The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Let's Encrypt занял 36% рынка удостоверяющих центров

21.11.2017 11:40

По статистике NetTrack более 36% HTTPS-сайтов в сети используют сертификаты, выданные некоммерческим удостоверяющим центром Let’s Encrypt, контролируемым сообществом и предоставляющим сертификаты безвозмездно всем желающим. На текущий момент службой Let's Encrypt выдано 46 млн сертификатов, охватывающих около 60 млн доменов. На втором месте удостоверяющий центр COMODO (19%), а на третьем GeoTrust (11%).

Общая доля запросов страниц по HTTPS составила 65%, судя по статистике, полученной в рамках работы сервиса Firefox Telemetry. Для сравнения, два года назад при запуске проекта Let’s Encrypt этот показатель составлял 40%, а в начале 2017 года достиг значения в 50%.По статистике Google доля страниц, открытых по HTTPS, составляет от 68% до 86% (ChromeOS - 86%, macOS - 84%, Linux - 82%, Windows - 80%, Android - 68%).

Дополнительно можно отметить объявление о сворачивании деятельности удостоверяющего центра StartCom, владельцы которого решили не возвращать к жизни сервис, который утратил доверие ведущих производителей браузеров, принявших решение исключить его корневой сертификат из своих хранилищ, после выявления серьёзных нарушений. Деятельность StartCom будет остановлена начиная с 1 января 2018 года, но работа служб CRL и OCSP будет осуществляться ещё два года до окончании времени действия корневого сертификата. Доля сертификатов StartCom оценивается в 0.02%, в то время как год назад данное значение составляло 2% (шестой по величине удостоверяющий центр).

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: В Firefox 58 будет прекращено доверие ко всем сертификатам WoSign и StartCom
  3. OpenNews: Google предупредил о скором прекращении доверия ко всем сертификатам WoSign и StartCom
  4. OpenNews: Google и Apple присоединились к блокировке сертификатов WoSign и StartCom
  5. OpenNews: Let's Encrypt обеспечит поддержку масок в сертификатах
  6. OpenNews: Сервис Let's Encrypt преодолел рубеж в 100 млн сертификатов
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/47598-ssl
Ключевые слова: ssl, letsencrypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (99) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 11:44, 21/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    А кого-то это удивляет? Халявные сертификаты, еще и с готовыми скриптами для обновления оных.
     
     
  • 2.9, Аноним (-), 13:24, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • –10 +/
    Ну у них ОЧЕНЬ странная и неудобная концепция. Вместо того чтобы купить сертификат на год и забыть, надо настраивать какие-то скрипты обновления, иначе твой сертификат превратится в тыкву.
     
     
  • 3.14, Crazy Alex (ok), 13:46, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Что тут неудобного? Что ручных действий мало?
     
  • 3.16, Криворукая макака (?), 13:49, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Даже мне, криворукой макаке, удалось настроить скрипты автообновления без особых проблем. А уж если вы профессионал, можете сервер поднять и сайт настроить, то сложностей не возникнет.
     
     
  • 4.97, Аноним (-), 08:19, 24/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Даже мне, криворукой макаке, удалось настроить скрипты автообновления без особых проблем.
    > А уж если вы профессионал, можете сервер поднять и сайт настроить,
    > то сложностей не возникнет.

    Устами криворукой макаки глаголит истина! Фэйспалм!

     
  • 3.23, Аноним (-), 14:17, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Я просто в панели хостинга поставил галочку "использовать SSL" и выбрал из списка Let's Encrypt. И всё.
     
  • 3.24, dep (?), 14:18, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тут скорее логика в том, чтоб не выписывали надолго то, что никому не нужно. Потому и подтверждай каждые пару месяцев.
     
  • 3.26, erfea (ok), 15:05, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Да вы, батенька, сами не знаете о чем говорите. Чтобы получить сертификат надо выполнить одну простую комманду. Прописать в конфиге (точно так же как и с покупными) сертификат. А дальше можно забыть, хочешь на пару месяцев, а можно на год, и на два, и вообще. Сабж при установке из пакета сам в себя крон запихивает и сам все полученные сертификаты обновляет. И проще, и удобнее и халява.
     
  • 3.30, Аноним (-), 16:10, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    У них как раз честно: украли твой серт, так хоть с ним недолго баловаться можно, больше 3 месяцев он не проживет. Ну и им статистика, кто раз хотя бы в 3 месяца появляется - тот живой, а остальных можно из БД стирать.

    Это вот странно, что публичные платные ЦС продают серты на 3 года, что как бы проще в настройке, но создает дополнительный риск. Ведь не все воровство сертов сразу открывается.

     
  • 3.48, ДжонДоу (?), 18:56, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Сейчас под Nginx & Apache есть модули, которые автоматически обновляют сертификаты - вообще напрягаться не нужно
     
  • 2.12, Andrey Mitrofanov (?), 13:39, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Халявные сертификаты, еще и с

    А давайте выясним, кому они вас, хомячков, продают.

    "36% рынка", _рынка_ же,  Карл!

     
     
  • 3.32, rshadow (ok), 16:34, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Приватная часть остается на сервере. Они всего лишь дают CSR. MITM не пройдет.

    Подобная схема PGP/GPG работает для подписи и шифрования почты уже 100500 лет. Тоже с демонами отправки и валидацией ключей, в том числе и разных почтовых клиентах. Всех, все устраивает.

     
     
  • 4.40, пох (?), 17:37, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Приватная часть остается на сервере.

    в удобном для всех залезших (включая товарищмайора, просто свинтившего твой диск) нешифрованном виде, да еще и не позволяющая себя зафиксировать и хотя бы сравнить. Без crl, afaik - "а то у пользователя очень долго стартует браузер".

    секьюрить, чо.

    > Всех, все устраивает.

    ибо не ведают, что творят.

    в почте, если что, твой пароль от закрытого ключа вовсе не хранится в открытом виде даже на твоем личном компьютере - не говоря уже о сервере где-то на хостинге у хз кого.

     
     
  • 5.44, rshadow (ok), 18:29, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > в удобном для всех залезших

    Лол. В линуксе 100500 возможностей зашифровать любую информацию, с различной степерью удобства работы с ней. Параноить можно от нуля, до бесконечности.

    > в почте, если что

    В почте ты вводишь пароль когда хочешь отправить письмо. Это удобно и просто. А веб серверу надо шифровать на каждом запросе. Потому ключики и лежат в доступном виде. Ваш КО.

    Ничего не мешает вводить его и на сервере, например при монтировании зашифрованного раздела с ключами. Но так никто не делает ибо на большом кол-ве серверов проще DMZ держать, чем при ребуте пароли/ключи вводить. Или вы про локалхост переживаете?

     
     
  • 6.46, пох (?), 18:51, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    и ровно ноль - позволяющих действительно работать, а не делать вид впрочем, ес... большой текст свёрнут, показать
     
     
  • 7.52, Аноним (-), 21:18, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > пока ты пишешь одно письмо в день.
    > А когда там корпоративная переписка - то увы, gpg выкидывается нахрен и ставится почтовка, позволяющая пользоваться все теми же сертификатами.
    > Пароль вводится один раз - при открытии сессии.

    Добавим к списку не осиленного gpg-agent. Мой почтовик, кстати, его сам умеет запускать, так что можно вообще с умолчальными настройками работать.

     
  • 3.37, пох (?), 17:25, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А давайте выясним, кому они вас, хомячков, продают.

    да че там думать, съ..ть пора!
    Кому бы это могло быть выгодно, доломать полностью и бесповоротно возможность доверия _сертификату_, а не мутному "CA" под известно-чьим контролем? Кто ж это у нас кредитец-то от NSA  отрабатывает, прямо и не догадаюсь никак... Уж не те ли же ребята, которые и PKP удалили из своего браузера?

    и главное, хомячки, весело визжа, радостно поддерживают хайп - им же очень нравится запускать кривые скрипты, тянущие в рот непойми что, по крону раз в день.

     
     
  • 4.39, Анонииим (?), 17:37, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> А давайте выясним, кому они вас, хомячков, продают.
    > да че там думать, съ..ть пора!
    > Кому бы это могло быть выгодно, доломать полностью и бесповоротно возможность доверия
    > _сертификату_, а не мутному "CA" под известно-чьим контролем? Кто ж это
    > у нас кредитец-то от NSA  отрабатывает, прямо и не догадаюсь
    > никак... Уж не те ли же ребята, которые и PKP удалили
    > из своего браузера?
    > и главное, хомячки, весело визжа, радостно поддерживают хайп - им же очень
    > нравится запускать кривые скрипты, тянущие в рот непойми что, по крону
    > раз в день.

    Да напишите вы наконец нужные патчи и плагины к основным браузерам, или ждете пока ваши мечты реализуют за вас?

     
     
  • 5.41, пох (?), 17:40, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Да напишите вы наконец нужные патчи и плагины к основным браузерам, или

    и что _теперь_ должен делать этот патч или плагин?

    > ждете пока ваши мечты реализуют за вас?

    мечты не видеть больше сайтов с двухнедельным сертификатом - боюсь приравняют к пособничеству террористам.

     
  • 4.91, Аноним (-), 07:20, 24/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > и главное, хомячки, весело визжа, радостно поддерживают хайп - им же очень
    > нравится запускать кривые скрипты, тянущие в рот непойми что, по крону
    > раз в день.

    Не нравятся скрипты, есть клиент на сях от опенбсдшных разработчиков, реализующий тот же протокол. Еще и с разделением прав, все дела.

    И это, совсем без шифрования трафик норовят поиметь вообше все. К тому же приватный ключ от подписываемого сертификата никому не отсылается и именно разломать, именно напрямую - CA все-таки не может. Как максимум может левый серт выписать. Но там и так несколько десятков CA которые это могут. Плюс-минус еще один ничего в этой схеме не меняет. А вот выходки с подменой нешифрованного трафика - зарубаются.

     
  • 4.98, Аноним (-), 08:21, 24/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > да че там думать, съ..ть пора!

    На что интересно? Кривой комод, прославившийся мутными историями и поломаный комодохакером? БезопасТнички. Или ты с барского плеча спонсируешь покупку сертификатов всем желающим у верисайна?

     
  • 2.19, Аноним (-), 14:04, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Цена сертификата мало имеет отношение к его надежности.

    Вот что внушает удивление - что платные (суперплатные!) ЦС за годы (!) так и не построили инфраструктуру, чтобы у них было надежнее, чем у LE. Причем деньги брались как раз за надежность.

     
     
  • 3.33, rshadow (ok), 16:35, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    И для удобства пользователя приватные ключи генерились в админке на сайте. Бу га га.
     
     
  • 4.38, пох (?), 17:31, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    если взломали админку, логин в нее пользователя, или сам CA - почти уже все равн... большой текст свёрнут, показать
     
     
  • 5.45, rshadow (ok), 18:34, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Вы не понимает о чем говорите. И метод взлома днс не сработает. Просто пригорает: столько лет честно платили и верили, а оказалось за воздух.
     
     
  • 6.47, пох (?), 18:54, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вы не понимает о чем говорите. И метод взлома днс не сработает.
    > Просто пригорает: столько лет честно платили и верили, а оказалось за
    > воздух.

    вы бредите, причем по всем пунктам. Начнем с последнего: цена сертификата (с сабдоменами) startssl == 0. (на самом деле цена любого. денег они брали только за validation - ручную работу по реальной проверке реальных, на бумаге, документов.)

    Раз вы даже об этом не в курсе - мы знаем, кто тут "не понимает о чем".
    За компанию с Ильей, который не в курсе, зачем вообще нужны CA и что это означает.


     
     
  • 7.92, Аноним (-), 07:24, 24/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Меня может устроить знание что vasyapupkin.com - это vasyapupkin.com, а не что-нибудь еще. Отшмонали ли парни из startcom Васю на предмет документов мне не слишком интересно. Вон comodohacker выписал себе сертификаты на виндовс апдейт. Хотя докумендов Билла Гейтса у него наверное не было.
     
  • 5.53, Аноним (-), 21:22, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А вот если взломали твой сервер или даже не твой сервер, а один из dns-серверов - что гораздо более вероятно - у ребятушек без всякого труда оказывается в руках твой закрытый ключ и сертификат - а если вдруг почему-то не оказывается, они с легкостью перевыпускают со своим ключом.

    И в чём же принципиальное отличие от других CA? Всегда так было.

     
     
  • 6.56, пох (?), 23:58, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    всегда было совершенно иначе - вплоть до отправления dhl ем копий реальных рег... большой текст свёрнут, показать
     
     
  • 7.66, Аноним (-), 11:11, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Это ты про EV-сертификаты? Ну так они всегда стоили бешеных бабок. Кому они нужны, те их и сейчас покупают. А сабжем пользуются те, у кого и раньше было подтверждение через домен, и те, у кого вообще никакого шифрования не было.
     
     
  • 8.75, пох (?), 14:20, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    нет С ev все еще круче- там требуются оригиналы, а не простые копии В случае, ... большой текст свёрнут, показать
     
     
  • 9.77, Аноним (-), 14:54, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Насмешил, ага Доверия сертификату без доверия CA быть не может Это by design т... текст свёрнут, показать
     
     
  • 10.78, пох (?), 15:08, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    нет Вы не владеете темой от слова совсем ... текст свёрнут, показать
     
  • 9.80, Andrey Mitrofanov (?), 15:46, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А нет ли тут оснований для санкций и блокировок в связи с нарушением российского... текст свёрнут, показать
     
     
  • 10.83, пох (?), 17:51, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    думаешь, пора завести свой, импортозаместительно-государственный А не помнишь, ... текст свёрнут, показать
     
     
  • 11.93, Аноним (-), 07:34, 24/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А потом придет очередной comodohacker и цифровая экономика у кое-кого всем ско... текст свёрнут, показать
     
  • 6.64, Анотоним (?), 08:10, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Принципиальное отличе в том, что другие СА удостоверяли что сайт на который ты заходишь принадлежит конкретному лицу.

    LE обещает защиту только от того, что твой трафик непрослушает человек сидящий за соседним столиком кафе, админ кафе, админ провайдера.

     
     
  • 7.67, Аноним (-), 11:13, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Принципиальное отличе в том, что другие СА удостоверяли что сайт на который
    > ты заходишь принадлежит конкретному лицу.

    Ты халявный сертификат StartSSL ни разу не получал, что ли? Не было там такого. И ни у каких дешёвых сертификатов тоже не было.

     
     
  • 8.71, Анотоним (?), 13:27, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Я покупал взрослые сертификаты Халявные нет, не получал, ибо смысла в них ровно... текст свёрнут, показать
     
     
  • 9.79, Аноним (-), 15:10, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Смысл в них точно такой же браузеры им доверяют в равной степени Правильно ли ... текст свёрнут, показать
     
     
  • 10.82, Анотоним (?), 16:21, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Точно так же браузеры могут доверять самоподписанным сертификатам Самоподписанн... текст свёрнут, показать
     
     
  • 11.94, Аноним (-), 07:50, 24/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Однако если MITM подсунет свой самоподписанный сертификат - отличить его от прав... большой текст свёрнут, показать
     
     
  • 12.100, нах (?), 17:16, 24/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    возможен простой и банальный вариант - ты не в первый раз заходишь на этот сайт ... большой текст свёрнут, показать
     
  • 7.74, пох (?), 14:07, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Принципиальное отличе в том, что другие СА удостоверяли что сайт на который ты заходишь
    > принадлежит конкретному лицу.

    нет, DV ничего такого не удостоверяют - ни на каких "других CA" тоже. Включая те, которые все еще требуют твоих документов.
    Открываешь любой сайт с DV (yandex.ru годитсо), тычешь в синюю кляксу, и читаешь там: "you connected to этахрень which is run by unknown".
    "удостоверение" - это нотариальная деятельность, причем к ней прилагается неиллюзорный шанс попасть на бабки за неверное подтверждение, по факсовой копии паспорта ничего не получится, ее для совсем другого требуют.

     
     
  • 8.81, Анотоним (?), 16:16, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Это еще раз подтверждает только то, что yandex фуфловая контора, которая ничего ... текст свёрнут, показать
     
     
  • 9.84, пох (?), 17:58, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    уроки сделать не забыл это EV сертификаты Cовершенно ненужные нормальному сайт... текст свёрнут, показать
     
     
  • 10.86, Анотоним (?), 08:57, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    ты им расскажи о ненормальности https www computeruniverse ru https www co... текст свёрнут, показать
     
     
  • 11.88, гугль (?), 12:34, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    это их личный выбор, наверное, у них много лишних денег Я покупаю ненужное на а... большой текст свёрнут, показать
     
     
  • 12.90, Анотоним (?), 14:47, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ты впал в ошибку Это сертификаты для разных задач ... текст свёрнут, показать
     

  • 1.2, Ilya Indigo (ok), 11:50, 21/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А где Восайн на графике?
    Его даже в последнем абзаце явно не упомянули.
     
     
  • 2.3, Ilya Indigo (ok), 11:54, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > 37 WoSign CA Limited 0.06%

    Ё-маё, не ужели он даже китайцем нафиг не сдался?

     
     
  • 3.4, llolik (ok), 12:01, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Там вроде же год назад скандал с прекращением доверия был.
     
     
  • 4.5, Ilya Indigo (ok), 12:09, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Там вроде же год назад скандал с прекращением доверия был.

    Китайцы же Макстором пользуются.

     
  • 2.7, Анонимус142 (?), 12:40, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Это же StartCom
     
  • 2.57, пох (?), 00:30, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    стесняюсь спросить - а где он должен быть на графике
    "полученной в рамках работы сервиса Firefox Telemetry" ?

    У тех, кто еще может открыть файрфоксой wosign'овский сайт, а не попасть на КРАСНУЮ страницу заполненную неведомой херней и без кнопки "продолжить", как ты понимаешь, нет и телеметрии.
    Поэтому для мазилы их не существует.

     

  • 1.8, Аноним (-), 13:24, 21/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >> Общая доля запросов страниц по HTTPS составила 65%

    Что в этом хорошего?

     
     
  • 2.10, Аноним (-), 13:30, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    спокойствие от иллюзии безопасности делает стул крепким, а волосы мягкими и шелковистыми
     
  • 2.17, Crazy Alex (ok), 13:50, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Как минимум - то, что минимальный уровень сложности вмешательства в обмен данными повышается. И то, что шифрованный трафик выделяется меньше  в общем потоке.
     
     
  • 3.61, Аноним (-), 04:56, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Теперь Фраерфокс иногда говорит, что не удалось установить доверенные отношения с каким-нибуть новостным сайтиком. А зачем с ним доверенные отношения устанавливать - непонятно.
     
     
  • 4.76, пох (?), 14:22, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Теперь Фраерфокс иногда говорит, что не удалось установить доверенные отношения с каким-нибуть
    > новостным сайтиком. А зачем с ним доверенные отношения устанавливать - непонятно.

    ты чо, а вдруг он распространяет фейк ньюз?! (ой...то есть наоборот, а вдруг они не фейк?)

     
  • 4.95, Аноним (-), 08:14, 24/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Теперь Фраерфокс иногда говорит, что не удалось установить доверенные отношения с каким-нибуть
    > новостным сайтиком. А зачем с ним доверенные отношения устанавливать - непонятно.

    Обычно это означает что кто-то не в меру хитрозадый пытался подсунуть тебе что-то левое. И скорее всего вредное для здоровья твоего компьютера. Шифрование редко ломают с хорошими целями. Так браузер по крайней мере хрюкает, а без шифрования просто схарчил бы и не пикнул, потому что там вообще не понятно от кого исходят данные.

     

  • 1.11, ыы (?), 13:35, 21/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    и никто их не обвиняет в нечестной конкуренции...
     
     
  • 2.15, Crazy Alex (ok), 13:48, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Некоммерческую контору, предоставлюящую сервис бесплатно, довольно проблематично в ней обвинить ;-) Хотя лучше б ещё кто таким же манером сертификаты давал - с автоматическим апдейтом, а то треть отожрать - как-то многовато
     

  • 1.13, mimocrocodile (?), 13:46, 21/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если честно то проще комоду за 4 бакса в год покупать, чем ставить на сервер какие-то мутные скрипты с правами рута
     
     
  • 2.18, ыы (?), 13:55, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а вот отзовут из хрома комод..и че?
     
     
  • 3.21, mimocrocodile (?), 14:11, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    когда отзовут тогда можешь мне минус поставить)
     
  • 2.20, Аноним (-), 14:08, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты бы хоть матчасть почитал - куда там права рута нужны? А не хочешь скрипты чужие юзать, так свой набросай на коленке. Для сайта своей школы, что ли, попробовал бы!

    Тем более что проверка может быть не только через веб, но и через DNS, и через stateless mode - https://github.com/Neilpang/acme.sh/wiki/Stateless-Mode - так что учите матчасть, а не людей сбивайте.

     
     
  • 3.22, mimocrocodile (?), 14:12, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты бы хоть матчасть почитал

    А смысл? Дешевле комоду покупать, чем время тратить на это)

     
     
  • 4.27, erfea (ok), 15:08, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >А смысл? Дешевле комоду покупать, чем время тратить на это)

    С установкой cryptbot'а и получением сертификата можно и быстрее уложиться, чем покупку оформлять.

     
     
  • 5.29, Аноним (-), 16:07, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>А смысл? Дешевле комоду покупать, чем время тратить на это)
    > С установкой cryptbot'а и получением сертификата можно и быстрее уложиться, чем покупку
    > оформлять.

    Так это надо разобраться, а комоду по кривому howto, написанному другим школьником, можно прикрутить быстро.

    Правда, настроить бесплатный cloudflare и в нем включить https - еще проще, кажется. Для сайта школы хватит!

     
     
  • 6.96, Аноним (-), 08:16, 24/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Так это надо разобраться, а комоду по кривому howto, написанному другим школьником,
    > можно прикрутить быстро.

    Для let's encrypt таких хаутушек уже весь гитхаб.

    > Правда, настроить бесплатный cloudflare и в нем включить https - еще проще,
    > кажется. Для сайта школы хватит!

    Есть только одна проблема: cloudflare видит весь трафф. Расшифрованным. И вот это не очень хорошо.

     
  • 4.42, EHLO (?), 17:54, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >А смысл? Дешевле комоду покупать, чем время тратить на это)

    Дешевле головной мозг включить, чем время тратить на Комодо.

     
  • 2.34, rshadow (ok), 16:38, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    И в церковь сходи, свечку от взлома поставь. Деньги тоже не большие и никаких мутных скриптов. Защита серверов удвоется!!!
     
  • 2.36, анон (?), 16:46, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Неосилятор
     
  • 2.43, пох (?), 17:56, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Если честно то проще комоду за 4 бакса в год покупать

    это где это тебе такое продают? Мне вот комода предлагает минимальный сертификат за $100/год. (ну ок, 76 если сразу оплатить три)
    В нем нет вайлдкардов, и, надо полагать, просто сабдоменов, как у startssl, тоже нет. С * стоит $400.

    соответственно, это даже не $100 на домен, а где-нибудь 200-300.

     
     
  • 3.49, Аноним (-), 19:01, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Похоже зажралось Комодо ((( я покупал не за 4, но баксов за 10 месяца 3 назад
     
     
  • 4.51, пох (?), 19:10, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Похоже зажралось Комодо ((( я покупал не за 4, но баксов за
    > 10 месяца 3 назад

    месяца три назад (даже больше) я туда смотрел, не было никаких 10 (ну то есть могли быть какие-то разовые скидки, но это ж неинтересно совсем).
    Все те же $99/yr за худшее, чем то что предлагал startssl.

     
     
  • 5.63, D (?), 07:59, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Так стартссл сами себе идиоты, перестали быть ведущими себя достойно - и себя подставили, и всех, кто им верил. Я больше доверять их шарашке не буду, например, а вы можете подождать, что они придумают, и кактус дальше грызть.
    А что они предлагают этакого? И в чем их ответственность была вообще проявлена?

    Вот что у них в бесплатный черт нельзя было больше двух именно прописать - неудобно. Что к ним вход через задницу на сайте был - тоже факт. Что они как застряли со своей панельной в конце 1990-х, так и мучались люди с ней - это вообще нет смысла обсуждать.

    LE честно и автоматически делают проверку домена, и дают на него DV черт. Поскольку в браузере не видно, DV или OV у тебя - какая для реальной безопасности разница?

     
     
  • 6.68, пох (?), 12:46, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    простите, в чем именно это достойно Перестали брать деньги за воздух и стали... большой текст свёрнут, показать
     
  • 3.62, D (?), 07:20, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://www.gogetssl.com/domain-validation/ - Комодо от 11.

    Искали, говорите?

     
     
  • 4.69, пох (?), 13:01, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > https://www.gogetssl.com/domain-validation/ - Комодо от 11.
    > Искали, говорите?

    я ж говорю - меня одноразовые скидки не больно интересуют.
    Поэтому зашел на сайт самой комоды, с парадного входа, и посмотрел ценник. Не впечатлило, за воздух-то.

    И тогда уж проще дать самому игого желаемые им сколько там - $15, что-ли, за примерно ту же херню что start предоставляла бесплатно. Уровень доверия тот же - то есть, примерно никакого.

     
     
  • 5.87, Аноним (-), 10:29, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ну startssl нет смысла хвалить - они лузеры, и обманули доверие тысяч людей.

    Скидки у gogetssl неодноразовые, как раз это и смешно - можно с парадной страницы комоды купить серт, можно точно такой же, от них же, но без парадной наценки. Задание на дом - найди на сайте symantic цену на их сертификаты - там ее нет, есть только форма "мы с вами свяжемся". Типа для тех, кому нужно совсем парадно.

    Так а в чем сложность взять у LE сертификат? Я бы им больше поверил просто по поводу организации дела.

     
     
  • 6.89, пох (?), 12:46, 23/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну startssl нет смысла хвалить - они лузеры, и обманули доверие тысяч
    > людей.

    в чем именно они тебя обманули - я так и не услышал. Меня они вот ни в чем не обманывали - честно давали сертификаты, как просил, денег хотели только за работу с документами.

    > Скидки у gogetssl неодноразовые, как раз это и смешно - можно с

    сегодня они дружат с комодом, завтра где-то разоcрались - а у тебя сертификат протухает на днях.
    Причем не для одного сайта (поскольку не имеет смысла). В результате либо в панике мечешься ищешь новые варианты, либо внезапно влетаешь на заметные бабки.

    собственно, чем тебя не устраивает тогда ggssl'ный? (помнится, это intermediate той же комоды подписано?) Он лучше за счет san в комплекте (тот что за 15), или дешевле (тот что за 5).

    > Так а в чем сложность взять у LE сертификат? Я бы им

    в его бессмысленности. Я тут на пять страниц расписывал чем именно он плох и почему это и есть задача гугля и прочих проталкивателей этой ненужной хрени.

    Если интересует шифрование - больше толку от самоподписанного или подписанного (cвоим)левым CA.
    Если интересует ублажать гугля... ну хз, у меня нет своих коммерческих сайтов, не знаю насколько это важно.

     

  • 1.25, Аноним (-), 15:04, 21/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    certbot на питоне, фу такими быть!
     
     
  • 2.28, Аноним (-), 15:45, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Фукать на питон, фу таким быть!
     
  • 2.31, Аноним (-), 16:22, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Есть 100500 неофициальных клиентов на куче языков, включая "голый" bash + cURL. Даже официальный модуль для Apache httpd непонятно зачем сделали, дабы без скриптов обходиться.
     
     
  • 3.35, rshadow (ok), 16:40, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Уже и для nginx давно сделали

    https://github.com/nginx-modules/ngx_http_acme_module

     
     
  • 4.50, пох (?), 19:04, 21/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Уже и для nginx давно сделали

    васяномодуль, как он есть - начиная с документации
    [TODO] - это она ВСЯ, кто поленился ссылку открыть
    и продолжая перлами в коде:

    /* Nginx config directory; This should later be gathered from nginx */
    #define ACME_DEV_CONF_DIR "conf"
    /* This should later be replaced with the value of the server_name directive of the core module */
    #define ACME_DEV_SERVER_NAME "ledev2.kbauer.at"

    #define ACME_DEV_EXAMPLE_DIR "../example"
    (это не глюк, это используется дальше)

    * TODO (KK) Install certificate (right now it just copies an example cert)
    прекрасный модуль, всем рекомендую.

    Интересно, в нем remote root, или все же юзер nginx ?
    (заметьте, даже неинтересно, есть ли они там - они там точно есть, в таком-то коде)

    И как мы все жили до этого улучшизма,представить себе не могу.

     
     
  • 5.72, rshadow (ok), 13:32, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Смотри какой интересный экземпляр. Код открыть умеет, а перейти во ссылке в доку не умеет.
     
     
  • 6.73, пох (?), 13:47, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Смотри какой интересный экземпляр. Код открыть умеет, а перейти во ссылке в доку не умеет.

    ты кроме переходов по ссылке, что-нибудь сам-то умеешь? Читать, например, куда перешел?
    Я вот эту доку прочитал. Она состоит из слова "TODO". Вся. Остальное - стандартный гитхабовый мусор про зависимости и прочее ненужно.

    Ну и после ознакомления с туду в самом коде, уже, в общем, незачем ее читать, конечно.

     
  • 2.99, Аноним (-), 08:24, 24/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > certbot на питоне, фу такими быть!

    Да там полно клиентов на всем чем угодно понаписано. Завяжи гадюке хвост бантиком и спи спокойно.

     

  • 1.54, Аноним (-), 22:27, 21/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а с чем связаны провалы в начале 2017 года в графике доли запросов по https?
     
  • 1.55, smile (??), 22:54, 21/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Жаль, что не умеет wildcard.
     
     
  • 2.59, JSMonkeyAndHelloWorlder (?), 01:05, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    в январе 18 будет
    https://letsencrypt.org/2017/07/06/wildcard-certificates-coming-jan-2018.html
     

  • 1.58, ALex_hha (ok), 00:34, 22/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Жаль, что не умеет wildcard.

    вроде скоро запилят. И тогда тафте/верисайн и ко зарыдают от боли :D

     
     
  • 2.60, Аноним (-), 03:50, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так им и надо. Нефиг сидеть, ничего толком не делать и смотреть, как тонна хомячков льёт им кучу денег, покупая сертификаты.
     

  • 1.65, Аноним (-), 08:48, 22/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > центром Let’s Encrypt, контролируемым сообществом

    это как?

    где я могу тоже поконтролировать? :-)

     
     
  • 2.70, пох (?), 13:03, 22/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> центром Let’s Encrypt, контролируемым сообществом

    из гугля, гугля, и гугля.
    > это как?

    поправил, не благодари.
    > где я могу тоже поконтролировать? :-)

    ну, ты можешь купить акций гугля и думать, что что-то там контролируешь.
    тебе ведь не обещали что "сообщество-то" открытое?

     

  • 1.101, Дмитрий (??), 17:23, 27/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Сейчас без SSL практически никуда. Если уж онлайн-бизнес, то тем более нужны SSL-сертификаты. Терять посетителей только из-за того, что Chrome выдает Not Secure в адресной строке - нет уж, спасибо. Плюс ко всему, если брать EV'шки, то можно еще и доп. бонусы получить по типу вывода названия организации в адресной строке браузера - жирный плюс к пользовательскому доверию. Let's Encrypt не выдает EV. Потому лучше брать SSL у доверенных центров - Comodo, Symantec и т.д. А чтобы выгоднее было, то обращаться к реселлерам. Мы покупали в leaderssl.ru.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру