forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

В сервисе Let's Encrypt произошла утечка email-адресов части..., opennews (??), 13-Июн-16, (0) [смотреть все]

предпочитаю использовать startssl, от него куда меньше пафоса, Аноним (-), 23:53 , 13-Июн-16, (1) –28 //

А можно какое-нибудь сравнение удостоверяющих центров по уровню пафоса Желатель, Аноним (-), 00:54 , 14-Июн-16, (3) +25 //

Ну, LE - это половина микропафоса, а Старт - примерно четверть Зато не получить , Аноним (-), 09:35 , 14-Июн-16, (13) //

Несколько 8212 это сколько Оказалось что сейчас выдают на 5 под доменов и 6, имхо (?), 12:46 , 14-Июн-16, (18)
Это у кого такая хрень У LE , Онаним (?), 17:11 , 15-Июн-16, (42) +1

И всё надо делать руками через веб-мордочку , Crazy Alex (ok), 01:01 , 14-Июн-16, (4) //

какой ужас, да, руками надо что-то делать, аж раз в году Если вам дороги ваши да, пох (?), 13:14 , 14-Июн-16, (20) –5 //

Ну вот когда я поднимаю хост я не думаю а может, мне здесь не нужно шифрование,, Crazy Alex (ok), 14:34 , 14-Июн-16, (22) +4

телнет в фрюниксах - штука _отдельная_, требующая совершенно отдельных телодвиже, пох (?), 15:01 , 14-Июн-16, (24) –2

К О self-signed плох тем, что на него исключения добавлять надо, вестимо то ж, Crazy Alex (ok), 16:15 , 14-Июн-16, (27) +1

if security _is_ issue - надо поудалять все идиотские доверенные центры сразу , пох (?), 17:14 , 14-Июн-16, (30) –1

Да пойми ты две вещи 1 оно не для корпораций, во всяком случае, сейчас Соответ, Crazy Alex (ok), 19:59 , 14-Июн-16, (33) –1

упс, ннниипоел У тебя лично столько на всякий случай, не включая мозг, пошифро, пох (?), 11:46 , 15-Июн-16, (40) –2

Есть еще wosign, у которого сертификат на 3 года взять на несколько доменов , anonim12332 (?), 01:11 , 14-Июн-16, (5) +2 //

только не сделать автопродление и не автоматизировать получение сертификатов на , Аноним (-), 05:40 , 14-Июн-16, (10) +3 //

А главное - пафоса ещё больше, поэтому не всем подойдёт , Аноним (-), 10:30 , 14-Июн-16, (16)

Китайцы уже давным-давно бесплатно дают только на год Причём на сайте у них напи, Ilya Indigo (ok), 11:12 , 14-Июн-16, (17) +1 //

- У китайцев условия меняются со временем На днях товарищ делал бесплатно на 2 , Аноним (-), 13:02 , 14-Июн-16, (19) –2

Вот тут - https github com diafygi acme-tiny - один маленький пистоновый скрип, ZiNk (ok), 16:43 , 14-Июн-16, (29) +3
Пару дней назад получал у WoSign, на 3 года без проблем, а так примерно каждую н, CHERTS (??), 20:58 , 14-Июн-16, (34) +1

ну и чем этот хак поможет в случае таймаута этой штуки, на которую люди и жалова, . (?), 11:31 , 15-Июн-16, (38) +2

Пять дней назад сделали бесплатный на три года у этих китайцев как раз У них та, Аноним (-), 13:27 , 14-Июн-16, (21) +1

Видимо да Сегодня зарегистрировал аж 5 доменов на 3 года Действительно на 3 год, Ilya Indigo (ok), 00:08 , 16-Июн-16, (45)

да и фиг с ним, federix (ok), 00:15 , 14-Июн-16, (2) +3
Они там не слышали про Bcc Blind carbon copy , КЭП (?), 02:45 , 14-Июн-16, (6) //

и почему нельзя просто циклом пройтись и отправить письмо каждому адресату отдел, alex (??), 03:16 , 14-Июн-16, (7) //

Распределение очереди для ускорения отдачи большими пачками в очередь MTA , КЭП (?), 03:27 , 14-Июн-16, (8)

Спам из каминг , Какаянахренразница (ok), 05:32 , 14-Июн-16, (9) //

там адреса навроде admin domain, какая разница спаму , Аноним (-), 06:50 , 14-Июн-16, (12) +3 //

Шобы, значить, при потере контроля над доменом потерять всё сразу Ну-ну , Какаянахренразница (ok), 22:09 , 14-Июн-16, (35) +1 //

угу, я надысь порадовался, что у меня этот самый мэйл соседний домен Забавное в, . (?), 11:26 , 15-Июн-16, (37)

Ага тестировать почту не нужно перед отправкой в локальном окружении , КЭП (?), 05:40 , 14-Июн-16, (11)
А че - не плохой способ оплаты сертификатов, вы нам базу адресов - мы вам сертиф, Аноним (-), 09:36 , 14-Июн-16, (14) –1
и чего Сервис предлагается как есть Хотите что то платите деньги, вы же теперь , qwerty (??), 09:57 , 14-Июн-16, (15) –5 //

если гулаг и всякие тормозиллы начали форсить этот хттпс, то пусть теперь раздаю, rediska (ok), 14:57 , 14-Июн-16, (23) –1 //

так там ненадо платить, Аноним (-), 15:03 , 14-Июн-16, (25) +2
Ну вот они и раздают , Crazy Alex (ok), 16:16 , 14-Июн-16, (28) +1
в стране где уже реальные люди реально сидят за лайк , вообще-то странно не пон, пох (?), 18:15 , 14-Июн-16, (31) +2 //

Пофиксили уже Везде по умолчанию генерируется дополнительный временный адрес, с, Аноним (32), 19:12 , 14-Июн-16, (32)

Ядро Linux по умолчанию use_tempaddr ставит в 0 , mario (??), 10:29 , 15-Июн-16, (36) +1

да это, вроде, и в официальных документах в смысле, на v6, не ядро именно так , пох (?), 11:57 , 15-Июн-16, (41)

Это вы про США , tacitusdef (??), 10:19 , 22-Июн-16, (49)

а недавно гамноскрипт на баше запилили пс думал серьёзная контора будет, а на, Sw00p aka Jerom (?), 15:15 , 14-Июн-16, (26) –4
Пришло ТО САМОЕ письмо, 1200 мыл Слил всё на пастбин , 5kbps (ok), 11:32 , 15-Июн-16, (39) //

ну и где ссылка-то Жядный, да , пох (?), 17:44 , 15-Июн-16, (43) –1 //

Осиль поиск по пастбину , 5kbps (ok), 18:13 , 15-Июн-16, (44) //

тосамоеписьмо что-то не нашлось P S одни цифирки - это оно Жаль, придется от, пох (?), 14:55 , 16-Июн-16, (47) –1

Сообщения [Сортировка по времени | RSS]

4. "В сервисе Let's Encrypt произошла утечка email-адресов части..." +/–

Сообщение от Crazy Alex (ok), 14-Июн-16, 01:01

И всё надо делать руками через веб-мордочку.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

20. "В сервисе Let's Encrypt произошла утечка email-адресов части..." –5 +/–

Сообщение от пох (?), 14-Июн-16, 13:14

какой ужас, да, руками надо что-то делать, аж раз в году.
Если вам дороги ваши данные (или данные ваших пользователей) - ни в коем случае не делайте ничего руками, надо все доверить кривым скриптам, написанным альтернативно-одаренными, желающими осчастливить человечество.
Даже когда они явно вам демонстрируют свои охренительные умения как писать скрипты, так и вообще использовать технологию (как будто сразу было непонятно) - все равно продолжайте этим пользоваться.
Единственная полезная ниша для летсэнкрипта - это создание шума - чтобы то, что на самом деле стоит прятать, не выглядело заметным на фоне тонн обычного порнотраффика, "зашифрованного" только потому, что ну вот же галочка, и "оно же бесплатно". За это им, конечно, особое спасибо.
Для всего остального есть либо платные (если ваш проект приносит какие-то деньги - никакого ужаса в этом нет) либо собственные сертификаты (если у вас тыща виртуалок, пошифровать все не "хочется", а "есть серьезная прична", нет никаких поводов не завести свой CA - в котором лично ты будешь уверен, что он не подарит свой ключ левым людям).
Ну и startssl для ограниченного числа хомячков, где протухание сертификата не является катастрофой, просто мелким разовым неудобством, за избавление от которого нет смысла платить.

Ответить | Правка | Наверх | Cообщить модератору

22. "В сервисе Let's Encrypt произошла утечка email-адресов части..." +4 +/–

Сообщение от Crazy Alex (ok), 14-Июн-16, 14:34

Ну вот когда я поднимаю хост я не думаю "а может, мне здесь не нужно шифрование, давай telnet подниму", даже если это хост в домашней локалке. Я просто стандартно леплю sshd. Точно так же мне в голову не придёт поднимать ftp - будет или webdav over https или sftp.
Ровно так же когда я что-то архивирую в облако я не собираюсь каждый раз решать - а есть ли там что-то такое, что надо шифровать? - я просто шифрую всё и сплю спокойно.
Так и с Let's Encrypt - это хорошая страховка для того, чтобы не забыли добавить https там, где вдруг оказалось что-то, что надо прикрыть. Да, руками делать что-то, что может быть автоматизировано - плохая идея. Особенно если раз в год - либо забудешь сделать, либо забудешь, как делал, либо этот год закончится в самый неподходящий момент.
А насчёт скриптов - я что-то не видел реальных претенизий/багов/уязвимостей  у них - одни невнятные стоны.

Ответить | Правка | Наверх | Cообщить модератору

24. "В сервисе Let's Encrypt произошла утечка email-адресов части..." –2 +/–

Сообщение от пох (?), 14-Июн-16, 15:01

> Ну вот когда я поднимаю хост я не думаю "а может, мне здесь не нужно шифрование, давай
> telnet подниму"
телнет в фрюниксах - штука _отдельная_, требующая совершенно отдельных телодвижений (и отдельно замысловато ломаемая, причем, в виду отстутствия к нему интереса, опасная). Поэтому да, ненюжен.
А так - да, с цисками, к примеру, это довольно обычно - "у нас все закрыто acl'ями/управление изолировано от транспорта и на входе отдельный файрволлNG/etc, при этом половина железа с npe-лицензиями и один хрен там крипты не будет, поэтому, для единства конфигурации принимается поддержка telnet везде, и ssh - на поименно названных устройствах".
Один хрен там векторов атак мильен, и перехват телнета самая последняя и неудобная в списке.
> Точно так же мне в голову не придёт поднимать ftp - будет или webdav over https или sftp.
вот странно - я везде поднимаю именно ftp. Именно потому что он значительно безопаснее, с точки зрения владельца хоста, а не сервиса, и эффективнее тоже (и можно закрытый ssl, а можно с opie-паролями). И мне нужны очень веские причины, чтобы завести на хосте sftp для тех, кому я не мог бы просто так дать шелл.
Но даже оставляя все это на личное усмотрение - чем плох self-signed или own CA для _таких_ случаев ?
Кроме того, что вот да, нету возможности быстро-быстро-не-включая-мозгов поставить пять пакетиков из стремного репозитория (желательно .deb без подписи) и пойти чай пить (если только ты уже их сам не нарисовал и в свой личный репо не сложил ;-)
> Особенно если раз в год - либо забудешь сделать, либо забудешь, как делал, либо этот
> год закончится в самый неподходящий момент.
еще раз - startssl/одиночные сертификаты с ручным обновлением раз в год - это для либо единственного-любимого, либо "а, серт протух? Ну и нажми "все равно открыть", через месяц вернусь, обновлю.
Для того за что платят деньги, нужно обзаводиться _своей_ инфраструктурой и _своими_ скриптами, и вот тут летсэнкрипт, увы, совершенно бесполезен, и даже вреден - заставляет тратить время и силы еще и на объяснения, почему обязательно надо делать свое.
> А насчёт скриптов - я что-то не видел реальных претенизий/багов/уязвимостей  у них -
> одни невнятные стоны.
ну вот, а новость-то эта о чем?
Ты во-первых, не знаешь самого главного - что за скрипты (а так же что там за человеки и стандарты безопасности) с _той_ стороны, а то что вот видно - оно явно между очень плохо и совсем отвратительно.
Во-вторых, те кто могли бы всерьез разобраться - скорее всего, просто не интересуются, у них-то точно давно свой CA настроен.
По сути вся система веб-ssl никуда не годная, конечно - начиная от "доверенных центров", которым доверять нельзя категорически.

Ответить | Правка | Наверх | Cообщить модератору

27. "В сервисе Let's Encrypt произошла утечка email-адресов части..." +1 +/–

Сообщение от Crazy Alex (ok), 14-Июн-16, 16:15

К.О.: self-signed плох тем, что на него исключения добавлять надо, вестимо. то же и со своим  CA - нормально, пока доступ строго внутри организации, где можно его везде запихать. Если речь идёт о том, чтобы на сайт мог заходить кто-то сторонний - то не самое радостное решение. А делать "только для своих" опять чревато тем, что вдруг окажется, что ходит на него кто-то ещё.
А насчёт безопасности - эта новость к собственно сертфикатам имеет отношения ровно ноль. И да, я не знаю, что там с той стороны. Как не знаю, что с той стороны у StartSSL или, допустим, гугла, который сто лет как аналогичным образом проверял владельца домена для гуглоаппсов - без каких-либо проблем. И пофиг - пока я не видел ни одной новости вида "ааа, клиента летсенкрипт взломали из-за кривых скриптов", а времени прошло немало и куча людей им пользуется. За let's encrypt, по крайней мере, более-менее известные игроки стоят, в отличие от StartSSL. Я ж его не вместо корпоративного CA предлагаю - а именно вместо подобных левых конторок или, паче, вместо нешифрованного http.
Что до "доверенных центров" - надо просто понимать, в каком контексте им можно доверять. Как и в любых вопросах безопасности - первое - модель угроз. Для коммерции, допустим - никаких проблем. Для того, чтобы гарантированно отсечь разных недохакеров - тем более. А если в шпионов играешь - ну да, другие меры нужны, кто б спорил.

Ответить | Правка | Наверх | Cообщить модератору

30. "В сервисе Let's Encrypt произошла утечка email-адресов части..." –1 +/–

Сообщение от пох (?), 14-Июн-16, 17:14

> self-signed плох тем, что на него исключения добавлять надо
if security _is_ issue - надо поудалять все идиотские "доверенные центры" сразу и отовсюду. Ну да, ну да, ни один модный-современный браузер в таком режиме работать не сможет, и даже причину на экране не покажет, но это, в общем-то, вторичная проблема.
Если нет - next-next-next-ok-упс...восстановите пожалуйста 167й vde - ну надо пользователю нажать на одну галочку больше, и что с того?
Внутри корпорации - ну, там помимо веба еще в ста местах нужны сертификаты, начиная от wifi и заканчивая vpn. И да, желательно более-менее доверенные. Нет бабла на intermediate ca кого-нибудь приличного, значит, ставим везде свой, еще одна галочка в системе авторазлива помимо ста тыщ и так имеющихся, в чем проблема-то и чем тут LE помог бы?
У меня вот и на некоторые веб-сервисы доступ по сертификату, ага, юзверьскому.
> А делать "только для своих" опять чревато тем, что вдруг окажется, что ходит на него
> кто-то ещё.
ну и нажмет "доверять всегда", в чем проблема-то? Скорее уж у него корпоративной политикой окажется прибито использование MSIE 8й версии без автообновлений сертификатов, и LE'шные помечены как неизвестный CA.
> И пофиг - пока я не видел ни одной новости вида "ааа, клиента летсенкрипт взломали из-за
> кривых скриптов"
так и не увидишь - взломали-то не клиента летсенкрипт, а сперли очередные логины-пароли от очередного втентаклиттера у конечного юзверя, который вообще ничего ни про какие сертификаты не знает и знать не хочет.
> Что до "доверенных центров" - надо просто понимать, в каком контексте им можно
> доверять. Как и в любых вопросах безопасности - первое - модель угроз. Для коммерции,
> допустим - никаких проблем.
после того как уже несколько раз их ловили на раздаче ключей "уважаемым людям" (у которых без особого труда их могло скопировать любое количество менее уважаемых и совсем неуважаемых, ибо те крайне плохо понимают, что это такое и зачем это надо хранить в сейфе на обесточенной флэшке) не говоря уже об истории технически незамутненных динозав...diginotar? Are you serious?
И cert pinning придумали вовсе не в [анти]шпионском ведомстве, а те, кому, казалось бы, "нечего скрывать от партии". Чего это они, действительно?
Единственный контектст, в котором им можно доверять - это "если там зелененькое - значит такая (не та самая, а _такая_) лавка правда имеет подпись и печать, похожие на настоящие, и кто-то с дипломом нотариуса как-то раз видел их плохой скан в ворде вложенном в pdf вложенный в tiff и присланный с неведомого мэйла в мэйлре"

Ответить | Правка | Наверх | Cообщить модератору

33. "В сервисе Let's Encrypt произошла утечка email-адресов части..." –1 +/–

Сообщение от Crazy Alex (ok), 14-Июн-16, 19:59

Да пойми ты две вещи:
1) оно не для корпораций, во всяком случае, сейчас. Соответственно, все разговоры о покупке intermediate ce, политиках IE и подобном - не в тему.
2) HTTPS - не абсолютная защита ни разу. Но на порядок лучше вообще не шифрованного HTTP - и ровно в этом смысл летсенкрипта - чтобы можно избавиться от нешифрованного HTTP. Что означает - это должно делаться с минимальной морокой.

Ответить | Правка | Наверх | Cообщить модератору

40. "В сервисе Let's Encrypt произошла утечка email-адресов части..." –2 +/–

Сообщение от пох (?), 15-Июн-16, 11:46

> Да пойми ты две вещи:
> 1) оно не для корпораций, во всяком случае, сейчас
упс, ннниипоел? У тебя лично столько "на всякий случай, не включая мозг, пошифрованных просто чтоб было" серверов, что нужна вот такая автоматизация да еще и нельзя использовать самодельные CA при этом?
Мне казалось, оно затевалось как раз для взрослых (называешься ты при этом корпорацией или "добровольной некоммерческой инициативой" - при этом совершенно неважно, уже пора и за EV сертификатом, и за своим im ca если не прям щас, то в перспективе. Стойка с серверами доступными произвольной публике (иначе опять не нужны несамодельные CA) всяко на порядок дороже) - у кого большие фермы и просто не осилить руками все делать.
> 2) HTTPS - не абсолютная защита ни разу. Но на порядок лучше
> вообще не шифрованного HTTP - и ровно в этом смысл летсенкрипта
ну, я только вчера товарищу в соседней ветке объяснял, да, зачем нужен https там где "нечего скрывать". И, собственно, с этого и начал в первом же комменте - главная заслуга летсэнкрипта именно в этом - чтобы у героических рыцарей плаща и кинжала голова пошла кругом от невозможности отследить продажу молочных пакетов и засечь переговоры бабок о погоде и ревматизме, и на этом фоне то что на самом деле надо прятать - было каплей в море.
Стоит ли в этом участвовать своими собственными ресурсами - отдельный личный вопрос, на фоне данной новости мой ответ - резко отрицательный. Но у меня есть и im ca, и инфраструктура для собственных доверенных сертификатов, и раз в год зайти на startssl перегенерить пяток сертификатов на нужные, но не коммерческие проекты мне тоже несложно.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	4. "В сервисе Let's Encrypt произошла утечка email-адресов части..."	+/–
	Сообщение от Crazy Alex (ok), 14-Июн-16, 01:01
	И всё надо делать руками через веб-мордочку.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	20. "В сервисе Let's Encrypt произошла утечка email-адресов части..."	–5 +/–
	Сообщение от пох (?), 14-Июн-16, 13:14
	какой ужас, да, руками надо что-то делать, аж раз в году. Если вам дороги ваши данные (или данные ваших пользователей) - ни в коем случае не делайте ничего руками, надо все доверить кривым скриптам, написанным альтернативно-одаренными, желающими осчастливить человечество. Даже когда они явно вам демонстрируют свои охренительные умения как писать скрипты, так и вообще использовать технологию (как будто сразу было непонятно) - все равно продолжайте этим пользоваться. Единственная полезная ниша для летсэнкрипта - это создание шума - чтобы то, что на самом деле стоит прятать, не выглядело заметным на фоне тонн обычного порнотраффика, "зашифрованного" только потому, что ну вот же галочка, и "оно же бесплатно". За это им, конечно, особое спасибо. Для всего остального есть либо платные (если ваш проект приносит какие-то деньги - никакого ужаса в этом нет) либо собственные сертификаты (если у вас тыща виртуалок, пошифровать все не "хочется", а "есть серьезная прична", нет никаких поводов не завести свой CA - в котором лично ты будешь уверен, что он не подарит свой ключ левым людям). Ну и startssl для ограниченного числа хомячков, где протухание сертификата не является катастрофой, просто мелким разовым неудобством, за избавление от которого нет смысла платить.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "В сервисе Let's Encrypt произошла утечка email-адресов части..."	+4 +/–
	Сообщение от Crazy Alex (ok), 14-Июн-16, 14:34
	Ну вот когда я поднимаю хост я не думаю "а может, мне здесь не нужно шифрование, давай telnet подниму", даже если это хост в домашней локалке. Я просто стандартно леплю sshd. Точно так же мне в голову не придёт поднимать ftp - будет или webdav over https или sftp. Ровно так же когда я что-то архивирую в облако я не собираюсь каждый раз решать - а есть ли там что-то такое, что надо шифровать? - я просто шифрую всё и сплю спокойно. Так и с Let's Encrypt - это хорошая страховка для того, чтобы не забыли добавить https там, где вдруг оказалось что-то, что надо прикрыть. Да, руками делать что-то, что может быть автоматизировано - плохая идея. Особенно если раз в год - либо забудешь сделать, либо забудешь, как делал, либо этот год закончится в самый неподходящий момент. А насчёт скриптов - я что-то не видел реальных претенизий/багов/уязвимостей у них - одни невнятные стоны.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "В сервисе Let's Encrypt произошла утечка email-адресов части..."	–2 +/–
	Сообщение от пох (?), 14-Июн-16, 15:01
	> Ну вот когда я поднимаю хост я не думаю "а может, мне здесь не нужно шифрование, давай > telnet подниму" телнет в фрюниксах - штука _отдельная_, требующая совершенно отдельных телодвижений (и отдельно замысловато ломаемая, причем, в виду отстутствия к нему интереса, опасная). Поэтому да, ненюжен. А так - да, с цисками, к примеру, это довольно обычно - "у нас все закрыто acl'ями/управление изолировано от транспорта и на входе отдельный файрволлNG/etc, при этом половина железа с npe-лицензиями и один хрен там крипты не будет, поэтому, для единства конфигурации принимается поддержка telnet везде, и ssh - на поименно названных устройствах". Один хрен там векторов атак мильен, и перехват телнета самая последняя и неудобная в списке. > Точно так же мне в голову не придёт поднимать ftp - будет или webdav over https или sftp. вот странно - я везде поднимаю именно ftp. Именно потому что он значительно безопаснее, с точки зрения владельца хоста, а не сервиса, и эффективнее тоже (и можно закрытый ssl, а можно с opie-паролями). И мне нужны очень веские причины, чтобы завести на хосте sftp для тех, кому я не мог бы просто так дать шелл. Но даже оставляя все это на личное усмотрение - чем плох self-signed или own CA для _таких_ случаев ? Кроме того, что вот да, нету возможности быстро-быстро-не-включая-мозгов поставить пять пакетиков из стремного репозитория (желательно .deb без подписи) и пойти чай пить (если только ты уже их сам не нарисовал и в свой личный репо не сложил ;-) > Особенно если раз в год - либо забудешь сделать, либо забудешь, как делал, либо этот > год закончится в самый неподходящий момент. еще раз - startssl/одиночные сертификаты с ручным обновлением раз в год - это для либо единственного-любимого, либо "а, серт протух? Ну и нажми "все равно открыть", через месяц вернусь, обновлю. Для того за что платят деньги, нужно обзаводиться _своей_ инфраструктурой и _своими_ скриптами, и вот тут летсэнкрипт, увы, совершенно бесполезен, и даже вреден - заставляет тратить время и силы еще и на объяснения, почему обязательно надо делать свое. > А насчёт скриптов - я что-то не видел реальных претенизий/багов/уязвимостей у них - > одни невнятные стоны. ну вот, а новость-то эта о чем? Ты во-первых, не знаешь самого главного - что за скрипты (а так же что там за человеки и стандарты безопасности) с _той_ стороны, а то что вот видно - оно явно между очень плохо и совсем отвратительно. Во-вторых, те кто могли бы всерьез разобраться - скорее всего, просто не интересуются, у них-то точно давно свой CA настроен. По сути вся система веб-ssl никуда не годная, конечно - начиная от "доверенных центров", которым доверять нельзя категорически.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "В сервисе Let's Encrypt произошла утечка email-адресов части..."	+1 +/–
	Сообщение от Crazy Alex (ok), 14-Июн-16, 16:15
	К.О.: self-signed плох тем, что на него исключения добавлять надо, вестимо. то же и со своим CA - нормально, пока доступ строго внутри организации, где можно его везде запихать. Если речь идёт о том, чтобы на сайт мог заходить кто-то сторонний - то не самое радостное решение. А делать "только для своих" опять чревато тем, что вдруг окажется, что ходит на него кто-то ещё. А насчёт безопасности - эта новость к собственно сертфикатам имеет отношения ровно ноль. И да, я не знаю, что там с той стороны. Как не знаю, что с той стороны у StartSSL или, допустим, гугла, который сто лет как аналогичным образом проверял владельца домена для гуглоаппсов - без каких-либо проблем. И пофиг - пока я не видел ни одной новости вида "ааа, клиента летсенкрипт взломали из-за кривых скриптов", а времени прошло немало и куча людей им пользуется. За let's encrypt, по крайней мере, более-менее известные игроки стоят, в отличие от StartSSL. Я ж его не вместо корпоративного CA предлагаю - а именно вместо подобных левых конторок или, паче, вместо нешифрованного http. Что до "доверенных центров" - надо просто понимать, в каком контексте им можно доверять. Как и в любых вопросах безопасности - первое - модель угроз. Для коммерции, допустим - никаких проблем. Для того, чтобы гарантированно отсечь разных недохакеров - тем более. А если в шпионов играешь - ну да, другие меры нужны, кто б спорил.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "В сервисе Let's Encrypt произошла утечка email-адресов части..."	–1 +/–
	Сообщение от пох (?), 14-Июн-16, 17:14
	> self-signed плох тем, что на него исключения добавлять надо if security _is_ issue - надо поудалять все идиотские "доверенные центры" сразу и отовсюду. Ну да, ну да, ни один модный-современный браузер в таком режиме работать не сможет, и даже причину на экране не покажет, но это, в общем-то, вторичная проблема. Если нет - next-next-next-ok-упс...восстановите пожалуйста 167й vde - ну надо пользователю нажать на одну галочку больше, и что с того? Внутри корпорации - ну, там помимо веба еще в ста местах нужны сертификаты, начиная от wifi и заканчивая vpn. И да, желательно более-менее доверенные. Нет бабла на intermediate ca кого-нибудь приличного, значит, ставим везде свой, еще одна галочка в системе авторазлива помимо ста тыщ и так имеющихся, в чем проблема-то и чем тут LE помог бы? У меня вот и на некоторые веб-сервисы доступ по сертификату, ага, юзверьскому. > А делать "только для своих" опять чревато тем, что вдруг окажется, что ходит на него > кто-то ещё. ну и нажмет "доверять всегда", в чем проблема-то? Скорее уж у него корпоративной политикой окажется прибито использование MSIE 8й версии без автообновлений сертификатов, и LE'шные помечены как неизвестный CA. > И пофиг - пока я не видел ни одной новости вида "ааа, клиента летсенкрипт взломали из-за > кривых скриптов" так и не увидишь - взломали-то не клиента летсенкрипт, а сперли очередные логины-пароли от очередного втентаклиттера у конечного юзверя, который вообще ничего ни про какие сертификаты не знает и знать не хочет. > Что до "доверенных центров" - надо просто понимать, в каком контексте им можно > доверять. Как и в любых вопросах безопасности - первое - модель угроз. Для коммерции, > допустим - никаких проблем. после того как уже несколько раз их ловили на раздаче ключей "уважаемым людям" (у которых без особого труда их могло скопировать любое количество менее уважаемых и совсем неуважаемых, ибо те крайне плохо понимают, что это такое и зачем это надо хранить в сейфе на обесточенной флэшке) не говоря уже об истории технически незамутненных динозав...diginotar? Are you serious? И cert pinning придумали вовсе не в [анти]шпионском ведомстве, а те, кому, казалось бы, "нечего скрывать от партии". Чего это они, действительно? Единственный контектст, в котором им можно доверять - это "если там зелененькое - значит такая (не та самая, а _такая_) лавка правда имеет подпись и печать, похожие на настоящие, и кто-то с дипломом нотариуса как-то раз видел их плохой скан в ворде вложенном в pdf вложенный в tiff и присланный с неведомого мэйла в мэйлре"
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "В сервисе Let's Encrypt произошла утечка email-адресов части..."	–1 +/–
	Сообщение от Crazy Alex (ok), 14-Июн-16, 19:59
	Да пойми ты две вещи: 1) оно не для корпораций, во всяком случае, сейчас. Соответственно, все разговоры о покупке intermediate ce, политиках IE и подобном - не в тему. 2) HTTPS - не абсолютная защита ни разу. Но на порядок лучше вообще не шифрованного HTTP - и ровно в этом смысл летсенкрипта - чтобы можно избавиться от нешифрованного HTTP. Что означает - это должно делаться с минимальной морокой.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "В сервисе Let's Encrypt произошла утечка email-адресов части..."	–2 +/–
	Сообщение от пох (?), 15-Июн-16, 11:46
	> Да пойми ты две вещи: > 1) оно не для корпораций, во всяком случае, сейчас упс, ннниипоел? У тебя лично столько "на всякий случай, не включая мозг, пошифрованных просто чтоб было" серверов, что нужна вот такая автоматизация да еще и нельзя использовать самодельные CA при этом? Мне казалось, оно затевалось как раз для взрослых (называешься ты при этом корпорацией или "добровольной некоммерческой инициативой" - при этом совершенно неважно, уже пора и за EV сертификатом, и за своим im ca если не прям щас, то в перспективе. Стойка с серверами доступными произвольной публике (иначе опять не нужны несамодельные CA) всяко на порядок дороже) - у кого большие фермы и просто не осилить руками все делать. > 2) HTTPS - не абсолютная защита ни разу. Но на порядок лучше > вообще не шифрованного HTTP - и ровно в этом смысл летсенкрипта ну, я только вчера товарищу в соседней ветке объяснял, да, зачем нужен https там где "нечего скрывать". И, собственно, с этого и начал в первом же комменте - главная заслуга летсэнкрипта именно в этом - чтобы у героических рыцарей плаща и кинжала голова пошла кругом от невозможности отследить продажу молочных пакетов и засечь переговоры бабок о погоде и ревматизме, и на этом фоне то что на самом деле надо прятать - было каплей в море. Стоит ли в этом участвовать своими собственными ресурсами - отдельный личный вопрос, на фоне данной новости мой ответ - резко отрицательный. Но у меня есть и im ca, и инфраструктура для собственных доверенных сертификатов, и раз в год зайти на startssl перегенерить пяток сертификатов на нужные, но не коммерческие проекты мне тоже несложно.
	Ответить \| Правка \| Наверх \| Cообщить модератору