forum.opennet.ru

Составление сообщения

Исходное сообщение

"В сервисе Let's Encrypt произошла утечка email-адресов части..."
Отправлено пох, 14-Июн-16 15:01

> Ну вот когда я поднимаю хост я не думаю "а может, мне здесь не нужно шифрование, давай
> telnet подниму"
телнет в фрюниксах - штука _отдельная_, требующая совершенно отдельных телодвижений (и отдельно замысловато ломаемая, причем, в виду отстутствия к нему интереса, опасная). Поэтому да, ненюжен.
А так - да, с цисками, к примеру, это довольно обычно - "у нас все закрыто acl'ями/управление изолировано от транспорта и на входе отдельный файрволлNG/etc, при этом половина железа с npe-лицензиями и один хрен там крипты не будет, поэтому, для единства конфигурации принимается поддержка telnet везде, и ssh - на поименно названных устройствах".
Один хрен там векторов атак мильен, и перехват телнета самая последняя и неудобная в списке.
> Точно так же мне в голову не придёт поднимать ftp - будет или webdav over https или sftp.
вот странно - я везде поднимаю именно ftp. Именно потому что он значительно безопаснее, с точки зрения владельца хоста, а не сервиса, и эффективнее тоже (и можно закрытый ssl, а можно с opie-паролями). И мне нужны очень веские причины, чтобы завести на хосте sftp для тех, кому я не мог бы просто так дать шелл.
Но даже оставляя все это на личное усмотрение - чем плох self-signed или own CA для _таких_ случаев ?
Кроме того, что вот да, нету возможности быстро-быстро-не-включая-мозгов поставить пять пакетиков из стремного репозитория (желательно .deb без подписи) и пойти чай пить (если только ты уже их сам не нарисовал и в свой личный репо не сложил ;-)
> Особенно если раз в год - либо забудешь сделать, либо забудешь, как делал, либо этот
> год закончится в самый неподходящий момент.
еще раз - startssl/одиночные сертификаты с ручным обновлением раз в год - это для либо единственного-любимого, либо "а, серт протух? Ну и нажми "все равно открыть", через месяц вернусь, обновлю.
Для того за что платят деньги, нужно обзаводиться _своей_ инфраструктурой и _своими_ скриптами, и вот тут летсэнкрипт, увы, совершенно бесполезен, и даже вреден - заставляет тратить время и силы еще и на объяснения, почему обязательно надо делать свое.
> А насчёт скриптов - я что-то не видел реальных претенизий/багов/уязвимостей у них -
> одни невнятные стоны.
ну вот, а новость-то эта о чем?
Ты во-первых, не знаешь самого главного - что за скрипты (а так же что там за человеки и стандарты безопасности) с _той_ стороны, а то что вот видно - оно явно между очень плохо и совсем отвратительно.
Во-вторых, те кто могли бы всерьез разобраться - скорее всего, просто не интересуются, у них-то точно давно свой CA настроен.
По сути вся система веб-ssl никуда не годная, конечно - начиная от "доверенных центров", которым доверять нельзя категорически.

Исходное сообщение
"В сервисе Let's Encrypt произошла утечка email-адресов части..." Отправлено пох, 14-Июн-16 15:01
> Ну вот когда я поднимаю хост я не думаю "а может, мне здесь не нужно шифрование, давай > telnet подниму" телнет в фрюниксах - штука _отдельная_, требующая совершенно отдельных телодвижений (и отдельно замысловато ломаемая, причем, в виду отстутствия к нему интереса, опасная). Поэтому да, ненюжен. А так - да, с цисками, к примеру, это довольно обычно - "у нас все закрыто acl'ями/управление изолировано от транспорта и на входе отдельный файрволлNG/etc, при этом половина железа с npe-лицензиями и один хрен там крипты не будет, поэтому, для единства конфигурации принимается поддержка telnet везде, и ssh - на поименно названных устройствах". Один хрен там векторов атак мильен, и перехват телнета самая последняя и неудобная в списке. > Точно так же мне в голову не придёт поднимать ftp - будет или webdav over https или sftp. вот странно - я везде поднимаю именно ftp. Именно потому что он значительно безопаснее, с точки зрения владельца хоста, а не сервиса, и эффективнее тоже (и можно закрытый ssl, а можно с opie-паролями). И мне нужны очень веские причины, чтобы завести на хосте sftp для тех, кому я не мог бы просто так дать шелл. Но даже оставляя все это на личное усмотрение - чем плох self-signed или own CA для _таких_ случаев ? Кроме того, что вот да, нету возможности быстро-быстро-не-включая-мозгов поставить пять пакетиков из стремного репозитория (желательно .deb без подписи) и пойти чай пить (если только ты уже их сам не нарисовал и в свой личный репо не сложил ;-) > Особенно если раз в год - либо забудешь сделать, либо забудешь, как делал, либо этот > год закончится в самый неподходящий момент. еще раз - startssl/одиночные сертификаты с ручным обновлением раз в год - это для либо единственного-любимого, либо "а, серт протух? Ну и нажми "все равно открыть", через месяц вернусь, обновлю. Для того за что платят деньги, нужно обзаводиться _своей_ инфраструктурой и _своими_ скриптами, и вот тут летсэнкрипт, увы, совершенно бесполезен, и даже вреден - заставляет тратить время и силы еще и на объяснения, почему обязательно надо делать свое. > А насчёт скриптов - я что-то не видел реальных претенизий/багов/уязвимостей у них - > одни невнятные стоны. ну вот, а новость-то эта о чем? Ты во-первых, не знаешь самого главного - что за скрипты (а так же что там за человеки и стандарты безопасности) с _той_ стороны, а то что вот видно - оно явно между очень плохо и совсем отвратительно. Во-вторых, те кто могли бы всерьез разобраться - скорее всего, просто не интересуются, у них-то точно давно свой CA настроен. По сути вся система веб-ssl никуда не годная, конечно - начиная от "доверенных центров", которым доверять нельзя категорически.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> Ну вот когда я поднимаю хост я не думаю "а может, мне здесь не нужно шифрование, давай 
>> telnet подниму"

> телнет в фрюниксах - штука _отдельная_, требующая совершенно отдельных телодвижений (и 
> отдельно замысловато ломаемая, причем, в виду отстутствия к нему интереса, опасная). 
> Поэтому да, ненюжен.
> А так - да, с цисками, к примеру, это довольно обычно - 
> "у нас все закрыто acl'ями/управление изолировано от транспорта и на входе 
> отдельный файрволлNG/etc, при этом половина железа с npe-лицензиями и один хрен 
> там крипты не будет, поэтому, для единства конфигурации принимается поддержка telnet 
> везде, и ssh - на поименно названных устройствах".
> Один хрен там векторов атак мильен, и перехват телнета самая последняя и 
> неудобная в списке.

>> Точно так же мне в голову не придёт поднимать ftp - будет или webdav over https или sftp.

> вот странно - я везде поднимаю именно ftp. Именно потому что он 
> значительно безопаснее, с точки зрения владельца хоста, а не сервиса, и 
> эффективнее тоже (и можно закрытый ssl, а можно с opie-паролями). И 
> мне нужны очень веские причины, чтобы завести на хосте sftp для 
> тех, кому я не мог бы просто так дать шелл.

> Но даже оставляя все это на личное усмотрение - чем плох self-signed 
> или own CA для _таких_ случаев ?
> Кроме того, что вот да, нету возможности быстро-быстро-не-включая-мозгов поставить пять 
> пакетиков из стремного репозитория (желательно .deb без подписи) и пойти чай 
> пить (если только ты уже их сам не нарисовал и в 
> свой личный репо не сложил ;-)

>> Особенно если раз в год - либо забудешь сделать, либо забудешь, как делал, либо этот 
>> год закончится в самый неподходящий момент.

> еще раз - startssl/одиночные сертификаты с ручным обновлением раз в год - 
> это для либо единственного-любимого, либо "а, серт протух? Ну и нажми 
> "все равно открыть", через месяц вернусь, обновлю.
> Для того за что платят деньги, нужно обзаводиться _своей_ инфраструктурой и _своими_ 
> скриптами, и вот тут летсэнкрипт, увы, совершенно бесполезен, и даже вреден 
> - заставляет тратить время и силы еще и на объяснения, почему 
> обязательно надо делать свое.

>> А насчёт скриптов - я что-то не видел реальных претенизий/багов/уязвимостей  у них - 
>> одни невнятные стоны.

> ну вот, а новость-то эта о чем?
> Ты во-первых, не знаешь самого главного - что за скрипты (а так 
> же что там за человеки и стандарты безопасности) с _той_ стороны, 
> а то что вот видно - оно явно между очень плохо 
> и совсем отвратительно.
> Во-вторых, те кто могли бы всерьез разобраться - скорее всего, просто не 
> интересуются, у них-то точно давно свой CA настроен.

> По сути вся система веб-ssl никуда не годная, конечно - начиная от 
> "доверенных центров", которым доверять нельзя категорически.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру