индусские хари. Как можно таким да не доверять?
Всё вполне вероятно так, но тут столкнулись продвигатели контроля над PKI с зарабатывальщиками на PKI.
Так-то чума на оба дома, конечно, но столкновение интересное.
Страдать всё равно мы будем. "Баре дерутся, а чубы у холопов трещат"
Опять "забота о гражданах" вместо совершенствования технологий/стандартов/etc..
За совершениствование некоторых технологий можно и на бутылку присесть.
> Опять "забота о гражданах" вместо совершенствования технологий/стандартов/etc..Сам-то понял, что написал? Какое может быть совершенствование, если сертификаты по десять лет не обновлять?
Странно: раньше центры получали денежку раз в 5 лет. Теперь будут каждый год. Чем они не довольны?Проблема в конкуренции с LetsEncrypt?
именно так. геморрой со сменой пачки сертификатов раз в год (со служебными записками и миллионом согласований затрат аж этак на $60) для многих окажется окончательно неприемлемым.Проще плюнуть и перейти на 6ешплатые. Ну станет одной потенциальной брешью больше из-за невменяемых роботов, манипулирующих сервером - подумаешь.
Пользователи, жрущие с чавканьем любое дерьмо подачи гуглезиллы - сами виноваты.
Зато, если у нас сперли сертификат на самом деле - теперь хрен кто что докажет.
Тебе не кажется, что платить за сертификат это довольно тупая затея в 2k20?
"вот же, 6ешплатное, взять-взять-взять!"
За ДНС-сервер ты тоже платишь?
За DNS-сервер то можно не платить, а за то чтобы поднятый тобой DNS-сервер включили в "цепочку доверия" придётся заплатить денюжку регистратору доменных имён.
(бесплатные доменные имена не в счёт)
> За DNS-сервер то можно не платить, а за то чтобы поднятый тобой
> DNS-сервер включили в "цепочку доверия" придётся заплатить денюжку регистратору доменных
> имён.
> (бесплатные доменные имена не в счёт)Я про резолвер говорил.
за веб-сервер, использующий эти сертификаты - тоже не плачу.
А за dns - таки да, и дорого.Там тоже правильные пацаны следят чтоб понятия соблюдались, а не кто чо нашел то и его. А братве за крышу кто заносить будет, за порядок?
>За ДНС-сервер ты тоже платишь?ДНС нынче входит в стоимость домена, если ты не в курсе. Этот сервис уже 5-10 лет как активно используется. Бесплатные домены имеются и к ним тебе еще дают бесплатный DNS. Проблема в том, что 1) возможностей этого DNS маловато 2) не секьюрно в контексте того же Let's Decrypt (владелец dns может "увести" сертификат в два пальца).
>>За ДНС-сервер ты тоже платишь?
> ДНС нынче входит в стоимость домена, если ты не в курсе. Этот
> сервис уже 5-10 лет как активно используется. Бесплатные домены имеются и
> к ним тебе еще дают бесплатный DNS. Проблема в том, что
> 1) возможностей этого DNS маловато 2) не секьюрно в контексте того
> же Let's Decrypt (владелец dns может "увести" сертификат в два пальца).Я про резолвер говорил.
>Я про резолвер говорил.Чешу репу и у меня только один вопрос: зачем ты вообще спросил про резолвер DNS? Или это проверка на смекалку? Давай еще раз, ниже правильный ответ:
>За ДНС-сервер ты тоже платишь?
Да, DNS-сервер в качестве резолвера оплачивается твоему интернет-провайдеру. Как именно за это снимается плата, скрытно, т.е. входит в пакет предоставления услуг интернет, или явно -- не имеет значения. Все уплочено.
Теперь встречный вопрос. Ты считаешь, что интернет должен быть бесплатным?
>>Я про резолвер говорил.
> Чешу репу и у меня только один вопрос: зачем ты вообще спросил
> про резолвер DNS? Или это проверка на смекалку? Давай еще раз,
> ниже правильный ответ:
>>За ДНС-сервер ты тоже платишь?
> Да, DNS-сервер в качестве резолвера оплачивается твоему интернет-провайдеру.Очевидно нет, ведь я пользуюсь бесплатными.
> Как именно
> за это снимается плата, скрытно, т.е. входит в пакет предоставления услуг
> интернет, или явно -- не имеет значения. Все уплочено.Не знаю, кому чего уплочено, я пользуюсь бесплатными DNS серверами.
> Теперь встречный вопрос. Ты считаешь, что интернет должен быть бесплатным?
Я считаю, что изрядная часть интернета и так уже бесплатная для юзера. Поэтому вопли О БОЖЕ МОЙ СЕРТИФИКАТЫ БЕСПЛАНТНЫЕ ЗНАЧИТ ЗА НАМИ АНБ СЛЕДИТ это что-то из разряда белок-истеричек.
>Очевидно нет, ведь я пользуюсь бесплатными.Давай я тебя спущу с небес фантазий о твоей гениальности.
1) Ты платишь за интернет? Думаю, что нет. Ты же через "бесплатный" wi-fi в кафе пишешь на опеннет?
2) Если ты пользуешься интернетом, то возможность пользоваться сторонними DNS-серверами у тебя есть просто потому, что провайдер это разрешил. В случае интернет-кафе, возможность пользоваться сторонними DNS это ошибка сис.админа этого кафе.
3) В класическом случае, провайдер тебе обязан дать доступ к своему DNS, не столько по закону, сколько из-за того, что у него в этом DNS крутится свой интРАнет для доступа к локальным ресурсам. И для провайдера это не жалко -- 1 копейка со 100 тыс. пользователей в месяц дает 1 тыс. рублей. В случае рубля сверху за интернет для тех же 100 тыс, получается 100 тыс. рублей в месяц. Сечешь как это прибыльно?
4) Разговор тут про сервера, и сертификаты на серверах. За сервер ты обычно платишь, если не платишь и сервер у тебя под диваном, то ты платишь за статический IP-адрес, в стоимость которого входит и DNS.
5) Тема про резолвер вообще ни о чем. Основные проблемы с DNS и сертификатами от Let's Decrypt.
>Поэтому вопли О БОЖЕ МОЙ СЕРТИФИКАТЫ БЕСПЛАНТНЫЕ ЗНАЧИТ ЗА НАМИ АНБ СЛЕДИТ это что-то из разряда белок-истеричек.
Я тебя разочарую. Проект Let's Decrypt запущен гугловскими чуваками. И если истерия может быть, то только по причине того, что гугл знает, что мне, как владельцу сайта, лучше продать через свою сеть Google Ads. А также он знает, что лучше продавать посетителям моего сайта. Это совсем другой уровень вторжения в личную жизнь, последствия которого мало кто ощутил по-настоящему и вряд ли ощутит в ближайшие пять-десять лет.
ИМХО, истерия начнется только у следующего поколения, которое более четко ощущает эти тонкости. Мне, как старику, уже пофиг кто и что за мной следит, но я понимаю, что знания о моих предпочтениях стоят деньги и корпорации на этом зарабатывают. В то время как я на это не подписывался и не получаю за это ни цента.
>>Очевидно нет, ведь я пользуюсь бесплатными.
> Давай я тебя спущу с небес фантазий о твоей гениальности.
> 1) Ты платишь за интернет? Думаю, что нет. Ты же через "бесплатный"
> wi-fi в кафе пишешь на опеннет?Я плачу своему провайдеру за доступ в сеть. За доступ к DNS серверу я ему не плачу :D
> 2) Если ты пользуешься интернетом, то возможность пользоваться сторонними DNS-серверами
> у тебя есть просто потому, что провайдер это разрешил. В случае
> интернет-кафе, возможность пользоваться сторонними DNS это ошибка сис.админа этого кафе.Роскомнадзор уже пытался. Это назаывается "цензура" и вообще слегка запрещено.
> 3) В класическом случае, провайдер тебе обязан дать доступ к своему DNS,
> не столько по закону, сколько из-за того, что у него в
> этом DNS крутится свой интРАнет для доступа к локальным ресурсам. И
> для провайдера это не жалко -- 1 копейка со 100 тыс.
> пользователей в месяц дает 1 тыс. рублей. В случае рубля сверху
> за интернет для тех же 100 тыс, получается 100 тыс. рублей
> в месяц. Сечешь как это прибыльно?Это все очень здорово, но я пользуюсь не его DNS серверами.
> 4) Разговор тут про сервера, и сертификаты на серверах. За сервер ты
> обычно платишь, если не платишь и сервер у тебя под диваном,
> то ты платишь за статический IP-адрес, в стоимость которого входит и
> DNS.Как это связано с чем? В сети есть бесплатный DNS? Да. Ими можно пользоваться? Да. Все, вопрос закрыт.
> 5) Тема про резолвер вообще ни о чем. Основные проблемы с DNS
> и сертификатами от Let's Decrypt.Не существует проблем с Let's Encrypt. Они только в твоей голове.
>>Поэтому вопли О БОЖЕ МОЙ СЕРТИФИКАТЫ БЕСПЛАНТНЫЕ ЗНАЧИТ ЗА НАМИ АНБ СЛЕДИТ это что-то из разряда белок-истеричек.
> Я тебя разочарую. Проект Let's Decrypt запущен гугловскими чуваками. И если истерия
> может быть, то только по причине того, что гугл знает, что
> мне, как владельцу сайта, лучше продать через свою сеть Google Ads.
> А также он знает, что лучше продавать посетителям моего сайта. Это
> совсем другой уровень вторжения в личную жизнь, последствия которого мало кто
> ощутил по-настоящему и вряд ли ощутит в ближайшие пять-десять лет.А let's encrypt здесь при том, что?.. А то я как-то не вижу связи между google analytics, которую сами же владельцы сайтов себе и вешают, и LE.
> ИМХО, истерия начнется только у следующего поколения, которое более четко ощущает эти
> тонкости. Мне, как старику, уже пофиг кто и что за мной
> следит, но я понимаю, что знания о моих предпочтениях стоят деньги
> и корпорации на этом зарабатывают. В то время как я на
> это не подписывался и не получаю за это ни цента.А как все это связано с LE? Как гугл следит за тобой через сертификат, мне правда очень интересно.
>> 4) Разговор тут про сервера, и сертификаты на серверах. За сервер ты
>> обычно платишь, если не платишь и сервер у тебя под диваном,
>> то ты платишь за статический IP-адрес, в стоимость которого входит и
>> DNS.
>Как это связано с чем? В сети есть бесплатный DNS? Да. Ими можно пользоваться? Да. Все, вопрос закрыт.Ты вообще не в теме. Поясняю:
1) Ты владелец сайта
2) У твоего сайта есть домен anonyms.ru
3) У тебя есть сервер с постоянным IP-адресом 1.2.3.4
4) Но у тебя нет записи в DNS, чтобы я смог зайти на этот сайт.
5) Ты либо пользуешься услугами Регистратора Доменов, где ты купил домен anonyms.ru и они тебе дают бесплатно сделать запись в их DNS, чтобы я смог зайти на твой сервер
6) Либо ты поднимаешь/покупаешь где-либо свои DNS сервера и просишь Регистратора Доменов делегировать управление доменом anonyms.ru на эти сервера
7) Ты вписываешь в DNS запись anonyms.ru находится по IP-адресу 1.2.3.4
8) Теперь и только теперь я и весь остальной мир могут зайти с использованием "бесплатных" DNS-серверов на твой сайт через https ://anonyms.ru, а не как идиоты только через https ://1.2.3.4Короче, иди учи матчасть. Потом умничай. Без обид.
>[оверквотинг удален]
> на этот сайт.
> 5) Ты либо пользуешься услугами Регистратора Доменов, где ты купил домен anonyms.ru
> и они тебе дают бесплатно сделать запись в их DNS, чтобы
> я смог зайти на твой сервер
> 6) Либо ты поднимаешь/покупаешь где-либо свои DNS сервера и просишь Регистратора Доменов
> делегировать управление доменом anonyms.ru на эти сервера
> 7) Ты вписываешь в DNS запись anonyms.ru находится по IP-адресу 1.2.3.4
> 8) Теперь и только теперь я и весь остальной мир могут зайти
> с использованием "бесплатных" DNS-серверов на твой сайт через https ://anonyms.ru, а
> не как идиоты только через https ://1.2.3.4Я не знаю сколько раз мне придется говорит, но я попробую ещё раз: речь идет про _резолвер_. Не про авторитативный DNS сервер. Так вот использование _резолвера_ бесплатное.
> не секьюрно в контексте того же Let's Decrypt (владелец dns может "увести" сертификат в два
> пальцану так "владелец" - DNS (не ресолвера, а dns ;-) его именно что может увести, как два пальца. Как и владелец твоего ip (и это опять не ты).
Для того и придумали letshitcrypt, а то ишь, выдумали - документы какие-то требовать, или валидации не сиюминутного контроля над доменом или сайтом, а чего посущественнее устраивать. Да еще и сертификат годами не менять, вызывая обоснованные *вопросы* если вдруг он ни с того ни с сего изменился.Запретить-запретить!
>ну так "владелец" - DNS (не ресолвера, а dns ;-) его именно что может увести, как два пальца. Как и владелец твоего ip (и это опять не ты)А я и не спорю. Жду, когда Мозилла, Гугл, Эппл это поймут и начнут раздавать бесплатный интернет, DNS-сервера, IP и т.д.
>> не секьюрно в контексте того же Let's Decrypt (владелец dns может "увести" сертификат в два
>> пальца
> ну так "владелец" - DNS (не ресолвера, а dns ;-) его именно
> что может увести, как два пальца. Как и владелец твоего ip
> (и это опять не ты).Хостер, ворующий домен, это прям что-то удивительное.
> Для того и придумали letshitcrypt, а то ишь, выдумали - документы какие-то
> требовать, или валидации не сиюминутного контроля над доменом или сайтом, а
> чего посущественнее устраивать. Да еще и сертификат годами не менять, вызывая
> обоснованные *вопросы* если вдруг он ни с того ни с сего
> изменился.Как валидация сертификата в районном обкоме с двумя понятыми и тремя подписями вышестоящих инстанций спасет тебя от хостера, который увел твой домен?
> Запретить-запретить!
> Хостер, ворующий доменхостеру не надо воровать домен, он может твой сертификат скопировать командой cp.
Кстати, там обычно очень нищие и очень жадные сотрудники имеют доступ ко всему.Думай дальше - если есть чем. Кому на самом деле принадлежит "твой" домен, если никакого "хостера" вообще, для разнообразия, нет.
>> Хостер, ворующий домен
> хостеру не надо воровать домен, он может твой сертификат скопировать командой cp.Вот именно.
> Кстати, там обычно очень нищие и очень жадные сотрудники имеют доступ ко
> всему.Как и везде.
> Думай дальше - если есть чем. Кому на самом деле принадлежит "твой"
> домен, если никакого "хостера" вообще, для разнообразия, нет.Если ты хостишься не в облаке, а купил себе доменное имя и засунул сервак в шкаф домой, то твой домен может отдать кому-нибудь другому твой регистратор. И опять вся ценность валидации TLS сертификата через районный обком и трех понятых становится равной нулю. В принципе ценность валидации TLS через районный обком и трех понятых равна нулю, за исключением одного единственного случая -- EV.
> 2k20И ведь ни одного знака не сэкономил. Дурак дураком.
всё ещё находятся дегенераты, которые не знают, что положение множительной приставки замещает запятую в числе. т.е. 2к20 = 2,20 тысячи или 2200
> 2к20 = 2,20 тысячи или 2200а 2k3 - это 2.3 тысячи, то есть 2300?
Вы на редкость догадливы, дорогой сэр
> всё ещё находятся дегенераты, которые не знают, что положение множительной приставки замещает
> запятую в числе. т.е. 2к20 = 2,20 тысячи или 2200Ахахаха. Нет.
Есть ещё блин места, где обновление сертификатов только ручное, с перекрёстной проверкой по факту...
Как они вообще себе это в перспективе представляют. Ну ок, год ещё терпимо, но они ведь 100% дальше собрались эту планку двигать.
> Как они вообще себе это в перспективе представляют.раз в день, каждый день - а что этим людям еще было бы чем заняться - это неважно, гугля это не волнует.
По факту можно считать что мы вернулись во времена до https. Он уже просто не поддерживается браузерами (поддерживается теперь подделка-пародия на него). Хочешь хотя бы видимости защиты - vpn или периметр единственные твои средства.
Ну вообще да, для внутренних сервисов так и есть, кроме того, что в wifi может ходить :)
> Есть ещё блин места, где обновление сертификатов только ручное, с перекрёстной проверкой
> по факту...
> Как они вообще себе это в перспективе представляют. Ну ок, год ещё
> терпимо, но они ведь 100% дальше собрались эту планку двигать.А зачем? Сертификат должен защищать данные, передающиеся по каналу между клиентом и сервером. Зачем их руками обновлять, кому от этого радость?
Руками обновлять затем, чтобы исключить возможность "автообновления" на что-то отличающееся от нужного.
Ну ладно, не совсем руками - там ансиблы и прочее, но перекрёстная проверка обязательно проводится.
Нет доверия к автоматизированным сервисам обновления, совсем нет.
> Руками обновлять затем, чтобы исключить возможность "автообновления" на что-то отличающееся
> от нужного.
> Ну ладно, не совсем руками - там ансиблы и прочее, но перекрёстная
> проверка обязательно проводится.
> Нет доверия к автоматизированным сервисам обновления, совсем нет.Ну и какие у нас (обоснованные) страхи? И почему нельзя заскриптовать проверку по критериям и скормить их certbot'у в скрипт?
Никакие скрипты в файлы с сертификатами не ходят. Тчк. That's the rule.
Можете считать, что без цели и смысла, просто ваши фломастеры другие на вкус.Естественно, это не касается клиентских, там клиент волен по своему усмотрению хоть приватный ключ мылом посылать - и таких, блин, полно.
Добавочка к первому: не ходят на запись. В ключи не ходят на чтение, кроме софта, которому положено. Если дата / размер / хеш любого файла сертификата изменились, а процедура не соблюдена - это shutdown сервиса под сертификатом и инцидент.
Ну так какая модель угроз-то? В сертификате троян? Он на другой домен? Вместо твоего имени написано Дениска Пиписка?
ты хочешь заставить людей описать ВСЕ модели угроз, которые уже были или будут?
наивный вьюноша. написано же, просто не пускают к сертификатам ничего, кроме рук через анально огороженный вход. при этом остаётся только руткит, утечка из софта или инсайдер, а большинство оставшихся даже пока не известных моделей угроз благополучно курят в сторонке
> Есть ещё блин места, где обновление сертификатов только ручное, с перекрёстной проверкой по факту...Ну так пришло время автоматизировать. За чем дело стало? Let's Encrypt сумел, а продавцы воздуха не могут? Ну так и не пошли б они лесом в таком случае?
Или ты боишься, что тебя, админа-обновляльщика, без работы оставят? Так грош тебе цена как специалисту, если ты, кроме как хеши сверять, ничего не могёшь.
> Ну так пришло время автоматизировать. За чем дело стало? Let's Encrypt сумел, а продавцы воздуха не могут?Ну так это ж работать надо, а не воздухом торговать.
Я, к счастью, к этому обновлению имею отношение только в том плане, что сетаплю системы, в которых к этим самым сертификатам возможен доступ только после цепочки авторизации (личный ключ - личный пароль - пароль обновления).
Разберись вначале какие сертификаты существуют в плане назначение и требующие подтверждения не только почтовым адресом. Ты точно хочешь заходить в банк имеющий Let's Encrypt сертификат?
А, им всё фиолетово. У них всё просто - докерочек, и редисочка с монгочкой в сеть... как обычно, с течением времени - голым задом, потому что апстримчик нечаянно изменил темплейтик, и воооот этот параметр теперь уже не торт, а мы смузи пили. Зато автоматизировано (с)
> Ты точно хочешь заходить в банк имеющий Let's Encrypt сертификат?Разуй глаза и перечитай, на что отвечаешь. Кто сказал, что именно Let's Encrypt? Пусть любой УЦ сделает API для обновления сертификатов, вовсе не обязательно использовать для этого ACME. Сделает так, чтобы было в достаточной степени секюрно. Доступ для верифицированного клиента по каким-нибудь токенам, которые легко нагенерировать и легко отозвать. Что этому мешает?
Ну пусть сделает. УЦ, сделай мне за***сь, раз-два. [и лишь молчание было ему ответом]
К слову, у многих УЦ есть API для выписки и отзыва сертификатов. При желании его можно даже для автообновления использовать, но это редкий юзкейс.
> это редкий юзкейс.Теперь станет частым.
Возможно. Либо API оставят только для партнёрок, как некоторые уже сделали.
Реально, а как теперь быть с аппаратами у которых web-интерфейс и срок эксплуатации комплекса до следующей модернизации 6-7 лет? Закладывать сервисный контракт каждый год по замене сертификатов на точках доступа/серверах последовательных портов/логических реле? Там в интернет ходит в лучшем случае один комп, который может внезапно (или планово) обновлений хапнуть.
И это тоже, да. Про это я совсем забыл. Я больше имел в виду trusted internal infrastructrue, где обновление сертификата очень проблематичная вещь с точки зрения процедуры, потому что оно должно быть незыблемо, любые случайные изменения - уже incident.
Ну у проекторов и т.п. тоже есть web-интерфейс. Это не критичное оборудование, это не серверная инфраструктура и (что впрочем логично) не всегда их обслуживают люди связанные с ИТ.
Сейчас при любой попытке зайти на некоторые аппараты приходится читать что в конце года flash перестанет работать, так теперь еще и сертификаты каждый год по ним раскладывать =(
> Реально, а как теперь быть с аппаратами у которых web-интерфейс и срок
> эксплуатации комплекса до следующей модернизации 6-7 лет?Скорее закладывать доступ со столь же тщательно замороженой станции управления в соответствующем VLAN...
Сейчас - уже да, т.к. блокировку с него сняли.
> внедрению новых криптостандартов"Во что" они собрались их внедрять? Ах в свой браузер чтоле? Ща, разбежался и побежал обновлять, ога))
> для фишинга
Да пжалуста, пусть используют! И желательно пожостче, а мне пусть вышлют видео, гг.
Если уж у фирмы сперли сертификат и никто не заметил, что мешает делать это на регулярной основе?К тому же, как раз одной из основной причин введения lets encrypt была в том, что люди забывают за 5 лет, как обновлять сертификаты и куда их подкладывать. Типа, настроил сертбота и можно про это вообще забыть, он самостоятельно будет работать годами, раскладывая в нужные места сертификаты.
В этом случае, выявлять утечки будет даже сложнее.
> Если уж у фирмы сперли сертификат и никто не заметил, что мешает делать это на регулярной основе?так ведь вопрос - КТО спер.
> В этом случае, выявлять утечки будет даже сложнее.
именно.
> Если уж у фирмы сперли сертификат и никто не заметил, что мешает делать это на регулярной основе?Например, то, что настройки сервера поменяли или админа-долбодятла уволили. А если вместо одного сертификата для всех серверов стали использовать разные, то и от регулярного воровства толку сильно поубавится.
> В этом случае, выявлять утечки будет даже сложнее.
man CT
Потом сменили api и приехали обновление перестало работать
А это оно у тебя потому перестало, что вместо единственноверного _самообновляющегося_ скрипта, ты, гад такой, используешь какие-то сомнительные васянские поделки.
Лишая правильных ребят возможности обновить тебе не только этот скрипт, но и что-нибудь еще, если правильные ребята опять же правильно попросят - и снова не оставив никаких следов - ведь после того обновления скрипт снова обновился - смотри, смотри - вот код, все в нем правильно, не, мы не знаем кто у тебя вчера zero day запустил - руйские хакеры, наверное!
Пошли они со своими стандартами.
На госзакупки только хромиум-гост и майкрософтовские браузеры заходят.
Сайт востребован полутора ананимами - не интересно никому.
А он не для хоиячков без денег и делался. Проходите дальше, к ютубокотикам и бьютиблоггерам, не мешайте серьёзным людям заниматься делами.
Сайт востребован бизнесом, совокупно дающим более 80% ВВП РФ
> На госзакупки только хромиум-гост и майкрософтовские браузеры заходят.так не будет скоро майкрософтовских, вот в чем беда-то.
И, кстати, я практически уверен что в ie11 нужное и полезное усовершенствование сбэкпортят.Потому что все остальные нужные и полезные усовершенствования до него давным-давно добрались.
Останется только китайский квадратик-квадратик-360.
> И, кстати, я практически уверен что в ie11 нужное и полезное усовершенствование сбэкпортят.Стюардессу уже давно закопали, и слава богу.
Остаётся посмотреть поведутся ли владельцы сайтов на это.
а кто их спрашивать-то будет? Пользователь получит вместо сайта - пустую БЕЛУЮ страницу, с неведомой херней точно посередине - ERR_CERT_VALIDITY_TOO_LONG - не текстом с описанием в чем именно проблема, а именно бессмысленным идиотским заклинанием.Разумеется, испугается, нажмет reset, и откроет сайт конкурентов.
Еще один шажок к полному уничтожению возможности грамотных пользователей контролировать доверие на уровне _сертификатов_ а не подконтрольных хз кому CA - успешно сделан.
Я даже на https не повёлся - мой сайт по прежнему по http доступен, а https - с самоподписным, кажется на 10 лет сертом.
> Я даже на https не повёлся - мой сайт по прежнему по
> http доступен, а https - с самоподписным, кажется на 10 летглавное чтобы гугль не разучился его индексировать - а он может. если эти модные тенденции протекут и в мозги автора curl (дай угадаю, чью либу используют гуглоботы)
> сертом.
кстати, я тут изучал вопрос на тему того, как ограничить действие самодельных CA только своими собственными сайтами (чтобы не переживать, давая людям сертификат своего CA, что, теоретически, если его у меня сопрут, и, еще более теоретически, откуда-то узнают и как-то доберутся до этих людей - им могут подсунуть поддельный sperbank.ru)
Так вот угадайте, чей уникальный рукожопский браузер игнорирует такой экстеншн? Прааавильно - главных борцунов с долгоживущими сертификатами, компании Огрызок.P.S. nameConstraints - если кому тоже интересно. Обратить внимание на трогательное несовпадение обработки впередистоящей точки в браузерах и в openssl.
> главное чтобы гугль не разучился его индексировать - а он может. если эти модные тенденции протекут и в мозги автора curl (дай угадаю, чью либу используют гуглоботы)Грядут (возвращаются) времена, когда мы ссылки на _свои_ сайты будет сообщать доверенным лицам и каталогам ссылок, а индексаторы вроде Гулагеля пусть индексируют что-нибудь другое. И смех, и грех.
> главное чтобы гугль не разучился его индексироватьЕсли я что-то закрыл https-ом, дак поди уж наверно, что мне совсем не нужно, чтобы там шатались какие-то гуглы. А где можно слоняться - там http.
У Ивана https'ом ничего не закрыто - у него есть просто еще и https - для тех кого почему-то не устраивает http (например - лишают охреневшего оператора доли от рекламы, твари), ну и для гугля, чтоб индексировал. Как и у меня, собственно. Вот первое перестанет работать из-за браузеров, а второе - потому что гуглебот использует те же библиотеки, а их авторам уже вручены ЦУ как все испортить чтоб ничего кроме одобренного гуглем не работало.
У меня https с самоподписным сертификатом есть только потому что есть доступ с авторизацией через вебдав к данным которые не являются публичными.
Изменение конечно не самое приятное, но давно уже понятно что одними разговорами ничего не добиться, приходится форсировать. Например недавний пример - один госбанк в РФ был настолько продвинут что поддерживал на своих вэб-сервисах только SSL (все еще) и TLS 1.0. Все что новее - просто не поддерживалось.
Тлько пинок со стороны Хрома\ФФ заставил их наконец убрать SSL и добавить TLS 1.2. Так что теперь у них TLS 1.0 И TLS 1.2.А без пинка они бы никогда не сделали, наверное.
> один госбанк в РФ был настолько продвинутИмя, сестра. Имя!
>> один госбанк в РФ был настолько продвинут
> Имя, сестра. Имя!Я лишь намекну Оборонка + Санация.
И что, много денег сперли у этого банка и его клиентов?
К сожалению, почти все подобные истории остаются гулять по даркнету, да в редких случаях — по «московским гостиным». До подлинной цифровой открытости нашей цивилизации ещё не один десяток лет.
> И что, много денег сперли у этого банка и его клиентов?Ну его бывшие хозяева все в Лондоне, дела так сказать возбуждаются.
И всё из-за сертификатов не той системы и старого ссл? Как интересно. А я то думал как у нас в стране прут всё подряд. А это из-за отсутствия квиков с тлс1.3 и летшинкриптами.
> И всё из-за сертификатов не той системы и старого ссл? Как интересно.
> А я то думал как у нас в стране прут всё
> подряд. А это из-за отсутствия квиков с тлс1.3 и летшинкриптами.Не, в Лондон они уехали после того как оказалось что "расхищали и схематозили". А банк остался.
Вот так вот браузеры и начинают диктовать, кому верить, а кому нет.
что значит - начинают? Они это делают уже лет пять. С момента уничтожения любых альтернатив letshitcrypt.
Интересно, а можно ли организовать независимую распределённую систему выдачи и удостоверения сертификатов на основе технологии блокчейн?
И сколько биткоинов будут брать сгенерировавшие блок за право поместить туда Ваш домен? Если надеяться на бесплатное расхождение ключа по сети, то возникает другая проблема, а кто будет проверять, что этот домен действительно Ваш? Все несколько десятков миллиардов устройств? И, что делать если Вы выкупили домен, который отобрали у кого то за неуплату. Как зарегистрировать новый ключ?
> Если надеяться на бесплатное расхождение ключа по сети, то возникает
> другая проблема, а кто будет проверять, что этот домен действительно Ваш?а кто сказал что взяв в биткойнах - будут проверять? Тоже не будут. ;-)
В очередной раз - работавшая и надежная схема - уже была, ее старательнейшим образом уничтожили, больше десятка лет велась кропотливая работа, чтоб никак, никакими силами ее использовать стало невозможно.
Схема - ровно та самая, что во всеми вами любимом ssh. Доверие _сертификату_, а не левым васянам.
Как проверять прежде чем доверять - на твое усмотрение. Хошь езжай непосредственно к владельцу и побитно копируй, а не хошь - просто надейся что машины времени у рептилоидов и соседа васяна нет, и подменить уже знакомый тебе сертификат они не могут.
Они монополисты, вам некуда уйти.
Да, к сожалению, ничего хорошего из браузеров сейчас не осталось.
Приходится пользоваться тем, что есть. Плюясь и чертыхаясь.
Pale Moon
Это не браузер, а дистрибутив браузера.
Вот уж точно, будут форкать и использовать. В своё время все сидели на Осле, сайты могли только в Осле работать... И что сейчас? Да сейчас в нём вообще ничего не работает и его забыли, как страшный сон. Также забудут про хромого и косого.
> Pale Moonэтот тож не отстанет от трендов. hpkp вон уже объявил немодным и небезопасТным. Тем более что использует ту же самую nss, а фичу явно планируют добавлять в нее, а не в интерфейс.
Ага, пусть только расскажут как обновлять корневые сертификаты на всех устройствах
> Ага, пусть только расскажут как обновлять корневые сертификаты на всех устройствахК корневым сертификатам это не относится. Хотя пакетные менеджеры вроде есть везде.
Как мне обновить старый андроид 2.3.6? Или симбиан? Сразу на свалку? Ну тогда это запланированное устаревание во всей красе
> старый андроид 2.3.6О да, посерфить с него будет реально весело!)
А еще забавнее товарисчи, ставящие https only, потом в РФ их сайт блочат, и все - не зайти даже через бесплатный прокси!
Тут претензии не к тем, кто HTTPS only выставил, тaщемта.
А так - смотря через какой прокси. Тот же встроенный в оперу анальный зонд нормально обходит все недоблокировки.
> Как мне обновить старый андроид 2.3.6? Или симбиан? Сразу на свалку? Ну тогда это запланированное устаревание во всей красеА почему все должны страдать из-за того, что ты пользуешься говном мамонта? Серьезно, давно уже пора понять: ЖЕЛЕЗКА ДОЛЖНА ПОЛУЧАТЬ АПДЕЙТЫ. Есл ты перестанешь покупать железо, которое через полгода не поддерживают, то твои волосы станут мягкими и шелковистыми.
> А почему все должны страдать из-за того, что ты пользуешься говном мамонта?Во-первых, отучаемся говорить за всю сеть. Во-вторых, никто тебе не обязан обновляться на свежайшие версии, потому что лично тебе моча в голову ударила это сделать. Прогресс не всегда прогрессивен.
>> А почему все должны страдать из-за того, что ты пользуешься говном мамонта?
> Во-первых, отучаемся говорить за всю сеть. Во-вторых, никто тебе не обязан обновляться
> на свежайшие версии, потому что лично тебе моча в голову ударила
> это сделать. Прогресс не всегда прогрессивен.Ну так у меня-то все ок. Страдают любители симбиана.
> Во-первых, отучаемся говорить за всю сеть.Именно так.
> Во-вторых, никто тебе не обязан обновляться на свежайшие версии, потому что лично тебе моча в голову ударила это сделать. Прогресс не всегда прогрессивен.
Это никто ТЕБЕ не обязан поддерживать твой допотопный шлак.
> Это никто ТЕБЕ не обязан поддерживать твой допотопный шлак.Поэтому надо запретить продавать для народа любую проприетарщину, его будет более чем достаточно в военной и академической среде.
Ну и останется за мной выбор:
- я (+другие) могу проспонсировать работу если сам не могу это сделать чтобы, как вы сказали, допотопный шлак перестал быть допотопным и шлаком
- я могу сам сделать необходимую работуПокупая железо и софт я бы хотел возможность обладать полными правами (конечно же кроме авторских) на железо и софт после гарантийного срока.
Я бы например проголосовал за это вместо поправок в конституцию.
Серьезно, давно уже пора понять: ЖЕЛАЮЩИЕ ВПИХНУТЬ НА ЖЕЛЕЗКУ АПДЕЙТ БЕЗ МОЕГО ВЕДОМА ИДУТ НЯЯЯЯЯЯ... ЛЕСОМ ^_^
> андроид 2.3.6
> 2011Необновленная Windows 7 SP1 кстати тоже не открывает многие сайты
http://forum.oszone.net/thread-345267.html
И дело не в сертификатах, а в алгоритмах шифрования.
Ну, на самом деле, проблема не только в осях, но и, например, в старых версиях питона.Как то я пытался собрать то ли не самый свежий хромиум, то ли не самый свежий электрон. Так вот, они собираются при помощи гугловских depot_tools, которые с собой таскали немного протухший питон, который не мог скачать какие-то артефакты с клоудфларевских серверов из-за того, что не поддерживал последних алгоритмов шифрования.
И даже не в самих алгоритмах, а в том, что SSLv3/TLSv1/TLSv1.1 ффсё
Ну ок, придётся сделать мимт прокси дома, которая будет хоть каждый день генерить сертификаты, а клиентская часть буде по прежнему адекватно доверять сертификам, хоть там 100 лет срок годности нарисуют.
>мнению производителей браузеров генерация подобных сертификатов создаёт дополнительные угрозы безопасностиУгрозы безопасности создаёт отсутствие контроля за CA. В смысле мы не можем проверить честность CA. И сайты не могут. И браузеры не могут. Также никто не может наказать CA за плохое поведение - единственное что можно сделать - это "на зло маме отморозрть уши", потому что все CA одинаково зависят от тех, кто их может заставить участвовать в MiTM, и отказаться от CA нельзя - ничего работать не будет.
> Также никто не может наказать CA за плохое поведение - единственноемогут. Просто ты не понимаешь ЧТО на самом деле является "плохим поведением".
Вот, например, startssl плохо себя вели - посмели, твари, выдавать бесплатные сертификаты сроком действия не одну неделю, а гораздо больше! (более того, они еще имели наглость выдавать бесплатные EV! [_валидация_ платная, сертификат хоть каждый день перевыпускай])
И их - наказали. Так, что те обанкротились нахрен.И еще китайцы плохо себя вели (тоже пытались кое-что раздавать бесплатно) - их тоже наказали, правда, несильно, больше напугали - те быстро исправились и стали продавать за большие деньги, как все.
Правда, они еще спалились на том, что, кажется, выдали пару intermediate товарищам майорам - но это норм, за это не наказывают, подумаешь.
пох, почему ты такой циничный?
А как научить молодёжь распознавать интересы?
Чьи?
Любые.
Никак. Если субъект не намерен/заинтересован учиться, то ты его на научишь, насильно не впихнешь.
У некоторых субъектов возникают вопросы типа "пох, а почему ты такой циничный?". Вот у этих уже есть заинтересованность.Насильно впихнуть можно. Для этого науку специальную придумали. Педагогика называется.
Аноним тебе про совсем другое говорил, а ты несешь свой бред тут неясно зачем. Тебе самому приятно столько желчи изрыгивать?
> В смысле мы не можем проверить честность CA.С letsencrypt можем, там Certificate Transparency. Блокчейн почти. :-)
На самом деле не можем. В лог попадают только те сертификаты, которые проходят через бизнес-логику. Если к оператору летсэнкрипта (или любого другого CA) обратится жыдомоссад с просьбой поделиться сертификатиком, никто не помешает этому человеку подписать сертификат руками.
Не, ну в смысле? Ты как раз и можешь проверить, есть ли там этот сертификат. Если его там нет - значит это сертификат жыдомоссада.По идее, в идеале нужно как раз добить эти УЦ и цепочки доверия и перейти на проверку через транспаренси и публичный блокчейн. Просто понятно, что прямо сейчас ты фиг это внедришь...
> Не, ну в смысле? Ты как раз и можешь проверить, есть ли
> там этот сертификат. Если его там нет - значит это сертификат
> жыдомоссада.
> По идее, в идеале нужно как раз добить эти УЦ и цепочки
> доверия и перейти на проверку через транспаренси и публичный блокчейн. Просто
> понятно, что прямо сейчас ты фиг это внедришь...Это когда все браузеры начнут эти листы проверять.
> Не, ну в смысле? Ты как раз и можешь проверить, есть ли
> там этот сертификат. Если его там нет - значит это сертификат
> жыдомоссада.Смотри, твою TLS сессию записывают (привет, Яровая), берут дубликат TLS сертификата сервера и расшифровывают обмен симметричным ключом и расшифровывают симметрично зашифрованные данные.
Хотя туплю, секретный ключ у let's encrypt до самих LE не доходит.
Для расшифровки ранее записанного трафика не достсаточно знать не то что сертификат (мы его и так честно всем подряд выдаём, открытый ключ же) но и закрытый ключ. сессионный трафик с клиентом не им шифруется. для организаторов растпрстранителей информации есть требованиия выдавать сессионные ключи. этот трафик расшифровывается из записи. Замем пишется (ну пока не очень и пишется то) остальное, неведомо.если украть закрытый ключ у вас, то открытый уже и так есть, и тут можно не ходя ни в какие ЦА сесть посередине и расшифровывать пролетающий трафик перешифровывая его снова.(это не тоже самое что из записей по яровой)
если закрытого ключа нет, то теоретически можно заставить ЦА выписать новый сертификат на ваши имена, но современные браузеры не берут сертификаты от публичных ЦА без подписи от СТ сервиса. Соотв или вы им не сможете воспользоваться или перед использованием его придется спалить в ЦТ. если регулярно пулить ЦТ то вы заметите что вдруг ктото выписал сертификат на ваше имя. если это были не вы, то есть повод начать бегать и кричать.
Фигня в том что если у нас время жизни сертификата не органичено, то чтобы вам вдруг узнать что есть валидные сертификаты на ваше имя вам надо опросить ВСЕ СТ за весь период (ззарегаться достачтоно в одном из довольно не малого списка публичных ЦТ, чтобы подпись была принята браузером). на данный момент врядли быстрее тройки месяцев вы управитесь, и время выборки будет только увеличиваться.. это немного долго. есть агрегаторы типа https://crt.sh/ делающие это, но во первых они опрашивают не все ЦТ, во вторых временами склеиваются, иногда на долго.. иногда совсем склеиваются, а иногда показываая данные месячной давности..Возможно тут и кроется причина зачем 1 год.. на надо опрашивать ЦТ за данные о сертификатах за все время, можно начать с 2020. сейчас многие ЦТ делают новое хранилище на каждый год. соотв текщуие сертификаты надо поискать в 2-х местах в 2020 и 2021. а всякие 2019(они уже кочнились) и 2025(они больше 1 года и браузер их не примет) не надо. (у цт дата - это год окончания действия сертификта)
Но большенство ничего не проверяет и никогда не узнает, что в прошлом году был выписан лишний сертификатик.. :)
>мешает оперативному внедрению новых криптостандартовКошмар, ужас, на устройствах годичной давности открываютсся сайты и работают приложения, работающие с интернетом, производители телефонов теряют прибыль!!! ЗАПРЕТИТЬ!!!!
Выкидывание устаревших технологий — это всегда хорошо 👌
я понимаю, что ты каждый год яойфон меняешь...
> я понимаю, что ты каждый год яойфон меняешь...Нет, потому что это тот редкий смартфон, который из себя не представляет и через три года не является куском устаревшего того самого, как другие смартфоны.
Это когда вдруг(tm) начинает тупить об якобы севшую батарейку?
> Это когда вдруг(tm) начинает тупить об якобы севшую батарейку?Я этого тупления от "якобы" севшей батарейки уже устал ждать.
Вот без шуток, зайдёшь на какой-то там ресурс:
"а все такие ой, а у меня за полгода здоровье батарейки стало 96% - спать не могу, переживаю"А я каждые две недели это здоровье батареи проверяю - "да когда уже 80% будет". Это вроде какая-то критическая отметка по справке Apple. Интересно же посмотреть.
Ну вот уже 2.5 года прошло, здоровье батареи 82%. Ещё чуть-чуть. Да и уже и батарею то после трёх лет не стыдно поменять будет.
А вот сколько я раз слышал про то, как угнетают и замедляют от людей, которые ничего тольком не знают, но слышали же 🤣
Ну и да.
Вот у меня были смартфоны Samsung (Android), Bq (Ubuntu), Meizu (Ubuntu/Android).
К ним этот ролик намного больше подходит чем к текущему моему айфону 🤷♂
давно вам занесли bluetooth и wifi direct для передачи файлов?
> давно вам занесли bluetooth и wifi direct для передачи файлов?Какое это отношение имеет к поднятой выше теме "техника превращается в тыкву"?
Кому нам?Apple в 2011 году сделала AirDrop. И оно уже много лет работает по схеме WiFi Direct со скоростью этак 1 ГБ за 15 секунд.
Google в своём Android только сейчас расчехляться начал на эту тематику. А так сосуществовала куча подделок от разных вендоров несовместимых с собой. Работало это всё через одно место.
> Apple в 2011 году сделала AirDrop. И оно уже много лет работает по схеме WiFi Direct со скоростью этак 1 ГБ за 15 секунд.
> Выкидывание устаревших технологий — это всегда хорошо 👌Я как понимаю вы AirDrop не пользуетесь, т.к. устаревшая технология (аж 2011 год). Млм AirDrop уже выпилен из гайфонов, но вы об этом забыли упомянуть? И, как я понял, Bluetooth и Wi-Fi Direct до сих пор не завезли.
Срок создания технологии и её устарелость - совершенно разные вещи
Твой iPhone не может передать на мой android файлы ни по bluetooth, ни по wifi-директ. Следовательно AirDrop - говно мамонта, т.к. остает в развитии. Значит AirDrop - устарел. Так?
Так и наоборот работает
> wifi-директУже второй раз это слово повторяешь. Вот удачи тебе передать случайному человеку со случайным Android файл с помощью этого.
Удача сильно понадобится.
Только Let's encrypt
А что будешь говорить когда его прикроют?
Он - бесплатная пробная доза, пора бы понять. Никто его не прикроет.
А что ты будешь говорить если его НЕ прикроют?На самом деле это замечательный сценарий, потому что ни на нешифрованный http, ни на коммерческие УЦ дороги уже не будет, а будет только к децентрализованному реестру сертификатов на каком-нибудь блокчейне, который доверия к УЦ требовать уже не будет.
Капитализм, ребятки. Все хотят денег. Маркс, Энгельс и Ленин предупреждали о таком ещё 100 лет назад.
Да, сначала Ленин предложил захватить, почту, телефон, телеграф и сертификационные центры... но затем, тяжко вздохнув, последнее вычеркнул, сказав "Провинция, не поймут-с"...
Вот только они хотели кровушки. Ну ладно, Энгельс меньше, видимо...
А Маркс где кровушки хотел? Среди перечисленных упырь только один.
FTGJ, предупреждения первых ближе к двумстам годам тому, чем к ста.
И давно ли LetsEncrypt с вас денег просил? А коммерческие УЦ как раз все последние изменения оставляют не у дел. Что-то у вас с Марксом не вяжется.
> И давно ли LetsEncrypt с вас денег просил?так товар-то - ты!
> А коммерческие УЦ как раз все последние изменения оставляют не у дел.
они бы и рады, но неработающие сертификаты никому не нужны ни задаром, ни за деньги.
> Что-то у вас с Марксом не вяжется.
Все вяжется - отнять и поделить. Между вовремя залезшими на броневичок (тут Мракс недоработал, но последователи все поняли и реализовали как надо).
Пока непонятно, как именно при этом убивать как можно больше людей, но над этим, полагаю, тоже работают хорошо оплачиваемые специалисты.
прям вот так все скопом согласились, и никто не возразил, что блочить валидные сертификаты это плохо? в дивное время мы живем, однако:)
давно уже анархия в инете.
> прям вот так все скопом согласились, и никто не возразилтак это закрытый клуб решал. Возразить-то ты можешь, только тебя туда не пригласят.
> и никто не возразил, что блочить валидные сертификаты это плохо?Сколько раз уже блочили. Выписанные задним числом, например. А как иначе с произволом/раздолбайством (нужное подчеркнуть) УЦ бороться?
Мне кажется центры сертификации на это не пойдут из-за наличия Let's encrypt, 3-и месяца не так уж различаются от 12-ти, у них будет просто катастрофа...
Так им, внезапно, не за срок действия платят, а за валидацию.
> создаёт дополнительные угрозы безопасности, мешает оперативному внедрению новых криптостандартов и позволяет злоумышленникам длительное время контролировать трафик жертвы или использовать для фишинга в случае незаметной утечки сертификата в результате взлома.А корневые сертификаты сколько должны действовать в их понятиях?
А то есть угроза безопасности, что с частыми обновлениями корневых сертов пользователю легче подсунуть левый серт, и это даст возможность постоянно контролировать его трафик. Типа поселить незаметно в Казахстан..
> А корневые сертификаты сколько должны действовать в их понятиях?А между которыми строчками ты прочитал, что это как-то затрагивает корневые сертификаты?
> А корневые сертификаты сколько должны действовать в их понятиях?в идеале - пару часов. Вдруг для борьбы с терраризьмой понадобится ненадолго подменить их, и чтоб беспалева, еще через два часа - "какие ваши докозательства"? К сожалению, мурзила пока не может даже раз в пять лет уследить за своим собственным сертификатом, намертво вшитым внутрь браузера, поэтому внедрение данного нужного и полезного решения пока пришлось ненадолго отложить.
> А то есть угроза безопасности, что с частыми обновлениями корневых сертов пользователю
> легче подсунуть левый серт, и это даст возможность постоянно контролировать егосейчас пользователю подсунуть левый серт вообще ничего не стоит - достаточно на пару минут перехватить его dns или маршрутизацию его ip, или просто хорошо попросить летсшиткрипту.
Никто ничего и не заметит даже.
Вот блин, с языка снял :)
нафиг нужны приколы такие, куча мест есть где не прикрутишь LE из-за закрытости сети, да и цертбот ломается бывает, я уж молчу о вайлдкардах выписывающихся через очко с DNS.
когда эти сертификатов куча, очень больашя разнциа раз в год или раз в 3 менять ходить.
> куча мест есть где не прикрутишь LE из-за закрытости сетиman DNS-01
> цертбот ломается бывает
Есть >9000 других клиентов. А если ты про certbot-auto, то надо быть редкостным ССЗБ, чтобы его использовать.
Вот бы это ещё не трогало никого кроме них самих.А тут - порешали за посторонних по своему...
Отлично, чем сильнее зажимают кислород продавцам воздуха УЦ тем лучше.Приятно видеть как на сковородке вьются представители этого ворья и заплатившие им терпилы.
> Отлично, чем сильнее зажимают кислород продавцам воздуха УЦ тем лучше.когда уже больным полудуркам, считающим деньги в чужих карманах, вообще его отключат?
> Приятно видеть как на сковородке вьются представители этого ворья и заплатившие им
> терпилы."у соседа корова сдохла, мелочь, а приятно"
Что у тебя, дурака, они "украли"?
Вот что именно у нас украла гуглезила и компания - мы знаем. Приятно видеть, что дурачки - одобряют, бурными аплодисментами, переходящими в овацию. Их хоть г0вном с лопаты корми - они и рады уплетать за обе щеки. Мозгов-то ведь нет.
Плохо что у остальных нет другого глобуса.
Всё -- прощайте мои УПСы, роутеры и горы прочих управляемых по хттп железяк??
выход есть - смени браузер на нормальный.
Ну и даун) Что сегнерить нельзя?
"Сгенерить" - это напечатать на 3D принтере?
Разве уже сложную электронику (УПСы, роутеры) можно печатать? Ещё и с поддержкой нужных протоколов и алгоритмов шифрования.
> "Сгенерить" - это напечатать на 3D принтере?
> Разве уже сложную электронику (УПСы, роутеры) можно печатать? Ещё и с поддержкой
> нужных протоколов и алгоритмов шифрования.openssl к прмеру
Вот так и палятся гордые админы локалхоста :)
Так в чем проблема создать новый сертификат? И как роутер только по https управляется? Учи уроки малыш.
Разные роутеры бывают детка... Был у меня один, не роутер - контроллер WiFi. Так таки да - https only сертификат прошит намертво, заменить - нельзя. И это на таких специфических желазках - норма. Ибо безопасность :)
Ты еще не видел что на PBX твориться... Или CCTV...
> Всё -- прощайте мои УПСы, роутеры и горы прочих управляемых по хттп железяк??Мы в 2020 году живём же. Поднимаешь виртуалку с CentOS 6 специально для этого и всё.
> Мы в 2020 году живём же. Поднимаешь виртуалку с CentOS 6 специально
> для этого и всё."обожаю, когда выкидывают старье!"
И завтра виртуалка с centos <8.999 - не поднимается, "а нахрена нам поддерживать немодные технологии?!"
Или зайти на нее нельзя - ведь иксы немодно, и они никем не поддерживаются, да и ssh с ней не коннектится, нахрена поддерживать увизгьвимые шифры и протоколы, ведь рептилоиды и nsa с кгб объединившись против тебя, смогут расшифровать твой траффик, всего за какой-то миллион лет!
И кстати, не ссыкотно ли тебе пользоваться дистрибутивом с насмерть протухшим софтом ?
Тем более - для настроек критичного оборудования.