The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

17.10.2017 21:31  Проект Let's Encrypt представил модуль для http-сервера Apache

Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, представил выпуск mod_md 1.0, модуля к http-серверу Apache для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment).

При помощи mod_md можно упростить процесс сопровождения сертификатов на серверах с большим числом сайтов или в системах массового хостинга. При наличии mod_md пользователям не нужно заботиться об обновлении сертификатов, модуль сам получит необходимые сертификаты в сервисе Let’s Encrypt при первом запуске, организует их загрузку в mod_ssl (указание директив SSLCertificate* не требуется) и периодически будет обновлять сертификаты при приближении к истечению срока действия.

Модуль mod_md уже принят в экспериментальную ветку Apache httpd и запланирован к бэкпортированию в стабильную ветку 2.4.x. Из нововведений экспериментальной ветки httpd также отмечается новая директива SSLPolicy, упрощающая корректную настройку параметров TLS, благодаря выбору готовых типовых настроек вместо перечисления списка допустимых шифров. Предложено три базовых режима: modern - включение только самых передовых шифров, поддерживаемых в современных браузерах; intermediate - возможность отката на не самые современные, но не устаревшие шифры для старых клиентов; old - возможность использования устаревших шифров для таких систем, как Windows XP/Internet Explorer 6.

  1. Главная ссылка к новости (https://letsencrypt.org//2017/...)
  2. OpenNews: Компания Mozilla распределила 539 тысяч долларов на гранты открытым проектам
  3. OpenNews: Let's Encrypt обеспечит поддержку масок в сертификатах
  4. OpenNews: Некоммерческий удостоверяющий центр Let's Encrypt начал выдачу сертификатов всем желающим
  5. OpenNews: Доля обращений по HTTPS среди пользователей Firefox превысила 50%
  6. OpenNews: Сервис Let's Encrypt преодолел рубеж в 100 млн сертификатов
Лицензия: CC-BY
Тип: Программы
Ключевые слова: acme, apache, letsencrypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 21:53, 17/10/2017 [ответить] [смотреть все]
  • +10 +/
    > mod_md

    Чтобы никто не догадался?

     
     
  • 2.2, eRIC, 22:02, 17/10/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +4 +/
    ага, могли бы mod_acme или mod_letsencrypt назвать ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.7, Аноним, 22:57, 17/10/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    https://github.com/icing/mod_md/issues/46
     
  • 2.3, ZimniY, 22:03, 17/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +13 +/
    mod_mod будет загадочнее
     
  • 2.5, ., 22:42, 17/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    ManagedDomain Чтобы тоже никто не догадался ... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, Уборщица, 22:16, 17/10/2017 [ответить] [смотреть все]  
  • +4 +/
    mod_markdown? лил
     
  • 1.8, A, 23:00, 17/10/2017 [ответить] [смотреть все]  
  • –2 +/
    Может для Nginx такое не просто появится, но и в поставку войдет? Наконец Symantec и компания зачешутся!
     
     
  • 2.13, Аноним, 01:40, 18/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Ну для nginx уже давно есть. Правда довольно муторно для настройки.
     
     
  • 3.16, istepan, 07:32, 18/10/2017 [^] [ответить] [смотреть все]  
  • +/
    certbot не сложен в настройке. Там на симлинках все.
     
  • 1.10, Онаним, 00:35, 18/10/2017 [ответить] [смотреть все]  
  • –19 +/
    Неужели Апачем до сих пор кто-то пользуется на продакшн-серверах?
     
     
  • 2.11, Олег Михайлович Сиденко, 01:22, 18/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +8 +/
    Ещё как! Покуда это единственный сервер в котором программисты могут сами себе реврайтить и пхп конфиги менять он будет жить.
     
     
  • 3.12, SSHServerNode.jsGolangElixir..., 01:29, 18/10/2017 [^] [ответить] [смотреть все]  
  • –10 +/
    Неужели ПХП до сих пор кто-то пользуется на продакшн-серверах?
     
     
  • 4.14, Аноним, 06:05, 18/10/2017 [^] [ответить] [смотреть все]  
  • +/
    social network
     
  • 4.15, Аноним, 07:25, 18/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Facebook, vk и куча овна на wordpress'е
     
     
  • 5.18, Онаним, 08:44, 18/10/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    И чё, Facebook и vk гоняют PHP через Apache А WordPress - это не продакшн, 99 ... весь текст скрыт [показать]
     
     
  • 6.45, _, 17:07, 18/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Да где ты видел чтоб софт юзали для того, для чего он делался - Зайди на любо... весь текст скрыт [показать]
     
     
  • 7.66, пох, 13:58, 19/10/2017 [^] [ответить] [смотреть все]  
  • +/
    это если открывается А если вместо магазина какая-то херь про b_cache_tag - м... весь текст скрыт [показать]
     
  • 6.63, SSHServerNode.jsGolangElixir..., 23:17, 18/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Facebook, Wikipedia и WordPress гоняют через HHVM
     
  • 5.33, Аноним, 13:23, 18/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Вот я прям как жопой чувствовал, что Facebook и vk на wordpress е работают ... весь текст скрыт [показать]
     
  • 4.17, istepan, 07:34, 18/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Пых слишком хорош, чтоб о нем так просто забыли Альтернативы Их нет ... весь текст скрыт [показать]
     
     
  • 5.19, Вадик, 09:19, 18/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Плагины текут у него безбожно. Хоть бы кто и valgrind'ом прогнал бы...
     
  • 5.21, лютый жабист__, 09:24, 18/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Во и стену Весь хайлоад крутится на пыхе апач Ещё тарантуул и вообще выходит н... весь текст скрыт [показать]
     
     
  • 6.47, _, 17:56, 18/10/2017 [^] [ответить] [смотреть все]  
  • +/
    На весь хайлоад работает менее 1 всех ЫненеГров Вот к примеру ты - не работаеш... весь текст скрыт [показать]
     
     
  • 7.72, лютый жабист__, 07:33, 20/10/2017 [^] [ответить] [смотреть все]  
  • +/
    >На весь хайлоад работает менее 1% всех ЫненеГров

    Плох тот инженегр, который не хочет спать с генералом ;)

    Вообще, я больше по backend. И ЗП у меня несколько выше, чем у пыхеров. В остальном да, разницы никакой, ггг.

     
  • 2.20, Аноним, 09:23, 18/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    Ну, если говорить о продакшн серверах, то нгинкс там не более чем фронтенд А ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.22, Аноним, 09:42, 18/10/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Он ещё и терминирует https ssl , так-что смысл в модуле в apache более сомнителе... весь текст скрыт [показать]
     
     
  • 4.23, пох, 10:12, 18/10/2017 [^] [ответить] [смотреть все]  
  • –5 +/
    сейчас модно внутренний траффик тоже пускать overssl и непременно http 2, чтоб в... весь текст скрыт [показать]
     
     
  • 5.49, _, 18:00, 18/10/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    пох, ты закусывай - середина недели же Сайтикам ssl нужен потому что без него г... весь текст скрыт [показать]
     
     
  • 6.54, пох, 19:01, 18/10/2017 [^] [ответить] [смотреть все]  
  • +/
    да лана, не читай вместо завтрака опеннетовские комменты,пока ничего не предвеща... весь текст скрыт [показать]
     
  • 1.24, Ilya Indigo, 10:53, 18/10/2017 [ответить] [смотреть все]  
  • +2 +/
    Не то что прямо уж сильно нужно, но не помешает Название конечно , Чем их назв... весь текст скрыт [показать]
     
     
  • 2.25, Аноним, 11:11, 18/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    я в твоей схеме не понимаю, что помешает злоумышленнику, получившему контроль на... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.26, Ilya Indigo, 11:22, 18/10/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    Если у Вас угнали доступы к DNS, то тут уже ничего Вам не поможет, кроме их восс... весь текст скрыт [показать]
     
     
  • 4.28, КО, 12:13, 18/10/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    У клиента же Речь про то, что сертификат это способ проверки того, куда направл... весь текст скрыт [показать]
     
     
  • 5.29, Ilya Indigo, 12:23, 18/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Не совсем удачный вы выбрали ник Куда в A или AAAA записях будет прописано, туд... весь текст скрыт [показать]
     
     
  • 6.58, angra, 21:04, 18/10/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Злоумышленник подсовывает _конкретному клиенту_ свои записи DNS, вместо твоих И... весь текст скрыт [показать]
     
     
  • 7.60, Ilya Indigo, 22:00, 18/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Благодарю! Понял.
     
  • 5.32, Аноним, 12:49, 18/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Сертификат DV не является средством проверки DNS Его выдача при любой схеме так... весь текст скрыт [показать]
     
     
  • 6.38, Ilya Indigo, 14:53, 18/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Я никогда не использовал EV-сертификаты, но полагаю, что от этого и они тоже не ... весь текст скрыт [показать]
     
     
  • 7.40, Аноним, 15:16, 18/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Ну это уже другая история Можно сказать, что никакие сертификаты ни от чего не ... весь текст скрыт [показать]
     
  • 6.73, КО, 08:59, 21/10/2017 [^] [ответить] [смотреть все]  
  • +/
    >Сертификат DV не является средством проверки DNS

    и
    >>куда направляет DNS сервер

    это не одно и то же.

    Хотспот в кафе может вместо 8.8.8.8 (подставьте любой адрес) направлять куда ему вздумается. И там www.вашлюбимыйбанк.com могут отресолвить в то, что им угодно.
    Но для получения валидного сертификата этого не достаточно. Надо еще то же провернуть с доверенным центром сертификации.

     
  • 3.30, пох, 12:35, 18/10/2017 [^] [ответить] [смотреть все]  
  • –7 +/
    да тут пичаль полная - клиент безнадежен, даже со второго раза до него не доходи... весь текст скрыт [показать]
     
  • 2.31, Аноним, 12:43, 18/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    DANE уже давно придумали Но у него есть два недостатка во-первых, он имеет смы... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.34, пох, 13:35, 18/10/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    он даже при повсеместном не имеет никакого смысла, потому что мы просто вернем ю... весь текст скрыт [показать]
     
  • 3.36, Ilya Indigo, 14:45, 18/10/2017 [^] [ответить] [смотреть все]  
  • +/
    DANE - это совсем другое, это механизм аутентификации, а не валидации ... весь текст скрыт [показать]
     
     
  • 4.39, Аноним, 15:12, 18/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Зато в нём нет лишних сущностей, коей является УЦ.
     
  • 2.44, XoRe, 16:53, 18/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Провайдера клиента Провайдер может и DNS записи подменить и трафик до сайта спр... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.46, Ilya Indigo, 17:29, 18/10/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    И как же эту величественную проблему решает классическая схема с УЦ ... весь текст скрыт [показать]
     
     
  • 4.48, XoRe, 17:58, 18/10/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    За счет списка доверенных УЦ на клиенте Сертификат УЦ лежит на клиенте, клиент ... весь текст скрыт [показать]
     
     
  • 5.55, Ilya Indigo, 19:44, 18/10/2017 [^] [ответить] [смотреть все]  
  • +/
    А что мешает провайдеру, получившему контроль над ДНС, зарегистрировать валидный... весь текст скрыт [показать]
     
     
  • 6.59, angra, 21:14, 18/10/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Ну пойди зарегистрируй кстати, они подписываются, а не регистрируются валидный ... весь текст скрыт [показать]
     
     
  • 7.61, Ilya Indigo, 22:13, 18/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Да без проблем, скидывайте доступы на их ДНС, и я через сабж получу подписанный ... весь текст скрыт [показать]
     
     
  • 8.68, XoRe, 17:21, 19/10/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Есть несколько другой вариант - CAA записи https www opennet ru tips 3028_ssl... весь текст скрыт [показать]
     
     
  • 9.71, Ilya Indigo, 20:06, 19/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Этот вариант мне известен и уже применяется мной Но, к сожалению, пока нет обяз... весь текст скрыт [показать]
     
  • 5.56, Ilya Indigo, 19:54, 18/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Ничего подобного Сертификат состоит из пары закрытого и открытого ключей Откры... весь текст скрыт [показать]
     
     
  • 6.65, Аноним, 09:07, 19/10/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    s/нешифрованным/ненадёжным/
     
  • 6.67, XoRe, 17:19, 19/10/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Провайдеру ничего не мешает сгенерить серитифкат, а в DNS отдавать его слепок Е... весь текст скрыт [показать]
     
  • 4.50, XoRe, 18:06, 18/10/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Вообще есть технология HTTP Public Key Pinning, там в DNS прописываются отпечатк... весь текст скрыт [показать]
     
     
  • 5.52, пох, 18:27, 18/10/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    мда, у нас сегодня парад анонов, где-то слышавших звон pkp не имеет ни малейшег... весь текст скрыт [показать]
     
     
  • 6.69, XoRe, 17:26, 19/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Да, неправильно написал Там заголовки в HTTP ответе Если проект коммерческий и... весь текст скрыт [показать]
     
     
  • 7.70, пох, 18:42, 19/10/2017 [^] [ответить] [смотреть все]  
  • +/
    обычно таким проектам по многим причинам приходится раскошеливаться на EV, а там... весь текст скрыт [показать]
     
     
  • 8.74, XoRe, 02:39, 22/10/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > А для маргинального проектика с копеейчной прибылью, еле-еле покрывающей расходы, _еще_раз_
    > $90 за воздух - уже совсем лишняя трата.

    Маргинальному проектику зеленый свет в сторону let's encrypt.
    А в крупных компаниях - да, трудновато будет уговорить перевести все на LE.

     
  • 5.57, Ilya Indigo, 20:09, 18/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Я так понимаю Вы имеете ввиду HTTP Public Key Pinning HPKP Это тоже не то, та... весь текст скрыт [показать]
     
     
  • 6.62, Аноним, 23:07, 18/10/2017 [^] [ответить] [смотреть все]  
  • +/
    Не совсем так Просто о замене сертификата надо побеспокоиться заранее, и запини... весь текст скрыт [показать]
     
  • 4.51, пох, 18:10, 18/10/2017 [^] [ответить] [смотреть все]  
  • –4 +/
    ты все же феноменально тyпой То есть ладно, еще - быть админом но не понимать и... весь текст скрыт [показать]
     
  • 1.27, Аноним, 12:12, 18/10/2017 [ответить] [смотреть все]  
  • +1 +/
    осталось написать модуль админки под это в виде mod_mdadm (with zfs support)
     
     
  • 2.43, Аноним, 16:14, 18/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ага, и mod_luks.
     
  • 1.35, qwe, 14:06, 18/10/2017 [ответить] [смотреть все]  
  • +/
    Почему не сделать выдачу на пол/целый год?
     
     
  • 2.37, Andrey Mitrofanov, 14:50, 18/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    > Почему не сделать выдачу на пол/целый год?

    В маркетинге сказали, что, мол, чем больше они за нами бегают, тем лучше Товар. Они-то знают!!

     
  • 2.41, Аноним, 15:19, 18/10/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    https letsencrypt org 2015 11 09 why-90-days html... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.42, Andrey Mitrofanov, 15:46, 18/10/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    >> Почему не сделать выдачу на пол/целый год?
    > https://letsencrypt.org/2015/11/09/why-90-days.html

    %) "Как научиться про[полимеры]вать ключи и перестать беспокоиться. Опера-балет в двух актах, коротенько."

     
     
  • 4.53, пох, 18:39, 18/10/2017 [^] [ответить] [смотреть все]  
  • +/
    > %) "Как научиться про[полимеры]вать ключи и перестать беспокоиться.
    > Опера-балет в двух актах, коротенько."

    обрати только внимание - правдивый ответ - во втором акте.
    "мы таким образом *заставим* вас использовать [нашу] автоматику" (запудрив вам мозги про беспокойство о просере ключей)
    Соответственно - лишим вас возможности не хранить нешифрованные ключи на сервере, а ваших пользователей - доверять вашему _сертификату_, а не только нашей подписи под ним -  для чего, полагаю, все и затеяно на самом деле.

    Ну и попутно заставим либо исполнять свои кривые скрипты, либо вообще втыкать в веб-сервер наши модули - а что они там делают (и что будет делать версия x.y.z+1 ) - тебе знать необязательно. Но это так, побочная фишка, скорее всего.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor