The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Проект Let's Encrypt ввёл в строй протокол ACMEv2 и поддержку масок

13.03.2018 23:04

Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, объявил о внедрении второй версии протокола ACME и обеспечении возможности использования масок в сертификатах. Маски позволяют охватить в одном сертификате группу поддоменов (например, *.example.com).

Для создания сертификатов с масками требуется наличие клиентского ПО с поддержкой протокола ACMEv2. Для пользователей уже получивших сертификаты при помощи протокола ACMEv1 для получения сертификатов с масками требуется повторная авторизация (для получения сертификатов без масок можно продолжить использование ACMEv1). Для подтверждения доменов, для которых будут запрашиваться сертификаты с маской, первое время будет допустима только верификация через DNS, подтверждающая владение базовым доменом. В дальнейшем не исключена реализация и других методов верификации.

Поддержка масок относилась к наиболее востребованным возможностям, чаще всего упоминаемым в пожеланиях к Let's Encrypt. Ожидается, что сертификаты с масками, которые заметно упрощают работу при задействовании на сайте нескольких поддоменов, станут важным звеном для достижении цели проекта Let's Encrypt - 100% охват сайтов протоколом HTTPS (сейчас доля сайтов с HTTPS составляет 69%, из которых 42% пользуются сертификатами Let's Encrypt).

  1. Главная ссылка к новости (https://community.letsencrypt....)
  2. OpenNews: Let's Encrypt опубликовал описание атаки и план по устранению проблемы
  3. OpenNews: Проект Let's Encrypt опубликовал планы на 2018 год
  4. OpenNews: Let's Encrypt занял 36% рынка удостоверяющих центров
  5. OpenNews: Проект Let's Encrypt представил модуль для http-сервера Apache
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/48255-letsencrypt
Ключевые слова: letsencrypt, cert
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (55) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Яблочко (?), 23:23, 13/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Уже есть где-то инфа как перевести старый клиент (где сертификат генерился для каждого поддомена отдельно с использованием проверки через другой веб-сервер, параметр webroot), на новый с использованием wildcard?
     
     
  • 2.12, Аноним (-), 02:47, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Обновить клиента и вручную запустить новую генерацию сертификата с выбором новой возможности и новой авторизацией? ПО целая куча https://letsencrypt.org/docs/client-options/#acme-v2-compatible-clients - читайте документацию.
     
  • 2.31, KonstantinB (ok), 13:01, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Wildcard по очевидным причинам требует подтверждения через DNS. Так что первым делом надо настроить dns-01.

    В dehydrated <https://github.com/lukas2511/dehydrated> это делается вот так:

    https://github.com/lukas2511/dehydrated/blob/master/docs/dns-verification.md
    https://github.com/lukas2511/dehydrated/wiki/Examples-for-DNS-01-hooks

    Для использования ACME v2 и wildcards в нем же достаточно указать API=2 в конфиге.

    Что там с certbot-ом, не знаю, не имею привычки ставить софт, который что-то там от рута делает сам себе.

     
     
  • 3.37, Яблочко (?), 14:53, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    У меня для certbot отдельная виртуалочка (запускаю виртуалку, пара команд, забираю серты и ставлю куда надо), мне все равно, что она там у себя делает, хоть от рута, хоть от обычного юзера..

    Погуглив, вроде есть такие решение (официальный certbot):

    You need to add [code]--server https://acme-v02.api.letsencrypt.org/directory[/code] to your Certbot command to tell it to use the ACME v2 API that supports Wildcard certificates.

    [code]./certbot-auto --server https://acme-v02.api.letsencrypt.org/directory -d *.ymeng.net --manual --preferred-challenges dns-01 certonly[/code]

    Или в конфиг можно еще прописать:
    [code]server = https://acme-v02.api.letsencrypt.org/directory[/code]

    Но еще не проверял все это дело.

     

  • 1.2, Аноним (-), 23:24, 13/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Lets encrypt - потрясающее ПО.
     
     
  • 2.3, Аноним (-), 23:32, 13/03/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Ваш сервер аж трисёт??
     
  • 2.14, 321 (??), 04:21, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А как получить сертификат для хостинга, не имея доступа к консоли для установки ПО?
     
     
  • 3.18, Аноним (-), 08:37, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Dns
     
  • 3.24, Den (??), 10:24, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    www.sslforfree.com/
     
  • 3.39, Аноним (-), 19:52, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А как получить сертификат для хостинга, не имея доступа к консоли для установки ПО?

    Сходить на поклон к хостеру, вестимо. Гостинцев прихватить не забудь.

     

  • 1.4, Аноним (-), 00:00, 14/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Такая вот монополия на рынке ssl-сертов, но без клыков большой и жадной корпорации, присущих подобным проектам)
     
     
  • 2.5, _ (??), 00:10, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Первая доза всегда бесплатно 😏
     
  • 2.6, Johny (?), 00:24, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    не вижу ничего хорошего в том что какая-то группа хитрозадых личностей фактически монополизировала контроль над вебом.

    захотят - уберут завтра из своего "единого списка выданных сертификатов" все российские в качестве санкций, вот радости то.

     
     
  • 3.7, nobody (??), 00:31, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Так может сделать любой другой "центр", только этот хотя бы бесплатный ;)
     
  • 3.8, qwe (??), 00:31, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > захотят - уберут завтра из своего "единого списка выданных сертификатов" все российские в качестве санкций

    Как говорит Екатерина Шульман: "отстаивайте политические права и свободы. ифонов и роботов вам если что завезут, а вот прав и свобод не завезут".

     
  • 3.9, vitalif (ok), 01:42, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    да уж пусть лучше они, чем родное ФСБ с каким-нибудь MITM "сертификатом национальной безопасности"
     
     
  • 4.30, google (??), 12:54, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    вы еще скажите, что мы когда-то отказывались сотрудничать с ФСБ
     
  • 2.10, Аноним (-), 01:44, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > без клыков большой и жадной корпорации

    На список спонсоров посмотри. Они в эту тушку все одновременно уцепились и каждый выпустить боится.

     
     
  • 3.13, Crazy Alex (ok), 03:38, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну и ладушки, конечный результат вполне хорош
     
     
  • 4.22, letsf_ckyouall (?), 09:53, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > Ну и ладушки, конечный результат вполне хорош

    да, прекрасен - конкурентов у нас скоро вообще не будет.
    а вы схаваете, давясь и чавкая, любой кал, лишь бы вам на халяву он доставался.

     
     
  • 5.34, Аноним (-), 14:25, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Халявный воздух? Возмутительно!
     

  • 1.11, commiethebeastie (ok), 02:30, 14/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >100% охват сайтов протоколом HTTPS

    А потом их перестанут выдавать всяким мещанам. А когда очнутся, браузеры уже и не поддерживают http.

     
     
  • 2.16, Сергей (??), 08:28, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Нравится или нет, но рано или поздно это произойдёт. Такова логика развития событий при капитализме.
     
     
  • 3.17, Сергей (??), 08:30, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Нравится или нет, но рано или поздно это произойдёт. Такова логика развития
    > событий при капитализме.

    Единственное, что может компенсировать это - опенсорс.

     
     
  • 4.19, нах (?), 09:46, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Единственное, что может компенсировать это - опенсорс.

    мурзилла ваша - вполне себе опенотсос. И хромиум тоже. Вы можете решить проблему Честного Ахмеда? Нет. Поэтому сказочки что опенотсос чего-то там компенсирует - оставьте своей детсадовской младшей группе.

    а, да - софт для организации собственного ca тоже вполне себе опенотсосен (и даже такой CA давно уже организован). Только вот добавить его в список вы не сможете - теперь, помимо требований дать в жoпу (и железнодорожный состав денег) компании-аудитору, не умеющей настроить собственный веб сайт, еще и требование добавлять все выданное в чудо-логи. Один из которых принадлежит гуглю, и второй..а, тоже гуглю. И нет, там нигде не написано что кому-то разрешат туда добавляться бесплатно.

    единственное, что может компенсировать это - вмешательство федеральной антимонопольной службы. Не то чтобы совсем уж сказочное явление (мы-то помним судьбу AT&T) - но даже если сказка обернется явью - уйдет полсотни лет чтобы компенсировать разрушенное (включая бесконечные суды с наследниками патентов в пятом поколении, которые по сей день не закончились).

     
  • 2.21, letsf_ckyouall (?), 09:51, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >>100% охват сайтов протоколом HTTPS
    > А потом их перестанут выдавать всяким мещанам. А когда очнутся, браузеры уже
    > и не поддерживают http.

    зачем? нас вполне устраивает нынешняя ситуация - когда нас в бой пошлет товарищ...э...г-н неважно кто будет директор NSA в тот момент - мы выдадим ровно столько поддельных сертификатов ваших сайтов, сколько потребуется.
    И в чудо-логах их заменим, они принадлежат и контролируются тем же.

    А еще, вечно что-то меняя и улучшая в своем чудо-протоколе, мы все же приучим вас тупо запускать левый код от имени пользователя, умеющего подменять сертификаты (и, скорее всего, как минимум, перезапускать веб-сервер), не особо вглядываясь, что он там делает.

     
     
  • 3.23, Аноним (-), 10:14, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > мы все же приучим вас тупо запускать левый код от имени пользователя, умеющего подменять сертификаты (и, скорее всего, как минимум, перезапускать веб-сервер), не особо вглядываясь, что он там делает

    И кто мешает господам админам вынести небезопасный "левый" код получения сертификатов на отдельную машину? А уже с нее СВОИМ подконтрольным кодом со всеми возможными и невозможными проверками копировать сертификаты по рабочим серверам и (при необходимости) перезапускать веб-сервер.

     
     
  • 4.25, Аноним (-), 10:33, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Примерно то-же что мешает не использовать leftpad, идеальное решение длаже если и будет проиграет в конкурентной борьбе, конкуренция она про компромиссы.
     
  • 4.26, Аноним (-), 11:19, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Лень или темнота, или ещё что - всё то же, что заставляет делать curl | bash
     
  • 4.32, google (??), 13:02, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > И кто мешает господам админам вынести небезопасный "левый" код получения сертификатов на
    > отдельную машину? А уже с нее СВОИМ подконтрольным кодом со всеми

    например, отсутствие этой отдельной машины? Или она вам бесплатно достается, вместе с электричеством? (а если уж быть параноиком, то нужна именно физически отдельная, пусть и дохлая - ибо спектр)

    > возможными и невозможными проверками копировать сертификаты по рабочим серверам и (при
    > необходимости) перезапускать веб-сервер.

    это все прекрасно работает в случае большой конторы с лишними "отдельными машинами" и имеющими массу лишнего времени (и неленивыми) админами, "но есть ньюанс": у такой конторы есть еще и лишние деньги, поэтому ей это все просто не нужно - у нее и на "зеленый" EV найдется, который не надо раз в три дня менять, а раз в три года вручную проверяют, и на собственный intermediate, если надо сразу много "синих", может найтись.

    а смысл летсдекрипта - нагнуть _массу_. Чтоб наши троянцы стояли в каждой мелкой лавочке и на каждом облачном хостинг-сайте за три доллара в месяц. Это вот интересно, а не по одной ягодке клевать.

     
     
  • 5.44, Аноним (-), 21:08, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > например, отсутствие этой отдельной машины? Или она вам бесплатно достается,

    Ну не за бесплатно, а допустим за 10 баксов на какой-нибудь orange pi. У тебя нет 10 баксов? Это ж пиварь не пожрать 1 раз.

     
  • 5.50, AS (??), 12:52, 15/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    контора не могущая предоставить/приобрети фактически не имеющий стоимости старый системник под роутер/или Это/еще что то - да кто там работает ? таким безопасность и не актуальна как правило - и я дворником лучше бы пошёл робить , чем к ним ..
     
  • 4.49, Аноним (-), 10:35, 15/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Хорошая идея. А как ты собрался (автоматически) передавать ключи между ними? И вообще, по какому протоколу и каким образом будет вестись связь между сервером и внешней получалкой сертификатов?

    Дай угадаю… По SSL!?

     
     
  • 5.51, AS (??), 12:58, 15/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    сктиптами через SSH не ?
     

  • 1.15, Аноним (-), 07:04, 14/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Объявили, а certbot в бубунтовских ppa ещё старый.
     
     
  • 2.20, Аноним (-), 09:49, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Репы как, за полсуток обновиться должны?
    Кроме того -- вам не хватает acme.sh?
     

  • 1.28, лютый жабист__ (?), 11:50, 14/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Самое смешное, что и раньше можно было выпрашивать у LE сертификат сразу на несколько доменов. Даже если софт не умеет SNI прекрасно всё работало.

    Хотя я эту фичу заметил только неделю назад.

    Так что необходимость в wildcard сильно преувеличена. Но всё равно спасибо.

     
     
  • 2.29, noname.htm (ok), 12:10, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Там лимит - сто дополнительных доменов. У меня их, например, несколько сотен. Делать серт на каждую группу в 101 домен? Охрененно удобно.
    Не важно, что задача специфичная, востребованность от этого никуда не девается.
     
     
  • 3.43, Аноним (-), 21:07, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Там лимит - сто дополнительных доменов. У меня их, например, несколько сотен.

    Сеошник не палится типа :)

     
  • 2.48, Аноним (-), 10:29, 15/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Список доменов занимает место в сертификате. Сертификат отправляется каждый раз при установке соединения (в ходе рукопожатия). Больше доменов — больше пакетов уйдёт на handshake, больше задержка прежде чем по соединению можно будет слать что-то полезное.

    Некоторые клиенты (например Хром) пытаются кешировать сертификаты, но пакет с сертификатом всё равно будет отправлен и потребует ACK-пакет от клиента.

    В общем, всё та же борьба с RTT.

     

  • 1.33, Аноним (-), 14:24, 14/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Надеюсь они позволят когда-нибудь генерить сертификаты для машин, к которым нет доступа извне?
     
     
  • 2.35, Николай (??), 14:26, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Уже давно позволили, dns-01 и иже с ними
     
     
  • 3.45, Аноним (-), 23:29, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Это как? Машину не видно, домена вида "васян.петян" как бы нету. Как оно валидировать собралось?
     
     
  • 4.46, Аноним (-), 01:10, 15/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Почему домена нет? На что ты сертификат брать собрался? На айпишник? Стандарт вроде не запрещает, но я такого не видел.
    Ничего не мешает получить серт на васян.орг, который лукапится на приватный диапазон, недоступный снаружи (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12). Мой ISP давно так делает со своим кабинетом. Теперь уже с Let's Encrypt, ранее с каким-то CA. Просто по днс подтверждается владение доменом, доступность сервера тут не обязательна.
     
     
  • 5.52, Аноним (-), 13:32, 15/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Т.е. мне для приватного использоавния всё равно придётся купить публичный домен васян.орг? Нафиг-нафиг.
     
     
  • 6.54, Аноним (-), 11:35, 16/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Для приватного использования ты сам себе CA, нафига тебе кто-то ещё?
     
  • 2.36, Аноним (-), 14:29, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Так по DNS же.
     

  • 1.38, Аноним (38), 19:44, 14/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А потом будет "Мы вам выдали сертификат.  НО потом отзовем его и новый не дадим потому-что вас внесли в санкционный список. Так что курите бамбук"
     
  • 1.40, Аноним (-), 19:59, 14/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Что же будет, когда хакнут Let's Encrypt?
     
     
  • 2.42, Аноним (-), 21:06, 14/03/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Что же будет, когда хакнут Let's Encrypt?

    PWNAGE!!!1111

     

  • 1.41, Аноним (-), 20:48, 14/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    спорим, корневой сертификат le давно у анб в запасах?
     
     
  • 2.53, KonstantinB (ok), 18:42, 15/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Спорим, все остальные корневые сертификаты тоже?
     
     
  • 3.56, Dmitry77 (ok), 18:40, 17/03/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ну да, MITM атаку организвать может.
    ну что можно сказать.. не пользуйтесь браузерам
     

  • 1.47, anomymous (?), 09:21, 15/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Пока это не начнёт выдавать сертификаты хотя бы на год - оно не нужно.
     
  • 1.55, Dmitry77 (ok), 18:30, 17/03/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >цели проекта Let's Encrypt - 100% охват сайтов протоколом HTTPS

    Если я не ошибаюсь, https не позоляет кшировать на прокси серверах.
    То есть скоро интернет будет медленным

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру