The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

15.06.2016 04:57  StartCom запустил сервис по автоматической выдаче SSL-сертификатов

Удостоверяющий центр StartCom (торговая марка StartSSL) запустил похожий на Lets'Encrypt сервис StartEncrypt, осуществляющий автоматическую выдачу и установку SSL-сертификатов. Сертификаты выдаются бесплатно и требуют пройти уровень проверки, соответствующий их типу (в простейшем случае достаточно подтвердить владение доменом). Как и Lets'Encrypt cервис StartEncrypt поддерживает популярные веб-серверы на базе Linux и Windows (tomcat, nginx, apache httpd).

Из отличий от Lets'Encrypt можно отметить:

  • Не только автоматическое получение сертификата, но и автоматическая установка. Обратной стороной предложенной автоматизации является отсутствие контроля за сервисом со стороны администратора. В систему устанавливается проприетарное ПО, добавляемое в автозапуск и выполняемое как фоновый процесс, следящий за обновлением сертификата. Сервис поставляется только в форме уже собранного исполняемого файла, код не прилагается, т.е. предлагается запустить с правами root и оставить для постоянной работы "черный ящик", отправляющий сетевые запросы, которые проблематично проверить;
  • Не только шифрование, но и идентификация, чтобы отображать зеленую полосу (EV, Extended validation) и имя организации (OV, Organization Validation) в адресной строке;
  • Период обновления EV- и OV-сертификатов - до 39 месяцев. DV-сертификаты (Domain validation, верификация по домену) выдаются на один год (в Lets'Encrypt сертификат выдаётся на 3 месяца).
  • Cертификаты EV и OV могут содержать маски и охватывать до 120 доменов. DV-сертификаты охватывают 5 доменов (в Lets'Encrypt сертификат может охватывать до 100 доменов);
  • Сертификаты OV SSL и EV SSL выдаются бесплатно, но учётная запись в StartSSL должна пройти проверку с использованием средств идентификации 3 или 4 класса (для сертификата DV SSL, как и в в Lets'Encrypt, достаточно подтвердить владение доменом без необходимости регистрации в сервисе).


  1. Главная ссылка к новости (https://www.startssl.com/NewsD...)
  2. OpenNews: Организация EFF анонсировала новый клиент для сервиса Let's Encrypt
  3. OpenNews: Некоммерческий удостоверяющий центр Let's Encrypt вышел из стадии бета-тестирования
Автор новости: Анон
Тип: К сведению
Ключевые слова: startcom, ssl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 09:17, 15/06/2016 [ответить] [смотреть все]
  • +14 +/
    Вся прелесть Lets'Encrypt не в сроке и числе доменов, а в открытости, контроле в руках администратора и независимости от отдельных компаний.
     
  • 1.2, Какаянахренразница, 09:25, 15/06/2016 [ответить] [смотреть все]
  • +8 +/
    Закопошились...
     
  • 1.3, Аноним, 09:59, 15/06/2016 [ответить] [смотреть все]
  • +/
    Самое главное не написали - протокол ACME или нет Хотя по ссылке похоже, что н... весь текст скрыт [показать]
     
     
  • 2.23, ., 13:01, 15/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    ну явно ж нет - иначе ж кто помешает тебе его хакнуть и избавиться от сомнительн... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.28, ., 14:35, 15/06/2016 [^] [ответить] [смотреть все]  
  • +/
    gdb StartEncrypt bin StartEncrypt skip Reading symbols from home alx StartE... весь текст скрыт [показать]
     
     
  • 4.29, тоже Аноним, 14:47, 15/06/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    - Совсем худо, - заключил хозяин, - что-то, воля ваша, недоброе таится в мужчин... весь текст скрыт [показать]
     
  • 1.4, Аноним, 10:00, 15/06/2016 [ответить] [смотреть все]  
  • +3 +/
    И, кстати, у меня в Let s Encrypt один сертификат на шесть доменов, так что про ... весь текст скрыт [показать]
     
     
  • 2.42, Аноним, 22:26, 15/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Расскажи, как, а то я не могу понять.
     
  • 1.5, xl32, 10:15, 15/06/2016 [ответить] [смотреть все]  
  • +1 +/
    Да, у Let's Encrypt SAN до 100 доменов в сертификате. С удовольствием пользуюсь.

    > Names/Certificate is the limit on how many domain names you can include in a single certificate. This is currently limited to 100 names, or websites, per certificate issued.

     
     
  • 2.7, КЭП, 10:21, 15/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Wildcard нету.
     
     
  • 3.9, xl32, 10:24, 15/06/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Так и здесь тоже только для OV EV То есть после платной валидации организации ... весь текст скрыт [показать]
     
  • 1.6, Аноним, 10:16, 15/06/2016 [ответить] [смотреть все]  
  • +14 +/
    > Сервис поставляется только в форме уже собранного исполняемого файла, код не прилагается, т.е. предлагается запустить с правами root и оставить для постоянной работы "черный ящик", отправляющий сетевые запросы

    Дальше можно не читать.

     
  • 1.10, Аноним, 10:31, 15/06/2016 [ответить] [смотреть все]  
  • +12 +/
    > В систему устанавливается проприетарное ПО, добавляемое в автозапуск и выполняемое как фоновый процесс, следящий за обновлением сертификата. Сервис поставляется только в форме уже собранного исполняемого файла, код не прилагается, т.е. предлагается запустить с правами root и оставить для постоянной работы "черный ящик", отправляющий сетевые запросы, которые проблематично проверить;

    И зачем такие сложности то?
    Нужно было просто просить рутовый пароль на сервер и со своей стороны скриптами закачивать/обновлять сертификаты и релоадить сервисы.
    Прям как дети малые.

     
  • 1.11, Александр, 10:40, 15/06/2016 [ответить] [смотреть все]  
  • +4 +/
    клевая штука, ты им доступ полный, а они тебе сертификат. вот же евреи хитрые.
     
     
  • 2.12, Орк, 11:03, 15/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    А что, нормальный бэкдор для лоха, который никогда не вымрет.
     
  • 2.14, Ананимас, 11:22, 15/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    запустить в jail/аналог
    получить/обновить серт
    остановить jail/аналог
    выгода
     
     
  • 3.19, grsec, 12:14, 15/06/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    выгода+извращение
     
  • 1.13, анон, 11:14, 15/06/2016 [ответить] [смотреть все]  
  • +/
    Маркетинг, такой маркетинг. API у них уже много лет как есть.
     
  • 1.16, Аноним, 11:40, 15/06/2016 [ответить] [смотреть все]  
  • –3 +/
    Уже то, что LetsEncrypt тянет на сервер компиллятор и dev пакеты - это ДЫРИЩА, а... весь текст скрыт [показать]
     
     
  • 2.17, Аноним, 11:51, 15/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +8 +/
    руки из задницы, а леценкрипт виноват, очевидно же
     
     
  • 3.44, MPEG LA, 23:10, 15/06/2016 [^] [ответить] [смотреть все]  
  • +/
    на wheezy например требует установки backports вопрос - нафейхоа вообще все эти... весь текст скрыт [показать]
     
     
  • 4.51, имя, 10:52, 16/06/2016 [^] [ответить] [смотреть все]  
  • +/
    этот вопрос задай тому, что тебе wheezy на сервер зачем-то поставил.
     
     
  • 5.54, MPEG LA, 15:10, 16/06/2016 [^] [ответить] [смотреть все]  
  • +/
    а что из дебианоподобных надо было ставить на сервер в 2013-м и чем вам не нрав... весь текст скрыт [показать]
     
  • 2.20, grsec, 12:16, 15/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Можно неловкий вопрос В каком месте ты увидел дырищу ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.32, Кармер, 15:51, 15/06/2016 [^] [ответить] [смотреть все]  
  • –3 +/
    Есть компиллятор,- есть возможность собрать и запустить эксплоит для повышения п... весь текст скрыт [показать]
     
     
  • 4.33, ram_scan, 16:05, 15/06/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    1 Если у тебя есть шелл кто запрещает стянуть вместе с сорцами эксплоита компил... весь текст скрыт [показать]
     
  • 4.36, grsec, 19:17, 15/06/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Компилять зловредов на атакуемой системе это из теории что-ли Но если этот моме... весь текст скрыт [показать]
     
  • 4.38, Аноним, 20:32, 15/06/2016 [^] [ответить] [смотреть все]  
  • +/
    А зачем его компилять Если есть доступ в шелл, то можно уже собранный запустить... весь текст скрыт [показать]
     
  • 4.43, Аноним, 22:30, 15/06/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Cool story bro А ещё эксплоит можно сделать на bash nc perl python ruby tcl чем... весь текст скрыт [показать]
     
  • 2.31, Наркоман, 15:12, 15/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Только конкретный жирный клиент на питоне.
     
  • 2.49, Аноним, 06:15, 16/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Не нравится стандартный клиент certbot, пользуйся другими или напиши свой, прото... весь текст скрыт [показать] [показать ветку]
     
  • 2.50, Гентушник, 08:39, 16/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Протокол открыт, дефолтным клиентом никто не заставляет пользоваться Я например... весь текст скрыт [показать] [показать ветку]
     
  • 1.18, Аноним, 12:05, 15/06/2016 [ответить] [смотреть все]  
  • +1 +/
    Надеюсь это начало конкуренции Сначала бесплатные сертификаты, потом, условия и... весь текст скрыт [показать]
     
     
  • 2.30, Аноним, 15:03, 15/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Не будет тут конкуренции, центров выдающих не так много, и цены достуные, если н... весь текст скрыт [показать] [показать ветку]
     
  • 1.21, th3m3, 12:38, 15/06/2016 [ответить] [смотреть все]  
  • +/
    Что делает эта голимая поприетарщина на опеннете?
     
     
  • 2.24, тоже Аноним, 13:09, 15/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    Предупреждает об опасности вляпаться. Имхо, все логично.
     
  • 1.25, Аноним, 14:04, 15/06/2016 [ответить] [смотреть все]  
  • +/
    А сертификаты SHA-1 ?
     
  • 1.27, Аноним, 14:28, 15/06/2016 [ответить] [смотреть все]  
  • +/
    Жажда бесплатного мешает купить обычный сертификат и не ставить ничего сомнитель... весь текст скрыт [показать]
     
     
  • 2.34, Аноним, 17:44, 15/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Соболезную
     
  • 2.35, Аноним, 18:30, 15/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Покаж, где купить сертификат автоматически?
     
  • 2.39, Сиромант, 21:27, 15/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В новости сказано 171 автоматически 187 , а не 171 бесплатно 187 ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.56, ., 13:32, 17/06/2016 [^] [ответить] [смотреть все]  
  • +/
    в новости при этом не сказано, но _покупать_ и не сертификат а факт валидации п... весь текст скрыт [показать]
     
  • 1.37, dr Equivalent, 19:56, 15/06/2016 [ответить] [смотреть все]  
  • +6 +/
    О, здравствуй, альтернатива.

    > В систему устанавливается проприетарное ПО

    До свидания, альтенрнатива.

     
  • 1.41, Омский линуксоид, 22:25, 15/06/2016 [ответить] [смотреть все]  
  • +2 +/
    Омские линуксоиды избегают непонятных проприетарных поделок... Хорошая попытка, но нет. Извините.
     
  • 1.45, xm, 00:28, 16/06/2016 [ответить] [смотреть все]  
  • +/
    > Сертификаты OV SSL и EV SSL выдаются бесплатно, но учётная запись в StartSSL должна пройти проверку с использованием средств идентификации 3 или 4 класса

    Ага. 69 или 199 USD. Сертификат в подарок. :-)

     
  • 1.46, Онаним, 00:34, 16/06/2016 [ответить] [смотреть все]  
  • +/
    > В систему устанавливается проприетарное ПО, добавляемое в автозапуск и выполняемое как фоновый процесс, следящий за обновлением сертификата. Сервис поставляется только в форме уже собранного исполняемого файла, код не прилагается, т.е. предлагается запустить с правами root

    Нахрен такое счастье...

    Если нет альтернативного варианта с настройкой своего сервера вручную то такой сервис не нужен в принципе.

    > в Lets'Encrypt сертификат выдаётся на 3 месяца

    Тоже жесть.

     
     
  • 2.48, Аноним, 06:11, 16/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Почему жесть Ставишь по крону проверку на необходимость автопродления раз в нед... весь текст скрыт [показать] [показать ветку]
     
  • 1.47, dlazerka, 03:09, 16/06/2016 [ответить] [смотреть все]  
  • +/
    LetsEncrypt проверяет владение не доменом, а сервером, который отвечает по этому домену. Т.к. он проверяет файлик по урлу /.well-known/acme-challenge. Домен он бы проверял если бы проверял TXT запись в DNS.
     
     
  • 2.55, ., 23:55, 16/06/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    что в общем эквивалентно - если у тебя угнали сервер, у тебя гораздо более серье... весь текст скрыт [показать] [показать ветку]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor