The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

06.07.2017 22:24  Let's Encrypt обеспечит поддержку масок в сертификатах

Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, анонсировал предоставление возможности использования сертификатов, охватывающих группу поддоменов по маске (например, *.example.com). Сертификаты с масками можно будет генерировать начиная с января 2018 года, в рамках ввода в эксплуатацию второй версии API ACME.

Для подтверждения доменов, для которых будут запрашиваться сертификаты с маской, первое время будет допустима только верификация через DNS, подтверждающая владение базовым доменом. В дальнейшем не исключена реализация и других методов верификации. Создатели Let's Encrypt надеются, что подобная возможность, часто упоминаемая в пожеланиях пользователей и заметно упрощающая работу при задействовании на сайте нескольких поддоменов, будет способствовать достижению цели проекта - 100% охват сайтов протоколом HTTPS (сейчас доля сайтов с HTTPS составляет 58%).

  1. Главная ссылка к новости (https://letsencrypt.org/2017/0...)
  2. OpenNews: Сервис Let's Encrypt преодолел рубеж в 100 млн сертификатов
  3. OpenNews: Доля обращений по HTTPS среди пользователей Firefox превысила 50%
  4. OpenNews: Корневой сертификат Let's Encrypt принят в список доверия Mozilla
  5. OpenNews: Некоммерческий удостоверяющий центр Let's Encrypt вышел из стадии бета-тестирования
  6. OpenNews: Comodo пытается завладеть брендом Let's Encrypt
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: letsencrypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, th3m3 (ok), 22:57, 06/07/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +10 +/
    Отлично! Даёшь шифрование в массы!
     
  • 1.2, Гентушник (ok), 23:00, 06/07/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +2 +/
    Очень нужная фича.
     
     
  • 2.36, Sw00p aka Jerom (?), 13:04, 07/07/2017 [^] [ответить]    [к модератору]
  • +/
    давно бы валидацию через днс сделали бы с оговоркой over dnssec вот и простимулировалибы и защищённый днс
     
     
  • 3.42, h31 (ok), 17:11, 07/07/2017 [^] [ответить]    [к модератору]
  • +3 +/
    > давно бы валидацию через днс сделали бы

    Эээ?
    https://serverfault.com/questions/750902/how-to-use-lets-encrypt-dns-challenge

     
  • 1.3, Аноним (-), 23:05, 06/07/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    годнота
     
  • 1.4, Аноним (-), 23:12, 06/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    отлично
     
  • 1.5, Мимоанон (?), 23:27, 06/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    ох лол, так что же теперь всякие комодо теперь не нужны?
     
     
  • 2.10, sorrymak (ok), 00:23, 07/07/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Extended Validation Let's Encrypt не предоставляет (и вряд ли когда-то будет), поэтому — увы, но полностью заменить глобальные CA пока невозможно :-(.
     
     
  • 3.15, . (?), 05:46, 07/07/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    Технически - не нужно :) А так - дураки должны платить, всё правильно.
     
  • 3.29, А (??), 10:09, 07/07/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    А, кроме понта, зачем они нужны Они держатся только на доверии к проверкам со с... весь текст скрыт [показать]
     
     
  • 4.32, Аноним (-), 10:53, 07/07/2017 [^] [ответить]     [к модератору]  
  • +/
    Реально если ваш SBOL сломали спецслужбы, то скорее всего вам лично ничего не гр... весь текст скрыт [показать]
     
  • 4.35, Snaut (ok), 12:16, 07/07/2017 [^] [ответить]     [к модератору]  
  • +/
    добавляет при этом CA звонит доверенному лицу и спрашивает подтверждение того, ... весь текст скрыт [показать]
     
     
  • 5.38, Аноним (-), 14:32, 07/07/2017 [^] [ответить]    [к модератору]  
  • +/
    А польза-то где?
     
     
  • 6.40, Snaut (ok), 15:18, 07/07/2017 [^] [ответить]     [к модератору]  
  • +/
    в больших организациях кто-то должен контролировать выдаваемые сертификаты, т к ... весь текст скрыт [показать]
     
  • 4.49, Аноним (-), 18:37, 08/07/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    > А, кроме понта, зачем они нужны?

    Ты когда карточкой что-нибудь оплачиваешь, тебе не интересно знать, делаешь ты это на сайте банка или каком-то левом?

     
     
  • 5.55, Snaut (ok), 10:39, 10/07/2017 [^] [ответить]     [к модератору]  
  • +/
    мало того, когда увольняется сотрудник, имевший доступ к закрытым ключам сертифи... весь текст скрыт [показать]
     
  • 1.6, Аноним (-), 23:34, 06/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    Эх и раздолье фишинговым сайтам будет…
     
     
  • 2.7, анонимус (??), 23:38, 06/07/2017 [^] [ответить]    [к модератору]  
  • +8 +/
    Какая разница, фишинговый сайт или нет? Let's Encrypt просто даст возможность защищённого соединения с ним.
     
     
  • 3.8, Аноним (-), 23:40, 06/07/2017 [^] [ответить]    [к модератору]  
  • –4 +/
    Всякие хромоги к таким фишингам подписывают слово «Надёжный», простые пользователи ведутся на это :(
     
     
  • 4.9, Crazy Alex (ok), 00:06, 07/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Будут проблемы - подкрутят хромоги, делов-то.
     
  • 4.11, KonstantinB (ok), 00:30, 07/07/2017 [^] [ответить]    [к модератору]  
  • +19 +/
    Простые пользователи ведутся на все, что угодно.

    Был такой нашумевший фейковый антивирус для мака, mac defender вроде назывался. Самый обычный фейковый антивирус, только первый, кажется, для os x, и распространялся стандартыми средствами - веб-страничка с нарисованным интерфейсом ОС, вирус-алертами и большая кнопка "вылечить".

    Ну так вот, первое время распространители этой разводиловки даже не стали стараться рисовать интерфейс макоси. Даже для мака показывали нарисованный ранее интерфейс винды, с проводником, диском C:, обратными слешами и кнопкой "пуск", единственное отличие - что для макоси отдавали маковый бинарь. И что думаете? Полмиллиона установок за неделю.

    А вы говорите, в хроме там "надежный".

     
     
  • 5.25, Шкурка_от_головки (ok), 08:55, 07/07/2017 [^] [ответить]    [к модератору]  
  • –7 +/
    Желательно ссылку приложить к этому словесному потоку
     
     
  • 6.28, qqq (??), 09:40, 07/07/2017 [^] [ответить]     [к модератору]  
  • +4 +/
    Достаточно набрать в google mac defender fake https support apple com en-us H... весь текст скрыт [показать]
     
  • 4.30, А (??), 10:11, 07/07/2017 [^] [ответить]     [к модератору]  
  • +/
    Ну это проблема 1 перевода в английском - Secure, что немного другое значает ,... весь текст скрыт [показать]
     
     
  • 5.62, . (?), 08:05, 12/07/2017 [^] [ответить]     [к модератору]  
  • +/
    не мешает А вот EV - помешает то, что при этом надо предъявлять правдоподобные ... весь текст скрыт [показать]
     
  • 2.23, ryoken (ok), 07:37, 07/07/2017 [^] [ответить]    [к модератору]  
  • +5 +/
    > Эх и раздолье фишинговым сайтам будет…

    let's Encrypt это про сертификат. Про защиту от фишинга не к ним. Там голова поди нужна :D.

     
  • 1.12, grsec (ok), 00:55, 07/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А как с геодоменами?
     
     
  • 2.13, h31 (ok), 03:29, 07/07/2017 [^] [ответить]     [к модератору]  
  • +/
    Геодомены - в смысле company ru и company de Их ограниченное количество и меняю... весь текст скрыт [показать]
     
     
  • 3.16, . (?), 05:49, 07/07/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    >... можно прописать их в subjectAltName

    А разве LE понимает SAN-ы?!?!? 8-о

     
     
  • 4.19, Ilya Indigo (ok), 06:25, 07/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Причём тут вообще LE?
    Их Ваш openSSL "понимать", а точнее поддерживать должен.
     
  • 4.21, Аноним (-), 07:09, 07/07/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Внезапно https://community.letsencrypt.org/t/frequently-asked-questions-faq/26
     
     
  • 5.43, _ (??), 17:41, 07/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Ага, спс., проспал :)
     
  • 3.17, Аноним (-), 06:18, 07/07/2017 [^] [ответить]    [к модератору]  
  • +/
    геодомены в смысле msk.ru, spb.ru
     
     
  • 4.22, ssh (ok), 07:13, 07/07/2017 [^] [ответить]     [к модератору]  
  • +/
    Имхо, проблемы быть не должно, так как вебсерверы обслуживающие msk ru и my ms... весь текст скрыт [показать]
     
  • 4.34, Аноним (-), 11:07, 07/07/2017 [^] [ответить]     [к модератору]  
  • +3 +/
    Если владелец msk ru подписал себе msk ru, то это уже вопрос к разместившему т... весь текст скрыт [показать]
     
  • 3.18, . (?), 06:20, 07/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    >... можно прописать их в subjectAltName

    А разве LE понимает SAN-ы?!?!? 8-о

     
     
  • 4.37, Sw00p aka Jerom (?), 13:07, 07/07/2017 [^] [ответить]     [к модератору]  
  • +/
    коментом выше дали ссылочку на фаг Can I get a certificate for multiple domain n... весь текст скрыт [показать]
     
  • 1.14, Какаянахренразница (ok), 05:19, 07/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    И увидел б-г, что это хорошо.
     
  • 1.20, Ilya Indigo (ok), 06:38, 07/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Отличная новость!
    Даже не смотря на то, что мне оно и не нужно.
    Мне бы вот это https://community.letsencrypt.org/t/ed25519-with-poly1305-chacha20-support-in- пригодилось, в любом случае, уверен, что LE это реализует раньше остальных CA.
     
  • 1.27, Аноним (-), 09:09, 07/07/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • +3 +/
    мне эта хрень с форсингом хттпс не нравится тем, что серт отзывать может не толь... весь текст скрыт [показать]
     
     
  • 2.33, Гость (??), 11:04, 07/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Все верно, еще каких-нибудь 10-15 лет и приплыли. Как и бесконечный форсинг ipv6. Очевидно, чекистам нужен контроль за каждой вашей кофеваркой, другого применения ему нету.
     
  • 2.47, Аноним (-), 00:30, 08/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Будет несколько ЦА в разных странах.
     
  • 2.52, XoRe (ok), 21:01, 09/07/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Если для вас это так важно, используйте свой CA, его никто не сможет отозвать ... весь текст скрыт [показать]
     
     
  • 3.59, . (?), 17:03, 11/07/2017 [^] [ответить]    [к модератору]  
  • +/
    > Если для вас это так важно, используйте свой CA, его никто не
    > сможет отозвать.

    к сожалению, мой тикет все еще 'INVALID'.
    https://bugzilla.mozilla.org/show_bug.cgi?id=647959
    - может, переоткроете? Правда, кто будет платить webtrust.org ? (очаровательной организации, неспособной настроить сайт на собственном корневом домене, но подписанной проверять профпригодность всех остальных, ага)

    (надеюсь, очевидно, почему использовать self-signed - плохая, никуда не годная идея? )

     
     
  • 4.63, XoRe (ok), 18:29, 17/07/2017 [^] [ответить]    [к модератору]  
  • +/
    > (надеюсь, очевидно, почему использовать self-signed - плохая, никуда не годная идея? )

    Честно говоря, нет. Я про случай, когда вам одному нужно ходить на свои ресурсы.

     
  • 1.31, Аноним (-), 10:46, 07/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Хорошее начало, теперь подумай кому выгодно утянуть в летц энкрипт клиентов других ЦА.
     
  • 1.41, Аноним (-), 15:34, 07/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Народ, кто каким альтернативным клиентом Let's Encrypt пользуется? Опишите, каким и почему именно он.
     
     
  • 2.44, Ergil (ok), 18:14, 07/07/2017 [^] [ответить]    [к модератору]  
  • +/
    https://github.com/hlandau/acme
    Перебрал методично все альтернативные клиенты, что были представлены ссылками на сайте LE, этот понравился больше всех и удобством, и гибкостью настройки. Использую у себя и у всех клиентов.
     
  • 2.45, le9i0nx (?), 19:54, 07/07/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    https://github.com/lukas2511/dehydrated
    главная фича это то что это чистый sh

     
     
  • 3.51, Аноним (-), 08:03, 09/07/2017 [^] [ответить]    [к модератору]  
  • +/
    > https://github.com/lukas2511/dehydrated
    > главная фича это то что это чистый sh

    А что про этот скажите?
    https://github.com/Neilpang/acme.sh

     
  • 1.46, Умная Маша (?), 20:11, 07/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Это всё хорошо и радостно. Зажравшихся CA давно пора было прищемить. И скоро 90% интернетов будет работать на сертификатах Let's Encrypt. И опять все яйца будут в одной кошёлке. Когда ж это кончится, а?
     
     
  • 2.48, оаоатмо (?), 11:52, 08/07/2017 [^] [ответить]    [к модератору]  
  • +/
    когда le наебнётся и все перейдут на namecoin
     
     
  • 3.50, Ergil (ok), 01:44, 09/07/2017 [^] [ответить]    [к модератору]  
  • +/
    То есть никогда. Так и запишем.
     
  • 1.53, Аноним (-), 21:22, 09/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Моё мнение, закрытые ключи уже давно у АНБ, если вообще не они генерировали эти самые ключи. Доверия к let's encrypt ноль.
     
     
  • 2.54, Crazy Alex (ok), 22:08, 09/07/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Во-первых, подобное можно вообще про любой CA сказать, здесь отличие только в бесплатности и автоматизации (читай - отсутствии мороки).

    Во-вторых - и что? На один случай, когда прятаться надо от спецслужб сотни тысяч - когда прятаться надо от обычного ворья.

    В-третьих - если у тебя с АНБ проблемы в любом случае надо что-то покруче, чем стандартное браузерное шифрование.

     
     
  • 3.58, . (?), 16:51, 11/07/2017 [^] [ответить]    [к модератору]  
  • +/
    > Во-первых, подобное можно вообще про любой CA

    очевидно, про wosign - нельзя, китайские спецслужбы оказались явно достаточно компетентны, чтобы не пускать конкурентов.
    (а комода, помнится, жила/живет в GB?) У US, внезапно, нет эксклюзивного права на создание CA.

    > Во-вторых - и что? На один случай, когда прятаться надо от спецслужб сотни тысяч - когда
    > прятаться надо от обычного ворья.

    от обычного ворья очень плохо прятаться за скриптованной системой, хранящей ключи в открытом виде прямо на сервере и подтверждающей владение тупым автоматическим запросом - для обычного ворья как раз гораздо проще и понятнее получение физического доступа к серверу/взлом/кража домена, чем встраивание в магистральные каналы операторов. Угадайте, для кого как раз обычнее и доступнее - второе?

    > В-третьих - если у тебя с АНБ проблемы

    у тебя могут быть проблемы не с самой АНБ, а с вшивым мексом-аутсорсером в фирме-контрактере фирмы-аусторсера АНБ, по совместительству работающим на местную банду. Ну или все то же самое - с ФСБ, и не мекс, а узбек, и не аутсорсер, а бандит под "крышей" (или кто-то, оплативший его услугу).

    Напоминаю, что наш друг Сноуден примерно таким и являлся (только работал не на местную банду, а на ФСБ. Ну или "и на ФСБ - тоже подрабатывал").

     
  • 2.56, Snaut (ok), 15:41, 10/07/2017 [^] [ответить]    [к модератору]  
  • +/
    > Моё мнение, закрытые ключи уже давно у АНБ, если вообще не они
    > генерировали эти самые ключи. Доверия к let's encrypt ноль.

    вы процедуру выпуска сертификатов вообще знаете? закрытые ключи генерируются исключительно по время генерации запроса на выдачу сертификата и хранится он только и исключительно у владельца того, кто генерирует запрос на выпуск сертификата.

    не нужно выдумать того, в чем вы не разбираетесь

     
     
  • 3.57, анон (?), 02:49, 11/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Да вы похоже тоже так себе эксперт. Речь идет о ключе которым подписан корневой сертификат. Такой ключ позволяет выпустить любую цепочку.
     
     
  • 4.60, Snaut (ok), 17:06, 11/07/2017 [^] [ответить]    [к модератору]  
  • +/
    > Да вы похоже тоже так себе эксперт. Речь идет о ключе которым
    > подписан корневой сертификат. Такой ключ позволяет выпустить любую цепочку.

    есть более простые способы, просто свой CA сертификат распространить через windows обновление (обновления доверенных корневых сертификатов). Нафиг АНБ геморрой с закрытыми ключами, доступ до чего-то получать. будьте проще.

    и выписывай хоть любой сертификат

     
  • 2.61, KonstantinB (ok), 21:53, 11/07/2017 [^] [ответить]    [к модератору]  
  • +/
    У АНБ точно так же могут быть ключи и от Verisign, Thawte и прочих комод. А если нет разницы, зачем платить больше?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor