The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Let's Encrypt обеспечит поддержку масок в сертификатах

06.07.2017 22:24

Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, анонсировал предоставление возможности использования сертификатов, охватывающих группу поддоменов по маске (например, *.example.com). Сертификаты с масками можно будет генерировать начиная с января 2018 года, в рамках ввода в эксплуатацию второй версии API ACME.

Для подтверждения доменов, для которых будут запрашиваться сертификаты с маской, первое время будет допустима только верификация через DNS, подтверждающая владение базовым доменом. В дальнейшем не исключена реализация и других методов верификации. Создатели Let's Encrypt надеются, что подобная возможность, часто упоминаемая в пожеланиях пользователей и заметно упрощающая работу при задействовании на сайте нескольких поддоменов, будет способствовать достижению цели проекта - 100% охват сайтов протоколом HTTPS (сейчас доля сайтов с HTTPS составляет 58%).

  1. Главная ссылка к новости (https://letsencrypt.org/2017/0...)
  2. OpenNews: Сервис Let's Encrypt преодолел рубеж в 100 млн сертификатов
  3. OpenNews: Доля обращений по HTTPS среди пользователей Firefox превысила 50%
  4. OpenNews: Корневой сертификат Let's Encrypt принят в список доверия Mozilla
  5. OpenNews: Некоммерческий удостоверяющий центр Let's Encrypt вышел из стадии бета-тестирования
  6. OpenNews: Comodo пытается завладеть брендом Let's Encrypt
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: letsencrypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (60) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, th3m3 (ok), 22:57, 06/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Отлично! Даёшь шифрование в массы!
     
  • 1.2, Гентушник (ok), 23:00, 06/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Очень нужная фича.
     
     
  • 2.36, Sw00p aka Jerom (?), 13:04, 07/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    давно бы валидацию через днс сделали бы с оговоркой over dnssec вот и простимулировалибы и защищённый днс
     
     
  • 3.42, h31 (ok), 17:11, 07/07/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > давно бы валидацию через днс сделали бы

    Эээ?
    https://serverfault.com/questions/750902/how-to-use-lets-encrypt-dns-challenge

     

  • 1.3, Аноним (-), 23:05, 06/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    годнота
     
  • 1.4, Аноним (-), 23:12, 06/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    отлично
     
  • 1.5, Мимоанон (?), 23:27, 06/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ох лол, так что же теперь всякие комодо теперь не нужны?
     
     
  • 2.10, sorrymak (ok), 00:23, 07/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Extended Validation Let's Encrypt не предоставляет (и вряд ли когда-то будет), поэтому — увы, но полностью заменить глобальные CA пока невозможно :-(.
     
     
  • 3.15, . (?), 05:46, 07/07/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Технически - не нужно :) А так - дураки должны платить, всё правильно.
     
  • 3.29, А (??), 10:09, 07/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А, кроме понта, зачем они нужны?

    Они держатся только на доверии к проверкам со стороны CA, а доверия уже давно нет, к тому же CA уже давно один другого скушали, осталось совсем немного, и они - уже потеряли доверие.

    Т.е. выписывать серт "с зеленой полосой" можно, конечно (смотрится симпатично в браузере), но реально все понимают, что полоса эта мало к безопасности добавляет.

     
     
  • 4.32, Аноним (-), 10:53, 07/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Реально если ваш SBOL сломали спецслужбы, то скорее всего вам лично ничего не грозит(кроме военных действий и краха экономики), а вот если это неизвестный друх из разряда высококвалифицированных воришек, ваши накопления могут прилично пострадать.
     
  • 4.35, Snaut (ok), 12:16, 07/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А, кроме понта, зачем они нужны?
    > Они держатся только на доверии к проверкам со стороны CA, а доверия
    > уже давно нет, к тому же CA уже давно один другого
    > скушали, осталось совсем немного, и они - уже потеряли доверие.
    > Т.е. выписывать серт "с зеленой полосой" можно, конечно (смотрится симпатично в браузере),
    > но реально все понимают, что полоса эта мало к безопасности добавляет.

    добавляет. при этом CA звонит доверенному лицу и спрашивает подтверждение того, что именно его организация подала запрос на генерацию сертификата

     
     
  • 5.38, Аноним (-), 14:32, 07/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А польза-то где?
     
     
  • 6.40, Snaut (ok), 15:18, 07/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А польза-то где?

    в больших организациях кто-то должен контролировать выдаваемые сертификаты, т.к. как правило сертификатов и систем очень много и сразу несколько человек имеют доступ до веб-интерфейса заказа сертификатов у CA. теоретически возможна ситуация, что кто-то из них выпустит сертификат для своих корыстных целей.

     
  • 4.49, Аноним (-), 18:37, 08/07/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А, кроме понта, зачем они нужны?

    Ты когда карточкой что-нибудь оплачиваешь, тебе не интересно знать, делаешь ты это на сайте банка или каком-то левом?

     
     
  • 5.55, Snaut (ok), 10:39, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> А, кроме понта, зачем они нужны?
    > Ты когда карточкой что-нибудь оплачиваешь, тебе не интересно знать, делаешь ты это
    > на сайте банка или каком-то левом?

    мало того, когда увольняется сотрудник, имевший доступ к закрытым ключам сертификатов - инициируется процесс перевыпуска всех сертификатов, к которым он имел доступ. Так делается у нас в банке.
    Копии закрытых ключей хранятся на ноутбуке, а ноутбук лежит в сейфе. доступ к которому осуществляется через начальника управления. И этот ноутбук не включается ни в какую сеть! т.е. работа на нем исключительно без сети!

     

  • 1.6, Аноним (-), 23:34, 06/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Эх и раздолье фишинговым сайтам будет…
     
     
  • 2.7, анонимус (??), 23:38, 06/07/2017 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Какая разница, фишинговый сайт или нет? Let's Encrypt просто даст возможность защищённого соединения с ним.
     
     
  • 3.8, Аноним (-), 23:40, 06/07/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Всякие хромоги к таким фишингам подписывают слово «Надёжный», простые пользователи ведутся на это :(
     
     
  • 4.9, Crazy Alex (ok), 00:06, 07/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Будут проблемы - подкрутят хромоги, делов-то.
     
  • 4.11, KonstantinB (ok), 00:30, 07/07/2017 [^] [^^] [^^^] [ответить]  
  • +19 +/
    Простые пользователи ведутся на все, что угодно.

    Был такой нашумевший фейковый антивирус для мака, mac defender вроде назывался. Самый обычный фейковый антивирус, только первый, кажется, для os x, и распространялся стандартыми средствами - веб-страничка с нарисованным интерфейсом ОС, вирус-алертами и большая кнопка "вылечить".

    Ну так вот, первое время распространители этой разводиловки даже не стали стараться рисовать интерфейс макоси. Даже для мака показывали нарисованный ранее интерфейс винды, с проводником, диском C:, обратными слешами и кнопкой "пуск", единственное отличие - что для макоси отдавали маковый бинарь. И что думаете? Полмиллиона установок за неделю.

    А вы говорите, в хроме там "надежный".

     
     
  • 5.25, Шкурка_от_головки (ok), 08:55, 07/07/2017 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Желательно ссылку приложить к этому словесному потоку
     
     
  • 6.28, qqq (??), 09:40, 07/07/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Достаточно набрать в google: mac defender fake

    https://support.apple.com/en-us/HT202225

    Страницу загрузки я думаю давно уже убили.
    Есть ещё wikipedia:

    https://en.wikipedia.org/wiki/Mac_Defender

     
  • 4.30, А (??), 10:11, 07/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Всякие хромоги к таким фишингам подписывают слово «Надёжный», простые пользователи
    > ведутся на это :(

    Ну это проблема 1) перевода (в английском - Secure, что немного другое значает), и 2) пользоваталей (которым надо голову включать, потому что никто за них не знает, что им надо - мало ли, может, юзер сам на online.sderbank.ru вместо online.sberbank.ru зашел?)

    В общем, не надо на больную голову валить. Тем более что и сейчас никто хацкерам не мешает купить домен (и серт на него) "sderbank.ru", причем хоть обычный, хоть wildcard.

     
     
  • 5.62, . (?), 08:05, 12/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Тем более что и сейчас никто хацкерам не мешает купить домен (и серт на него)
    > "sderbank.ru", причем хоть обычный, хоть wildcard.

    не мешает. А вот EV - помешает то, что при этом надо предъявлять правдоподобные документы (и чаще всего - на бумаге, никаких факсов), и читать их будет вполне себе такой настоящий нотариус - соответственно, еще никаких денег-паролей не сперев, ты уже вешаешь на себя статью о подделке документов, ну, или показываешь свои настоящие документы, в результате появляется невиртуальная жопа, за которую тебя могут взять.

    Происходит все это небыстро и неавтоматически, поэтому велик риск вообще не встретить на свободе письмо счастья с подтверждением выдачи сертификата. Проще у того лоха отжать мобилу (вместе со всеми банками-онлайн, хехехе)

     
  • 2.23, ryoken (ok), 07:37, 07/07/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Эх и раздолье фишинговым сайтам будет…

    let's Encrypt это про сертификат. Про защиту от фишинга не к ним. Там голова поди нужна :D.

     

  • 1.12, grsec (ok), 00:55, 07/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А как с геодоменами?
     
     
  • 2.13, h31 (ok), 03:29, 07/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Геодомены - в смысле company.ru и company.de?
    Их ограниченное количество и меняются они нечасто, так что можно прописать их в subjectAltName. Я думаю, wildcard в такой ситуации вообще вряд ли поможет - было бы очень странно, если бы стандарт X.509 позволял бы указывать шаблон вида company.*.
     
     
  • 3.16, . (?), 05:49, 07/07/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >... можно прописать их в subjectAltName

    А разве LE понимает SAN-ы?!?!? 8-о

     
     
  • 4.19, Ilya Indigo (ok), 06:25, 07/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Причём тут вообще LE?
    Их Ваш openSSL "понимать", а точнее поддерживать должен.
     
  • 4.21, Аноним (-), 07:09, 07/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Внезапно https://community.letsencrypt.org/t/frequently-asked-questions-faq/26
     
     
  • 5.43, _ (??), 17:41, 07/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, спс., проспал :)
     
  • 3.17, Аноним (-), 06:18, 07/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    геодомены в смысле msk.ru, spb.ru
     
     
  • 4.22, ssh (ok), 07:13, 07/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > геодомены в смысле msk.ru, spb.ru

    Имхо, проблемы быть не должно, так как вебсерверы обслуживающие @.msk.ru и my.msk.ru могут быть разными, а следовательно использовать разные пары ключ/сертификат.

     
  • 4.34, Аноним (-), 11:07, 07/07/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > геодомены в смысле msk.ru, spb.ru

    Если владелец msk.ru подписал себе *.msk.ru, то это уже вопрос к разместившему там поддомен, зачем ему такие риски...


    p.s. и да на хостинге можно из гипервизора подписать все крутящиеся на сервере домены на себя, но это уже проблема другого уровня правда?

     
  • 3.18, . (?), 06:20, 07/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >... можно прописать их в subjectAltName

    А разве LE понимает SAN-ы?!?!? 8-о

     
     
  • 4.37, Sw00p aka Jerom (?), 13:07, 07/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А разве LE понимает SAN-ы?!?!? 8-о

    коментом выше дали ссылочку на фаг

    Can I get a certificate for multiple domain names (SAN certificates)?

    Yes, the same certificate can apply to up to 100 different names using the Subject Alternative Name (SAN) mechanism. The resulting certificates will be accepted by browsers for any of the domain names listed in them.


     

  • 1.14, Какаянахренразница (ok), 05:19, 07/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И увидел б-г, что это хорошо.
     
  • 1.20, Ilya Indigo (ok), 06:38, 07/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Отличная новость!
    Даже не смотря на то, что мне оно и не нужно.
    Мне бы вот это https://community.letsencrypt.org/t/ed25519-with-poly1305-chacha20-support-in- пригодилось, в любом случае, уверен, что LE это реализует раньше остальных CA.
     
  • 1.27, Аноним (-), 09:09, 07/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    мне эта хрень с форсингом хттпс не нравится тем, что серт отзывать может не только вледелец домена, но и другая сторона. в будущем, когда браузеры перестанут работать с хттп, т.н. корпорации бобра могут воспользоваться этим положением для борьбы с неугодными.
     
     
  • 2.33, Гость (??), 11:04, 07/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Все верно, еще каких-нибудь 10-15 лет и приплыли. Как и бесконечный форсинг ipv6. Очевидно, чекистам нужен контроль за каждой вашей кофеваркой, другого применения ему нету.
     
  • 2.47, Аноним (-), 00:30, 08/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Будет несколько ЦА в разных странах.
     
  • 2.52, XoRe (ok), 21:01, 09/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > мне эта хрень с форсингом хттпс не нравится тем, что серт отзывать
    > может не только вледелец домена, но и другая сторона.

    Если для вас это так важно, используйте свой CA, его никто не сможет отозвать.

     
     
  • 3.59, . (?), 17:03, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Если для вас это так важно, используйте свой CA, его никто не
    > сможет отозвать.

    к сожалению, мой тикет все еще 'INVALID'.
    https://bugzilla.mozilla.org/show_bug.cgi?id=647959
    - может, переоткроете? Правда, кто будет платить webtrust.org ? (очаровательной организации, неспособной настроить сайт на собственном корневом домене, но подписанной проверять профпригодность всех остальных, ага)

    (надеюсь, очевидно, почему использовать self-signed - плохая, никуда не годная идея? )

     
     
  • 4.63, XoRe (ok), 18:29, 17/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > (надеюсь, очевидно, почему использовать self-signed - плохая, никуда не годная идея? )

    Честно говоря, нет. Я про случай, когда вам одному нужно ходить на свои ресурсы.

     

  • 1.31, Аноним (-), 10:46, 07/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Хорошее начало, теперь подумай кому выгодно утянуть в летц энкрипт клиентов других ЦА.
     
  • 1.41, Аноним (-), 15:34, 07/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Народ, кто каким альтернативным клиентом Let's Encrypt пользуется? Опишите, каким и почему именно он.
     
     
  • 2.44, Ergil (ok), 18:14, 07/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    https://github.com/hlandau/acme
    Перебрал методично все альтернативные клиенты, что были представлены ссылками на сайте LE, этот понравился больше всех и удобством, и гибкостью настройки. Использую у себя и у всех клиентов.
     
  • 2.45, le9i0nx (?), 19:54, 07/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://github.com/lukas2511/dehydrated
    главная фича это то что это чистый sh

     
     
  • 3.51, Аноним (-), 08:03, 09/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > https://github.com/lukas2511/dehydrated
    > главная фича это то что это чистый sh

    А что про этот скажите?
    https://github.com/Neilpang/acme.sh

     

  • 1.46, Умная Маша (?), 20:11, 07/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это всё хорошо и радостно. Зажравшихся CA давно пора было прищемить. И скоро 90% интернетов будет работать на сертификатах Let's Encrypt. И опять все яйца будут в одной кошёлке. Когда ж это кончится, а?
     
     
  • 2.48, оаоатмо (?), 11:52, 08/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    когда le наебнётся и все перейдут на namecoin
     
     
  • 3.50, Ergil (ok), 01:44, 09/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    То есть никогда. Так и запишем.
     

  • 1.53, Аноним (-), 21:22, 09/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Моё мнение, закрытые ключи уже давно у АНБ, если вообще не они генерировали эти самые ключи. Доверия к let's encrypt ноль.
     
     
  • 2.54, Crazy Alex (ok), 22:08, 09/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Во-первых, подобное можно вообще про любой CA сказать, здесь отличие только в бесплатности и автоматизации (читай - отсутствии мороки).

    Во-вторых - и что? На один случай, когда прятаться надо от спецслужб сотни тысяч - когда прятаться надо от обычного ворья.

    В-третьих - если у тебя с АНБ проблемы в любом случае надо что-то покруче, чем стандартное браузерное шифрование.

     
     
  • 3.58, . (?), 16:51, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Во-первых, подобное можно вообще про любой CA

    очевидно, про wosign - нельзя, китайские спецслужбы оказались явно достаточно компетентны, чтобы не пускать конкурентов.
    (а комода, помнится, жила/живет в GB?) У US, внезапно, нет эксклюзивного права на создание CA.

    > Во-вторых - и что? На один случай, когда прятаться надо от спецслужб сотни тысяч - когда
    > прятаться надо от обычного ворья.

    от обычного ворья очень плохо прятаться за скриптованной системой, хранящей ключи в открытом виде прямо на сервере и подтверждающей владение тупым автоматическим запросом - для обычного ворья как раз гораздо проще и понятнее получение физического доступа к серверу/взлом/кража домена, чем встраивание в магистральные каналы операторов. Угадайте, для кого как раз обычнее и доступнее - второе?

    > В-третьих - если у тебя с АНБ проблемы

    у тебя могут быть проблемы не с самой АНБ, а с вшивым мексом-аутсорсером в фирме-контрактере фирмы-аусторсера АНБ, по совместительству работающим на местную банду. Ну или все то же самое - с ФСБ, и не мекс, а узбек, и не аутсорсер, а бандит под "крышей" (или кто-то, оплативший его услугу).

    Напоминаю, что наш друг Сноуден примерно таким и являлся (только работал не на местную банду, а на ФСБ. Ну или "и на ФСБ - тоже подрабатывал").

     
  • 2.56, Snaut (ok), 15:41, 10/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Моё мнение, закрытые ключи уже давно у АНБ, если вообще не они
    > генерировали эти самые ключи. Доверия к let's encrypt ноль.

    вы процедуру выпуска сертификатов вообще знаете? закрытые ключи генерируются исключительно по время генерации запроса на выдачу сертификата и хранится он только и исключительно у владельца того, кто генерирует запрос на выпуск сертификата.

    не нужно выдумать того, в чем вы не разбираетесь

     
     
  • 3.57, анон (?), 02:49, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Да вы похоже тоже так себе эксперт. Речь идет о ключе которым подписан корневой сертификат. Такой ключ позволяет выпустить любую цепочку.
     
     
  • 4.60, Snaut (ok), 17:06, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Да вы похоже тоже так себе эксперт. Речь идет о ключе которым
    > подписан корневой сертификат. Такой ключ позволяет выпустить любую цепочку.

    есть более простые способы, просто свой CA сертификат распространить через windows обновление (обновления доверенных корневых сертификатов). Нафиг АНБ геморрой с закрытыми ключами, доступ до чего-то получать. будьте проще.

    и выписывай хоть любой сертификат

     
  • 2.61, KonstantinB (ok), 21:53, 11/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    У АНБ точно так же могут быть ключи и от Verisign, Thawte и прочих комод. А если нет разницы, зачем платить больше?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру