forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Проект Let's Encrypt опубликовал планы на 2018 год, opennews (?), 09-Дек-17, (0) [смотреть все]

Они её будут делать только через валидацию по dns - , Ilya Indigo (ok), 22:20 , 09-Дек-17, (3) –7 //

А как ещё-то проверить, что у тебя есть права на домен , Аноним (-), 22:30 , 09-Дек-17, (5) +9 //

По http Или по наличию доступа к базовому домену да знаю, бывают случаи, когда , Ilya Indigo (ok), 23:07 , 09-Дек-17, (6) –9

Это чтобы АНБ могло официально выписывать себе сертификаты на все что угодно, сд, Аноним (-), 00:40 , 10-Дек-17, (9)

АНБ и так может выкатывать себе все что угодно Не забываем, в чем состоит суть , Аноним (-), 05:43 , 11-Дек-17, (46) –1

И правильно Другие способы валидации зло , Аноним (-), 02:20 , 10-Дек-17, (14) +5
а почему это вас расстраивает с этим есть хоть какие-то проблемы , Johny (?), 22:26 , 10-Дек-17, (40) //

Тем что мне охота специально для этого держать bind, на том же самом сервере, на, Ilya Indigo (ok), 12:21 , 11-Дек-17, (49) –2

А сделать какое-то ограниченное управление к тому самому днс-серверу на краю зем, Crazy Alex (ok), 13:16 , 11-Дек-17, (50)

Регистраторам доменов, бесплатно предоставляющих свои DNS-сервера, предоставлять, Ilya Indigo (ok), 13:33 , 11-Дек-17, (52) –1

С Yandex DNS ПДД через API полностью автоматизируется, например в getssl, ruata (?), 14:01 , 11-Дек-17, (53)
Ну будешь выбирать регистратора или провайдера DNS который это умеет Если уж , Crazy Alex (ok), 16:40 , 11-Дек-17, (59) +1

Если они подтянутся, то будет здорово Да, я и сейчас нормально живу, только вмес, Ilya Indigo (ok), 16:55 , 11-Дек-17, (60) –1

И что с того Всё равно можно будет автоматизировать, Вулх (?), 03:09 , 12-Дек-17, (65)

А когда там у них в планах снова обновить лицензию чтобы снова к чертям слетела, Ilya Indigo (ok), 22:19 , 09-Дек-17, (2) //

Ты о чём , Аноним (-), 22:30 , 09-Дек-17, (4) //

Каждый раз при обращении по протоколу ACME нужно передавать url текущей лицензии, Ilya Indigo (ok), 23:17 , 09-Дек-17, (7) //

Последние 6 месяцев такая проблема, я подумал, что LE решили устроить страдание , Anonimus (??), 00:24 , 10-Дек-17, (8)
Ну а что, оригинальная у них антибот-капча , Аноним (-), 00:42 , 10-Дек-17, (10) +2
Не знаю, certbot из репы как работал, так и работает Последний раз обновлялся в, Аноним (-), 13:09 , 10-Дек-17, (30) +1
Ключ --agree-tos не спасёт отца русской демократии , xm (ok), 13:37 , 10-Дек-17, (32) +1
dehydrated ничего такого не просил и не просит, Johny (?), 22:27 , 10-Дек-17, (41)
а то Не забывайте регулярно обновлять ваши скрипты, делающие хз что, из нашего е, пох (?), 15:05 , 11-Дек-17, (54) –2

Там комментарием выше перед тобой, как минимум, кроме единственно-верного ещё de, Crazy Alex (ok), 16:36 , 11-Дек-17, (58)

если дурацкая лицензия действительно часть апи - то, значит, либо тоже не забыв, пох (?), 18:42 , 11-Дек-17, (61) –1

Это прямое враньё, Let 8217 s Encrypt контролируется корпорациями , Аноним (-), 01:29 , 10-Дек-17, (11) –3 //

А можно пруфы , здравый смысл (?), 01:53 , 10-Дек-17, (12) +1 //

Легко, смотри последнее предложение в новости Средства собираются в основном з, angra (ok), 02:28 , 10-Дек-17, (15) –1 //

Это не делает ее не некоммерческой организацией Знаешь кто лучше чем они Напиш, Аноним (-), 04:47 , 10-Дек-17, (22)

Думаешь, некоммерческая орг-я, - значит хиппи-чудачки, работающие за идею Нек, Аноним (-), 09:23 , 10-Дек-17, (24) –1

всё правильно - на самом деле Let 8217 s Encrypt распространяет не сертификаты,, Hellraiser (??), 11:43 , 10-Дек-17, (28) +1
А ты именно так представляешь себе сообщество Ну так у меня для тебя плохие н, Аноним (-), 13:11 , 10-Дек-17, (31)

Ты не поверишь, но Free Software Foundation тоже существует за счёт финансовой п, dq0s4y71 (ok), 15:39 , 11-Дек-17, (56) +2

Безусловно, значит Вопрос только в степени этого контроля , Аноним (-), 20:59 , 11-Дек-17, (62) –1

Управляется сообществом корпораций , iv (?), 18:45 , 10-Дек-17, (36) +4

Очень интересно, что же составляет большую часть этих запросов Судя по цифрам, , angra (ok), 02:31 , 10-Дек-17, (16) //

OCSP , Аноним (-), 04:14 , 10-Дек-17, (19) +2 //

Это Mozilla виноваты, что Firefox до сих пор дёргает OCSP-серверы на каждый полу, Аноним (-), 09:57 , 10-Дек-17, (26) –1 //

Освойте уже Stapling и прекратите ныть , Кирилл (??), 12:48 , 10-Дек-17, (29) +2

Выраженный синдром утенка все говорят делай stapling, значит и мне надо Stap, Аноним (-), 21:52 , 10-Дек-17, (39)

не читал, но осуждаю То есть ни область применимости, ни механизм работы - ни ра, пох (?), 15:14 , 11-Дек-17, (55)

Ещё раз 8211 чтобы OCSP-ответ сообщил пользователю, что дело швах владелец, Аноним (-), 05:39 , 12-Дек-17, (66)

Кто боится давления со стороны Lets по блокировке неугодных сайтов или МИТМ атак, DmA (??), 10:32 , 10-Дек-17, (27) +2 //

и как её сделать , Аноним (-), 17:35 , 10-Дек-17, (35) –1 //

Очевидно, на пауэр шелле , Аноним (-), 21:02 , 11-Дек-17, (63)

46 миллионов сертификатов, 3 млн долларов Это 6,5 центов за сертификат себесто, None (??), 13:50 , 10-Дек-17, (33) //

ну вот примерно из-за этого всякие коммерческие торговцы и бесят, Crazy Alex (ok), 17:04 , 10-Дек-17, (34) +2

Кстати, стартссл всё , IdeaFix (ok), 19:27 , 10-Дек-17, (37) //

С разморозкой , Аноним (-), 14:37 , 14-Дек-17, (67)

не удивлюсь, если все закрытые ключи давно у америкосов в папочке лежат шифрова, Аноним (-), 00:03 , 11-Дек-17, (44) //

Закрытые ключи корневых сертификатов Если имел в виду тех, что выдаются пользов, Аноним (-), 04:22 , 11-Дек-17, (45) +4 //

А ему все-равно, ведь комментарий бы не технический, а националистский , Всем Анонимам Аноним (?), 16:14 , 11-Дек-17, (57) +1

У жидомасонов же , Аноним (-), 13:27 , 11-Дек-17, (51) +4
В мамочке же, вендодятел , Led (ok), 22:26 , 11-Дек-17, (64) +2

Сообщения [Сортировка по времени | RSS]

16. "Проект Let's Encrypt опубликовал планы на 2018 год" +/–

Сообщение от angra (ok), 10-Дек-17, 02:31

> Проектом Let's Encrypt выдано (https://letsencrypt.org/stats/) 46 млн сертификатов
> Текущая серверная инфраструктура Let's Encrypt обрабатывает примерно 2 миллиарда запросов в день.
Очень интересно, что же составляет большую часть этих запросов. Судя по цифрам, это не выдача и обновление сертификатов.

Ответить | Правка | Наверх | Cообщить модератору

19. "Проект Let's Encrypt опубликовал планы на 2018 год" +2 +/–

Сообщение от Аноним (-), 10-Дек-17, 04:14

OCSP?

Ответить | Правка | Наверх | Cообщить модератору

26. "Проект Let's Encrypt опубликовал планы на 2018 год" –1 +/–

Сообщение от Аноним (-), 10-Дек-17, 09:57

Это Mozilla виноваты, что Firefox до сих пор дёргает OCSP-серверы на каждый полученный сертификат. Chrome вместо этой фигни давно использует централизованный чёрный список (и правильно делает).
Сама идея OCSP (заставить клиента перед отзывом сертификата организации вежливо интересоваться у CA этой организации) — полный швах, не выдерживающий столкновения с реальностью.

Ответить | Правка | Наверх | Cообщить модератору

29. "Проект Let's Encrypt опубликовал планы на 2018 год" +2 +/–

Сообщение от Кирилл (??), 10-Дек-17, 12:48

Освойте уже Stapling и прекратите ныть.

Ответить | Правка | Наверх | Cообщить модератору

39. "Проект Let's Encrypt опубликовал планы на 2018 год" +/–

Сообщение от Аноним (-), 10-Дек-17, 21:52

Выраженный синдром утенка: "все говорят: делай stapling, значит и мне надо".
Stapling, как и OCSP – бесмысленная трата трафика. Ок, мой сервер сломали. Или ещё лучше – сервер моего CA. Первый запрашивает у второго OCSP и отправляет ответ пользователю. Стоп, что???
Или ещё лучше – абстрактная компроментация ключа в вакууме. Чтобы OCSP-ответ о ней сообщил нужно чтобы о ней узнал CA. Внимание вопрос: в чём здесь профит OCSP? С задержкой сообщить пользователю то, про что он и так должен от меня узнать? Так к этому моменту я уже должен выкатить новый сертификат.
Нет и не может быть сценария, когда OCSP приносит реальную пользу.

Ответить | Правка | Наверх | Cообщить модератору

55. "Проект Let's Encrypt опубликовал планы на 2018 год" +/–

Сообщение от пох (?), 11-Дек-17, 15:14

> Stapling, как и OCSP – бесмысленная трата трафика. Ок, мой сервер сломали.
> Или ещё лучше – сервер моего CA. Первый запрашивает у второго
не читал, но осуждаю?
То есть ни область применимости, ни механизм работы - ни разу не поняты, но мнение - имеешь?
> Или ещё лучше – абстрактная компроментация ключа в вакууме. Чтобы OCSP-ответ о
неабстрактная - ломанули твой сервер, и ключики тютю.
> ней сообщил нужно чтобы о ней узнал CA. Внимание вопрос: в
ну вот узнал, пометил как невалидный, и дальше что? Пользователь ничего об этих отметках не знает, списки revoked certs не грузятся уже сто лет. И если попадает, внезапно, не к тебе, а к тому самому, которому достались ключики (dns poisoning там, или к твоему апстриму кто-то присосался) - наивно верит, что у него защищенная сессия с твоим сайтом.
ocsp эту проблему решает. stapling решает проблему досужего любопытства CA, что у тебя там за юзеры и откуда взялись.

Ответить | Правка | Наверх | Cообщить модератору

66. "Проект Let's Encrypt опубликовал планы на 2018 год" +/–

Сообщение от Аноним (-), 12-Дек-17, 05:39

Ещё раз – чтобы OCSP-ответ сообщил пользователю, что "дело швах" *владелец сертификата* должен сообщить об этом CA.
Т.е. использование OCSP позволит клиенту узнать о проблеме только если о ней и так известно основным заинтересованным лицам (а не заинтересованный в чёрном пиаре админ просто забьёт на ревокацию).
Если о проблеме известно, а злоумышленник вволю "подсасывается к апстриму" и "отравляет DNS", то владельцу сайта нужно делать публичное заявление о взломе, а пользователю – искать политического убежища где-нибудь в Уганде.
А то ведь такой злоумышленник может и от управления сертификатом отлучит (и продолжать "подсосавшись к апстриму" получать новые сертификаты через HTTP -challenge CA). И через DNS перенаправить пользователя на свой сервак, для которого у него есть *валидный* сертификат.
И OCSP при этом поможет как мёртвому припарка.
Если ваш сайт интересен таким злоумышленникам, самый надёжный способ — раструбить про взлом и исправить причины. А OCSP — удобное оправдание для не желающих это делать, не более.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

16. "Проект Let's Encrypt опубликовал планы на 2018 год"	+/–
Сообщение от angra (ok), 10-Дек-17, 02:31
> Проектом Let's Encrypt выдано (https://letsencrypt.org/stats/) 46 млн сертификатов > Текущая серверная инфраструктура Let's Encrypt обрабатывает примерно 2 миллиарда запросов в день. Очень интересно, что же составляет большую часть этих запросов. Судя по цифрам, это не выдача и обновление сертификатов.
Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Проект Let's Encrypt опубликовал планы на 2018 год"	+2 +/–
	Сообщение от Аноним (-), 10-Дек-17, 04:14
	OCSP?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Проект Let's Encrypt опубликовал планы на 2018 год"	–1 +/–
	Сообщение от Аноним (-), 10-Дек-17, 09:57
	Это Mozilla виноваты, что Firefox до сих пор дёргает OCSP-серверы на каждый полученный сертификат. Chrome вместо этой фигни давно использует централизованный чёрный список (и правильно делает). Сама идея OCSP (заставить клиента перед отзывом сертификата организации вежливо интересоваться у CA этой организации) — полный швах, не выдерживающий столкновения с реальностью.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Проект Let's Encrypt опубликовал планы на 2018 год"	+2 +/–
	Сообщение от Кирилл (??), 10-Дек-17, 12:48
	Освойте уже Stapling и прекратите ныть.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Проект Let's Encrypt опубликовал планы на 2018 год"	+/–
	Сообщение от Аноним (-), 10-Дек-17, 21:52
	Выраженный синдром утенка: "все говорят: делай stapling, значит и мне надо". Stapling, как и OCSP – бесмысленная трата трафика. Ок, мой сервер сломали. Или ещё лучше – сервер моего CA. Первый запрашивает у второго OCSP и отправляет ответ пользователю. Стоп, что??? Или ещё лучше – абстрактная компроментация ключа в вакууме. Чтобы OCSP-ответ о ней сообщил нужно чтобы о ней узнал CA. Внимание вопрос: в чём здесь профит OCSP? С задержкой сообщить пользователю то, про что он и так должен от меня узнать? Так к этому моменту я уже должен выкатить новый сертификат. Нет и не может быть сценария, когда OCSP приносит реальную пользу.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	55. "Проект Let's Encrypt опубликовал планы на 2018 год"	+/–
	Сообщение от пох (?), 11-Дек-17, 15:14
	> Stapling, как и OCSP – бесмысленная трата трафика. Ок, мой сервер сломали. > Или ещё лучше – сервер моего CA. Первый запрашивает у второго не читал, но осуждаю? То есть ни область применимости, ни механизм работы - ни разу не поняты, но мнение - имеешь? > Или ещё лучше – абстрактная компроментация ключа в вакууме. Чтобы OCSP-ответ о неабстрактная - ломанули твой сервер, и ключики тютю. > ней сообщил нужно чтобы о ней узнал CA. Внимание вопрос: в ну вот узнал, пометил как невалидный, и дальше что? Пользователь ничего об этих отметках не знает, списки revoked certs не грузятся уже сто лет. И если попадает, внезапно, не к тебе, а к тому самому, которому достались ключики (dns poisoning там, или к твоему апстриму кто-то присосался) - наивно верит, что у него защищенная сессия с твоим сайтом. ocsp эту проблему решает. stapling решает проблему досужего любопытства CA, что у тебя там за юзеры и откуда взялись.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	66. "Проект Let's Encrypt опубликовал планы на 2018 год"	+/–
	Сообщение от Аноним (-), 12-Дек-17, 05:39
	Ещё раз – чтобы OCSP-ответ сообщил пользователю, что "дело швах" владелец сертификата должен сообщить об этом CA. Т.е. использование OCSP позволит клиенту узнать о проблеме только если о ней и так известно основным заинтересованным лицам (а не заинтересованный в чёрном пиаре админ просто забьёт на ревокацию). Если о проблеме известно, а злоумышленник вволю "подсасывается к апстриму" и "отравляет DNS", то владельцу сайта нужно делать публичное заявление о взломе, а пользователю – искать политического убежища где-нибудь в Уганде. А то ведь такой злоумышленник может и от управления сертификатом отлучит (и продолжать "подсосавшись к апстриму" получать новые сертификаты через HTTP -challenge CA). И через DNS перенаправить пользователя на свой сервак, для которого у него есть валидный сертификат. И OCSP при этом поможет как мёртвому припарка. Если ваш сайт интересен таким злоумышленникам, самый надёжный способ — раструбить про взлом и исправить причины. А OCSP — удобное оправдание для не желающих это делать, не более.
	Ответить \| Правка \| Наверх \| Cообщить модератору