The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

13.03.2018 23:04  Проект Let's Encrypt ввёл в строй протокол ACMEv2 и поддержку масок

Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, объявил о внедрении второй версии протокола ACME и обеспечении возможности использования масок в сертификатах. Маски позволяют охватить в одном сертификате группу поддоменов (например, *.example.com).

Для создания сертификатов с масками требуется наличие клиентского ПО с поддержкой протокола ACMEv2. Для пользователей уже получивших сертификаты при помощи протокола ACMEv1 для получения сертификатов с масками требуется повторная авторизация (для получения сертификатов без масок можно продолжить использование ACMEv1). Для подтверждения доменов, для которых будут запрашиваться сертификаты с маской, первое время будет допустима только верификация через DNS, подтверждающая владение базовым доменом. В дальнейшем не исключена реализация и других методов верификации.

Поддержка масок относилась к наиболее востребованным возможностям, чаще всего упоминаемым в пожеланиях к Let's Encrypt. Ожидается, что сертификаты с масками, которые заметно упрощают работу при задействовании на сайте нескольких поддоменов, станут важным звеном для достижении цели проекта Let's Encrypt - 100% охват сайтов протоколом HTTPS (сейчас доля сайтов с HTTPS составляет 69%, из которых 42% пользуются сертификатами Let's Encrypt).

  1. Главная ссылка к новости (https://community.letsencrypt....)
  2. OpenNews: Let's Encrypt опубликовал описание атаки и план по устранению проблемы
  3. OpenNews: Проект Let's Encrypt опубликовал планы на 2018 год
  4. OpenNews: Let's Encrypt занял 36% рынка удостоверяющих центров
  5. OpenNews: Проект Let's Encrypt представил модуль для http-сервера Apache
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: letsencrypt, cert
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Яблочко (?), 23:23, 13/03/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +1 +/
    Уже есть где-то инфа как перевести старый клиент (где сертификат генерился для каждого поддомена отдельно с использованием проверки через другой веб-сервер, параметр webroot), на новый с использованием wildcard?
     
     
  • 2.12, Аноним (-), 02:47, 14/03/2018 [^] [ответить]     [к модератору]
  • –1 +/
    Обновить клиента и вручную запустить новую генерацию сертификата с выбором новой... весь текст скрыт [показать]
     
  • 2.31, KonstantinB (ok), 13:01, 14/03/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Wildcard по очевидным причинам требует подтверждения через DNS Так что первым д... весь текст скрыт [показать]
     
     
  • 3.37, Яблочко (?), 14:53, 14/03/2018 [^] [ответить]     [к модератору]  
  • +/
    У меня для certbot отдельная виртуалочка запускаю виртуалку, пара команд, забир... весь текст скрыт [показать]
     
  • 1.2, Аноним (-), 23:24, 13/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Lets encrypt - потрясающее ПО.
     
     
  • 2.3, Аноним (-), 23:32, 13/03/2018 [^] [ответить]    [к модератору]  
  • +6 +/
    Ваш сервер аж трисёт??
     
  • 2.14, 321 (??), 04:21, 14/03/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    А как получить сертификат для хостинга, не имея доступа к консоли для установки ПО?
     
     
  • 3.18, Аноним (-), 08:37, 14/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Dns
     
  • 3.24, Den (??), 10:24, 14/03/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    www.sslforfree.com/
     
  • 3.39, Аноним (-), 19:52, 14/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > А как получить сертификат для хостинга, не имея доступа к консоли для установки ПО?

    Сходить на поклон к хостеру, вестимо. Гостинцев прихватить не забудь.

     
  • 1.4, Аноним (-), 00:00, 14/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Такая вот монополия на рынке ssl-сертов, но без клыков большой и жадной корпорации, присущих подобным проектам)
     
     
  • 2.5, _ (??), 00:10, 14/03/2018 [^] [ответить]    [к модератору]  
  • +7 +/
    Первая доза всегда бесплатно 😏
     
  • 2.6, Johny (?), 00:24, 14/03/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    не вижу ничего хорошего в том что какая-то группа хитрозадых личностей фактическ... весь текст скрыт [показать]
     
     
  • 3.7, nobody (??), 00:31, 14/03/2018 [^] [ответить]    [к модератору]  
  • +6 +/
    Так может сделать любой другой "центр", только этот хотя бы бесплатный ;)
     
  • 3.8, qwe (??), 00:31, 14/03/2018 [^] [ответить]     [к модератору]  
  • +4 +/
    Как говорит Екатерина Шульман отстаивайте политические права и свободы ифонов... весь текст скрыт [показать]
     
  • 3.9, vitalif (ok), 01:42, 14/03/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    да уж пусть лучше они, чем родное ФСБ с каким-нибудь MITM "сертификатом национальной безопасности"
     
     
  • 4.30, google (??), 12:54, 14/03/2018 [^] [ответить]    [к модератору]  
  • +/
    вы еще скажите, что мы когда-то отказывались сотрудничать с ФСБ
     
  • 2.10, Аноним (-), 01:44, 14/03/2018 [^] [ответить]    [к модератору]  
  • +/
    > без клыков большой и жадной корпорации

    На список спонсоров посмотри. Они в эту тушку все одновременно уцепились и каждый выпустить боится.

     
     
  • 3.13, Crazy Alex (ok), 03:38, 14/03/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Ну и ладушки, конечный результат вполне хорош
     
     
  • 4.22, letsf_ckyouall (?), 09:53, 14/03/2018 [^] [ответить]    [к модератору]  
  • –5 +/
    > Ну и ладушки, конечный результат вполне хорош

    да, прекрасен - конкурентов у нас скоро вообще не будет.
    а вы схаваете, давясь и чавкая, любой кал, лишь бы вам на халяву он доставался.

     
     
  • 5.34, Аноним (-), 14:25, 14/03/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    Халявный воздух? Возмутительно!
     
  • 1.11, commiethebeastie (ok), 02:30, 14/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    >100% охват сайтов протоколом HTTPS

    А потом их перестанут выдавать всяким мещанам. А когда очнутся, браузеры уже и не поддерживают http.

     
     
  • 2.16, Сергей (??), 08:28, 14/03/2018 [^] [ответить]    [к модератору]  
  • –4 +/
    Нравится или нет, но рано или поздно это произойдёт. Такова логика развития событий при капитализме.
     
     
  • 3.17, Сергей (??), 08:30, 14/03/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    > Нравится или нет, но рано или поздно это произойдёт. Такова логика развития
    > событий при капитализме.

    Единственное, что может компенсировать это - опенсорс.

     
     
  • 4.19, нах (?), 09:46, 14/03/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    мурзилла ваша - вполне себе опенотсос И хромиум тоже Вы можете решить проблему... весь текст скрыт [показать]
     
  • 2.21, letsf_ckyouall (?), 09:51, 14/03/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    зачем нас вполне устраивает нынешняя ситуация - когда нас в бой пошлет товарищ ... весь текст скрыт [показать]
     
     
  • 3.23, Аноним (-), 10:14, 14/03/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    И кто мешает господам админам вынести небезопасный левый код получения сертифи... весь текст скрыт [показать]
     
     
  • 4.25, Аноним (-), 10:33, 14/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Примерно то-же что мешает не использовать leftpad, идеальное решение длаже если и будет проиграет в конкурентной борьбе, конкуренция она про компромиссы.
     
  • 4.26, Аноним (-), 11:19, 14/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Лень или темнота, или ещё что - всё то же, что заставляет делать curl | bash
     
  • 4.32, google (??), 13:02, 14/03/2018 [^] [ответить]     [к модератору]  
  • +/
    например, отсутствие этой отдельной машины Или она вам бесплатно достается, вме... весь текст скрыт [показать]
     
     
  • 5.44, Аноним (-), 21:08, 14/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Ну не за бесплатно, а допустим за 10 баксов на какой-нибудь orange pi У тебя не... весь текст скрыт [показать]
     
  • 5.50, AS (??), 12:52, 15/03/2018 [^] [ответить]     [к модератору]  
  • +/
    контора не могущая предоставить приобрети фактически не имеющий стоимости старый... весь текст скрыт [показать]
     
  • 4.49, Аноним (-), 10:35, 15/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Хорошая идея А как ты собрался автоматически передавать ключи между ними И в... весь текст скрыт [показать]
     
     
  • 5.51, AS (??), 12:58, 15/03/2018 [^] [ответить]    [к модератору]  
  • +/
    сктиптами через SSH не ?
     
  • 1.15, Аноним (-), 07:04, 14/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Объявили, а certbot в бубунтовских ppa ещё старый.
     
     
  • 2.20, Аноним (-), 09:49, 14/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Репы как, за полсуток обновиться должны?
    Кроме того -- вам не хватает acme.sh?
     
  • 1.28, лютый жабист__ (?), 11:50, 14/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Самое смешное, что и раньше можно было выпрашивать у LE сертификат сразу на несколько доменов. Даже если софт не умеет SNI прекрасно всё работало.

    Хотя я эту фичу заметил только неделю назад.

    Так что необходимость в wildcard сильно преувеличена. Но всё равно спасибо.

     
     
  • 2.29, noname.htm (ok), 12:10, 14/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Там лимит - сто дополнительных доменов. У меня их, например, несколько сотен. Делать серт на каждую группу в 101 домен? Охрененно удобно.
    Не важно, что задача специфичная, востребованность от этого никуда не девается.
     
     
  • 3.43, Аноним (-), 21:07, 14/03/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > Там лимит - сто дополнительных доменов. У меня их, например, несколько сотен.

    Сеошник не палится типа :)

     
  • 2.48, Аноним (-), 10:29, 15/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Список доменов занимает место в сертификате Сертификат отправляется каждый раз ... весь текст скрыт [показать]
     
  • 1.33, Аноним (-), 14:24, 14/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Надеюсь они позволят когда-нибудь генерить сертификаты для машин, к которым нет доступа извне?
     
     
  • 2.35, Николай (??), 14:26, 14/03/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Уже давно позволили, dns-01 и иже с ними
     
     
  • 3.45, Аноним (-), 23:29, 14/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Это как? Машину не видно, домена вида "васян.петян" как бы нету. Как оно валидировать собралось?
     
     
  • 4.46, Аноним (-), 01:10, 15/03/2018 [^] [ответить]     [к модератору]  
  • +/
    Почему домена нет На что ты сертификат брать собрался На айпишник Стандарт вр... весь текст скрыт [показать]
     
     
  • 5.52, Аноним (-), 13:32, 15/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Т.е. мне для приватного использоавния всё равно придётся купить публичный домен васян.орг? Нафиг-нафиг.
     
     
  • 6.54, Аноним (-), 11:35, 16/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Для приватного использования ты сам себе CA, нафига тебе кто-то ещё?
     
  • 2.36, Аноним (-), 14:29, 14/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Так по DNS же.
     
  • 1.38, Аноним (38), 19:44, 14/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    А потом будет "Мы вам выдали сертификат.  НО потом отзовем его и новый не дадим потому-что вас внесли в санкционный список. Так что курите бамбук"
     
  • 1.40, Аноним (-), 19:59, 14/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Что же будет, когда хакнут Let's Encrypt?
     
     
  • 2.42, Аноним (-), 21:06, 14/03/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > Что же будет, когда хакнут Let's Encrypt?

    PWNAGE!!!1111

     
  • 1.41, Аноним (-), 20:48, 14/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    спорим, корневой сертификат le давно у анб в запасах?
     
     
  • 2.53, KonstantinB (ok), 18:42, 15/03/2018 [^] [ответить]    [к модератору]  
  • +/
    Спорим, все остальные корневые сертификаты тоже?
     
     
  • 3.56, Dmitry77 (ok), 18:40, 17/03/2018 [^] [ответить]    [к модератору]  
  • +/
    ну да, MITM атаку организвать может.
    ну что можно сказать.. не пользуйтесь браузерам
     
  • 1.47, anomymous (?), 09:21, 15/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Пока это не начнёт выдавать сертификаты хотя бы на год - оно не нужно.
     
  • 1.55, Dmitry77 (ok), 18:30, 17/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >цели проекта Let's Encrypt - 100% охват сайтов протоколом HTTPS

    Если я не ошибаюсь, https не позоляет кшировать на прокси серверах.
    То есть скоро интернет будет медленным

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor