forum.opennet.ru

"Проект Let's Encrypt представил модуль для http-сервера Apache"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "Проект Let's Encrypt представил модуль для http-сервера Apac..."	+/–
Сообщение от Ilya Indigo (ok), 18-Окт-17, 20:09
> Вообще есть технология HTTP Public Key Pinning, там в DNS прописываются отпечатки > сертификатов. > Т.е. защита от подмены сертификата на другой, даже валидный. > Но там очень легко выстрелить себе в ногу так, что оторвет голову. > Если неправильно настроить, можно закешировать на клиентах запись о том, что ваш > текущий сертификат - фигня. > И все, нужен новый сертификат. Я так понимаю Вы имеете ввиду HTTP Public Key Pinning (HPKP). Это тоже не то, так как она, как Вы ране упомянули, кеширует у клиента отпечаток ключа, не давая возможности, до истечения срока кеша, изменить сертификат самому серверу, что очень не удобно. Мне кажется это лишнее и ненужное действе. Не нужно кешировать слепок ключа, его нужно при каждом обращении сверять с ДНС, что бы сервер мог, при желании, хоть каждый день их менять, и при этом не у кого их не подписывать в ограниченном количестве. А пользователь будет уверен, что он общается с этим сервером. А если клиент, то есть администратор ресурса, не доверяет своему собственному регистратору домена, то тут уже ничего не поможет, да и классическая схема от этого не защищает.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Проект Let's Encrypt представил модуль для http-сервера Apache, opennews, 17-Окт-17, 21:53 [смотреть все]

Чтобы никто не догадался , Аноним, 17-Окт-17, 21:53 (1) //
- ага, могли бы mod_acme или mod_letsencrypt назвать, eRIC, 17-Окт-17, 22:02 (2) //
  - https github com icing mod_md issues 46, Аноним, 17-Окт-17, 22:57 (7)
- mod_mod будет загадочнее, ZimniY, 17-Окт-17, 22:03 (3)
- ManagedDomain Чтобы тоже никто не догадался , ., 17-Окт-17, 22:42 (5)
mod_markdown лил, Уборщица, 17-Окт-17, 22:16 (4)
Может для Nginx такое не просто появится, но и в поставку войдет Наконец Symant, A, 17-Окт-17, 23:00 (8) //
- Ну для nginx уже давно есть Правда довольно муторно для настройки , Аноним, 18-Окт-17, 01:40 (13) //
  - certbot не сложен в настройке Там на симлинках все , istepan, 18-Окт-17, 07:32 (16)
Неужели Апачем до сих пор кто-то пользуется на продакшн-серверах , Онаним, 18-Окт-17, 00:35 (10) //
- Ещё как Покуда это единственный сервер в котором программисты могут сами себе р, Олег Михайлович Сиденко, 18-Окт-17, 01:22 (11) //
  - Неужели ПХП до сих пор кто-то пользуется на продакшн-серверах , SSHServerNode.jsGolangElixir..., 18-Окт-17, 01:29 (12) //
    - social network, Аноним, 18-Окт-17, 06:05 (14)
    - Facebook, vk и куча овна на wordpress е, Аноним, 18-Окт-17, 07:25 (15)
      - И чё, Facebook и vk гоняют PHP через Apache А WordPress - это не продакшн, 99 э, Онаним, 18-Окт-17, 08:44 (18)
        
        Да где ты видел чтоб софт юзали для того, для чего он делался - Зайди на любой, _, 18-Окт-17, 17:07 (45)
        
        это если открывается А если вместо магазина какая-то херь про b_cache_tag - м, пох, 19-Окт-17, 13:58 (66)
        
        Facebook, Wikipedia и WordPress гоняют через HHVM, SSHServerNode.jsGolangElixir..., 18-Окт-17, 23:17 (63)
      - Вот я прям как жопой чувствовал, что Facebook и vk на wordpress е работают , Аноним, 18-Окт-17, 13:23 (33)
    - Пых слишком хорош, чтоб о нем так просто забыли Альтернативы Их нет , istepan, 18-Окт-17, 07:34 (17)
      - Плагины текут у него безбожно Хоть бы кто и valgrind ом прогнал бы , Вадик, 18-Окт-17, 09:19 (19)
      - Во и стену Весь хайлоад крутится на пыхе апач Ещё тарантуул и вообще выходит н, лютый жабист__, 18-Окт-17, 09:24 (21)
        
        На весь хайлоад работает менее 1 всех ЫненеГров Вот к примеру ты - не работаеш, _, 18-Окт-17, 17:56 (47)
        
        Плох тот инженегр, который не хочет спать с генералом Вообще, я больше по bac, лютый жабист__, 20-Окт-17, 07:33 (72)
- Ну, если говорить о продакшн серверах, то нгинкс там не более чем фронтенд А , Аноним, 18-Окт-17, 09:23 (20) //
  - Он ещё и терминирует https ssl , так-что смысл в модуле в apache более сомнителе, Аноним, 18-Окт-17, 09:42 (22) //
    - сейчас модно внутренний траффик тоже пускать overssl и непременно http 2, чтоб в, пох, 18-Окт-17, 10:12 (23)
      - пох, ты закусывай - середина недели же Сайтикам ssl нужен потому что без него гу, _, 18-Окт-17, 18:00 (49)
        
        да лана, не читай вместо завтрака опеннетовские комменты,пока ничего не предвеща, пох, 18-Окт-17, 19:01 (54)
Не то что прямо уж сильно нужно, но не помешает Название конечно ,Чем их назван, Ilya Indigo, 18-Окт-17, 10:53 (24) //
- я в твоей схеме не понимаю, что помешает злоумышленнику, получившему контроль на, Аноним, 18-Окт-17, 11:11 (25) //
  - Если у Вас угнали доступы к DNS, то тут уже ничего Вам не поможет, кроме их восс, Ilya Indigo, 18-Окт-17, 11:22 (26) //
    - У клиента же Речь про то, что сертификат это способ проверки того, куда направл, КО, 18-Окт-17, 12:13 (28)
      - Не совсем удачный вы выбрали ник Куда в A или AAAA записях будет прописано, туда, Ilya Indigo, 18-Окт-17, 12:23 (29)
        
        Злоумышленник подсовывает _конкретному клиенту_ свои записи DNS, вместо твоих И, angra, 18-Окт-17, 21:04 (58)
        
        Благодарю Понял , Ilya Indigo, 18-Окт-17, 22:00 (60)
      - Сертификат DV не является средством проверки DNS Его выдача при любой схеме так, Аноним, 18-Окт-17, 12:49 (32)
        
        Я никогда не использовал EV-сертификаты, но полагаю, что от этого и они тоже не , Ilya Indigo, 18-Окт-17, 14:53 (38)
        
        Ну это уже другая история Можно сказать, что никакие сертификаты ни от чего не , Аноним, 18-Окт-17, 15:16 (40)
        
        иэто не одно и то же Хотспот в кафе может вместо 8 8 8 8 подставьте любой адрес, КО, 21-Окт-17, 08:59 (73)
  - да тут пичаль полная - клиент безнадежен, даже со второго раза до него не доходи, пох, 18-Окт-17, 12:35 (30)
- DANE уже давно придумали Но у него есть два недостатка во-первых, он имеет смы, Аноним, 18-Окт-17, 12:43 (31) //
  - он даже при повсеместном не имеет никакого смысла, потому что мы просто вернем ю, пох, 18-Окт-17, 13:35 (34)
  - DANE - это совсем другое, это механизм аутентификации, а не валидации , Ilya Indigo, 18-Окт-17, 14:45 (36) //
    - Зато в нём нет лишних сущностей, коей является УЦ , Аноним, 18-Окт-17, 15:12 (39)
- Провайдера клиента Провайдер может и DNS записи подменить и трафик до сайта спро, XoRe, 18-Окт-17, 16:53 (44) //
  - И как же эту величественную проблему решает классическая схема с УЦ , Ilya Indigo, 18-Окт-17, 17:29 (46) //
    - За счет списка доверенных УЦ на клиенте Сертификат УЦ лежит на клиенте, клиент е, XoRe, 18-Окт-17, 17:58 (48)
      - А что мешает провайдеру, получившему контроль над ДНС, зарегистрировать валидный, Ilya Indigo, 18-Окт-17, 19:44 (55)
        
        Ну пойди зарегистрируй кстати, они подписываются, а не регистрируются валидный , angra, 18-Окт-17, 21:14 (59)
        
        Да без проблем, скидывайте доступы на их ДНС, и я через сабж получу подписанный , Ilya Indigo, 18-Окт-17, 22:13 (61)
        
        Есть несколько другой вариант - CAA записи https www opennet ru tips 3028_ssl_, XoRe, 19-Окт-17, 17:21 (68)
        
        Этот вариант мне известен и уже применяется мной Но, к сожалению, пока нет обяза, Ilya Indigo, 19-Окт-17, 20:06 (71)
      - Ничего подобного Сертификат состоит из пары закрытого и открытого ключей Открыты, Ilya Indigo, 18-Окт-17, 19:54 (56)
        
        s нешифрованным ненадёжным , Аноним, 19-Окт-17, 09:07 (65)
        Провайдеру ничего не мешает сгенерить серитифкат, а в DNS отдавать его слепок Ес, XoRe, 19-Окт-17, 17:19 (67)
    - Вообще есть технология HTTP Public Key Pinning, там в DNS прописываются отпечатк, XoRe, 18-Окт-17, 18:06 (50)
      - мда, у нас сегодня парад анонов, где-то слышавших звон pkp не имеет ни малейшего, пох, 18-Окт-17, 18:27 (52)
        
        Да, неправильно написал Там заголовки в HTTP ответе Если проект коммерческий и в, XoRe, 19-Окт-17, 17:26 (69)
        
        обычно таким проектам по многим причинам приходится раскошеливаться на EV, а там, пох, 19-Окт-17, 18:42 (70)
        
        Маргинальному проектику зеленый свет в сторону let s encrypt А в крупных компани, XoRe, 22-Окт-17, 02:39 (74)
      - Я так понимаю Вы имеете ввиду HTTP Public Key Pinning HPKP Это тоже не то, так , Ilya Indigo, 18-Окт-17, 20:09 (57)
        
        Не совсем так Просто о замене сертификата надо побеспокоиться заранее, и запини, Аноним, 18-Окт-17, 23:07 (62)
    - ты все же феноменально тyпой То есть ладно, еще - быть админом но не понимать и, пох, 18-Окт-17, 18:10 (51)
осталось написать модуль админки под это в виде mod_mdadm with zfs support , Аноним, 18-Окт-17, 12:12 (27) //
- Ага, и mod_luks , Аноним, 18-Окт-17, 16:14 (43)
Почему не сделать выдачу на пол целый год , qwe, 18-Окт-17, 14:06 (35) //
- В маркетинге сказали, что, мол, чем больше они за нами бегают, тем лучше Товар , Andrey Mitrofanov, 18-Окт-17, 14:50 (37)
- https letsencrypt org 2015 11 09 why-90-days html, Аноним, 18-Окт-17, 15:19 (41) //
  - Как научиться про полимеры вать ключи и перестать беспокоиться Опера-балет , Andrey Mitrofanov, 18-Окт-17, 15:46 (42) //
    - обрати только внимание - правдивый ответ - во втором акте мы таким образом за, пох, 18-Окт-17, 18:39 (53)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру