OpenNews: Доверие к Let's Encrypt обеспечено во всех списках корневых сертификатов

06.08.2018 23:46 Доверие к Let's Encrypt обеспечено во всех списках корневых сертификатов

Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, объявил о завершении работы по обеспечению доверия к корневому сертификату Let's Encrypt. Корневой сертификат Let’s Encrypt (ISRG Root X1) теперь упомянут как заслуживающий доверия во всех списках доверительных корневых сертификатов, включая списки Microsoft, Google, Apple, Mozilla, Oracle и Blackberry.

Напомним, что до сих пор повсеместное доверие к сертификатам Let's Encrypt было обеспечено благодаря промежуточному сертификату, который кроме подписи корневым сертификатом Let's Encrypt также перекрёстно подписан организацией IdenTrust, что позволяло принимать сертификаты Let's Encrypt в продуктах, не имеющих информации о корневом сертификате Let's Encrypt, благодаря наличию доверия к IdenTrust.

исправить +30 +/–

Лицензия: CC-BY

Тип: К сведению

Ключевые слова: letsencrypt, rypt, cert

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение

Ajax/Линейный | Раскрыть все сообщения | RSS

1.1, th3m3 (ok), 23:52, 06/08/2018 [ответить] [показать ветку] [···] [к модератору]	+14 +/–
Ура! Да здравствует повсеместное шифрование!

2.24, Майор (??), 13:10, 07/08/2018 [^] [ответить] [к модератору]	+7 +/–
Всем по шифрованию!

2.47, КО (?), 12:55, 08/08/2018 [^] [ответить] [к модератору]	+1 +/–
Скорее повсеместное доверие...

2.51, freehck (ok), 16:51, 08/08/2018 [^] [ответить] [к модератору]	+/–
Да здравствует бесплатное шифрование. По поводу повсеместности -- это когда уж люди там подтянутся... И к тому же, не всем может быть это нужно.

2.57, Дуплик (ok), 17:12, 10/08/2018 [^] [ответить] [к модератору]

+/–

Ага, а потом на том же OpenNet'е:

>Владелец opennet.ru неправильно настроил свой веб-сайт. Чтобы защитить вашу информацию от кражи, Firefox не соединился с этим веб-сайтом.

Шифрование нужно там, где оно нужно, а не повсеместно.

3.58, th3m3 (ok), 21:57, 10/08/2018 [^] [ответить] [к модератору]	+/–
Устанавливать нужно правильно и не будет никаких проблем. Сейчас с этими новыми законами, лучше шифровать всё, что только возможно.

1.2, snyan (?), 23:55, 06/08/2018 [ответить] [показать ветку] [···] [к модератору]	+4 +/–
Централизование. Опасно.

2.3, Аноним (3), 00:04, 07/08/2018 [^] [ответить] [к модератору]	+1 +/–
Вся система сертификатов держится на доверии какому-то корню двум, десяти, ста ... весь текст скрыт [показать]

3.8, электронщег (?), 00:53, 07/08/2018 [^] [ответить] [к модератору]

+/–

> Можешь предложить лучше — валяй

веб оф труст!

3.15, пох (?), 07:21, 07/08/2018 [^] [ответить] [к модератору]	+4 +/–
который a совершенно его не заслуживает - поинтересуйтесь процедурой становлени... весь текст скрыт [показать]

4.16, тоже Аноним (ok), 09:57, 07/08/2018 [^] [ответить] [к модератору]	+8 +/–
Если вы такой умный - неужели вы не видите, что в вашей схеме решительно нечего продать? Вот и сидите без денег...

5.17, . (?), 10:12, 07/08/2018 [^] [ответить] [к модератору]	+1 +/–
почему нечего зелененькое вполне можно продавать и в этой схеме - это ж подтвер... весь текст скрыт [показать]

4.20, Аноним (20), 11:56, 07/08/2018 [^] [ответить] [к модератору]	+2 +/–
Есть разница между доверием ключу, который возвращает твой уютный серверок на ан... весь текст скрыт [показать]

5.21, нах (?), 12:30, 07/08/2018 [^] [ответить] [к модератору]	+/–
> Есть разница между доверием ключу, который возвращает твой уютный серверок на антресоли здравствуй, админ локалхоста!

6.23, Аноним (20), 12:36, 07/08/2018 [^] [ответить] [к модератору]	+/–
По делу-то есть что сказать?

4.25, Аноним (25), 13:59, 07/08/2018 [^] [ответить] [к модератору]	+3 +/–
какой механизм ssh при первом запуске просит проверить отпечаток ключа Подобны... весь текст скрыт [показать]

5.41, пох (?), 23:54, 07/08/2018 [^] [ответить] [к модератору]	–2 +/–
именно такой - доверия _конкретному_ключу_, для конкретного домена, а не какому-... весь текст скрыт [показать]

6.45, Аноним (20), 11:27, 08/08/2018 [^] [ответить] [к модератору]	+1 +/–
Я - тот, другой Аноним Смешались в кучу люди, кони Аутентификация по ключам... весь текст скрыт [показать]

4.36, Аноним (36), 20:56, 07/08/2018 [^] [ответить] [к модератору]	+1 +/–
Бабки за что? За перечисление слабых сторон CA и нескалируемых в масштабах Интернета идейках? За это только по шее могу.

3.19, user (??), 10:58, 07/08/2018 [^] [ответить] [к модератору]	–1 +/–
Считать https незащищённым каналом, естественно Так можно немного усложнить жиз... весь текст скрыт [показать]

4.22, нах (?), 12:35, 07/08/2018 [^] [ответить] [к модератору]	+1 +/–
он защищенный - просто неаутентифицированный То есть если хакер Васья влез к те... весь текст скрыт [показать]

5.52, freehck (ok), 16:56, 08/08/2018 [^] [ответить] [к модератору]	+/–
Да вы оба правы Просто у вас разные представления о том, что значит защищённый... весь текст скрыт [показать]

3.31, xm (ok), 15:48, 07/08/2018 [^] [ответить] [к модератору]	–1 +/–
Да уже придумали. DANE называется. Доверие обеспечивается хоть самоподписанным.

4.37, Аноним (36), 21:01, 07/08/2018 [^] [ответить] [к модератору]	+2 +/–
Буква 171 D 187 в аббревиатуре 171 DANE 187 находится не случайно, и обо... весь текст скрыт [показать]

5.43, Crazy Alex (ok), 11:05, 08/08/2018 [^] [ответить] [к модератору]	+/–
Точнее, много более централизованным

5.49, fi (ok), 15:00, 08/08/2018 [^] [ответить] [к модератору]	+3 +/–
ты в любом случаи доверяешь DNS - когда получаешь IP, и если с этим придет слепок от сертификата сайта - это лучше чем от СА

6.50, Аноним (50), 16:09, 08/08/2018 [^] [ответить] [к модератору]

+1 +/–

> ты в любом случаи доверяешь DNS - когда получаешь IP, и если
> с этим придет слепок от сертификата сайта - это лучше чем
> от СА

остались еще на опеннете умные люди:)

1.4, izyk (ok), 00:07, 07/08/2018 [ответить] [показать ветку] [···] [к модератору]	–4 +/–
Сикока он теперь стоит, интересно?

2.53, freehck (ok), 16:58, 08/08/2018 [^] [ответить] [к модератору]	+/–
Как и раньше, нуль.

1.5, Аноним (5), 00:25, 07/08/2018 [ответить] [показать ветку] [···] [к модератору]	–5 +/–
Ну всё, теперь злоумышленники могут взломать любой сайт на любом устройстве через bgp spoofing. Достаточно получить let's encryptовский сертификат на ч3жой сайт и при митме использовать его

2.6, lucentcode (ok), 00:33, 07/08/2018 [^] [ответить] [к модератору]	–1 +/–
Как получить, когда там проверка на владением доменом запись DNS, или проверка д... весь текст скрыт [показать]

3.11, Аноним (11), 02:11, 07/08/2018 [^] [ответить] [к модератору]	+2 +/–
про бгп же сказано, запернуть на себя делов то

4.30, Crazy Alex (ok), 15:08, 07/08/2018 [^] [ответить] [к модератору]	+/–
Ну да. Подумаешь, мелочи какие

5.35, HyC (?), 17:52, 07/08/2018 [^] [ответить] [к модератору]	+/–
Получить AS и PI стоит оч недорого, и если знаешь куды и как писать такие бумажк... весь текст скрыт [показать]

6.38, Аноним (36), 21:03, 07/08/2018 [^] [ответить] [к модератору]	+/–
> если на пирах такие шалости не зафильтрованы Рекомендую не пириться с дегенератами, а у себя фильтровать всё и на вход, и на выход.

7.39, пох (?), 23:39, 07/08/2018 [^] [ответить] [к модератору]	+/–
рекомендую поадминить не локалхост с PI очень быстро узнаешь, почему только дег... весь текст скрыт [показать]

8.42, Аноним (42), 00:32, 08/08/2018 [^] [ответить] [к модератору]	+/–
Работаю в одной tier 1 AS с четырёхзначным номером. Фильтруем всё, что фильтруется. Расскажи мне ещё что-нибудь про Интернет, люблю послушать сказки админов локалхостов и ланчиков за NAT.

6.40, пох (?), 23:43, 07/08/2018 [^] [ответить] [к модератору]	+/–
ну вот собственно, главное что умиляет - что за эти шалости так никто до сих пор и не сел. в тех бумажках предостаточно информации, чтобы было кого потом взять за жырную жеппу. не хотят? Заплачено кому надо? Никто не пожаловался? В случае с криптобиржей, в общем, наиболее вероятный расклад.

7.44, Crazy Alex (ok), 11:07, 08/08/2018 [^] [ответить] [к модератору]	+/–
Масштабы не те,и само преступление сильно экзотичное. Будут повторяться - отреагируют...

8.46, . (?), 12:16, 08/08/2018 [^] [ответить] [к модератору]	+/–
ну ок, мне тех бабок, что стырили с криптобиржи, вполне хватит.

2.13, нона (?), 04:17, 07/08/2018 [^] [ответить] [к модератору]	+/–
> Достаточно получить let's encryptовский сертификат на ч3жой сайт и Ну так, достаточно и в сервак физически залезть и базу руками скопировать - тоже себе атака. И что? Степень ответственности хранения своего let's encryptовского сертификата точно такая же, как и сертификата любого другого удостоверяющего центра.

3.27, Аноним (27), 14:23, 07/08/2018 [^] [ответить] [к модератору]	–1 +/–
Нужно шифровать секреты через валеты в кубернете.

2.18, IB (?), 10:22, 07/08/2018 [^] [ответить] [к модератору]	+/–
А серт от GoDaddy он конечно самоуничтожится в руках врага?

1.7, Аноним (5), 00:40, 07/08/2018 [ответить] [показать ветку] [···] [к модератору]	–4 +/–
>Как получить, когда там проверка на владением доменом через bgp spoofing. Домен тот же, айпишник тот же, вот только летсэнкрипт общается не с тем сервером, а с сервером злоумышленника.

2.26, админ локалхоста (ok), 14:22, 07/08/2018 [^] [ответить] [к модератору]	+/–
а сервер валидации любого другого СА, значит, не по БГП узнает маршруты к серверу?

3.48, Аноним (48), 14:21, 08/08/2018 [^] [ответить] [к модератору]	+/–
ну так там платить надо, а здесь нет. А раз летс в доверенных, разницы нет, юзеры не заподозрят

1.9, Xasd (ok), 01:22, 07/08/2018 [ответить] [показать ветку] [···] [к модератору]

+3 +/–

> перекрёстно подписан организацией IdenTrust

то есть правильно понял что эта организация сама себе подписала смертный приговор?

очевидно на условиях "либо вы делает это и мы позволяем вам пожить ещё чуть-чуть подольше". а иначе было бы вообще не ясно на какиех мотивах

2.10, AnonPlus (?), 01:59, 07/08/2018 [^] [ответить] [к модератору]	+/–
Не очевидно, пожалуйста, пруфы.

3.12, Старый одмин (?), 02:42, 07/08/2018 [^] [ответить] [к модератору]	+/–
Он имеет ввиду, что Let's Encrypt является конкурентом IdenTrust и угрожает части его бизнеса. Безвозмездно помогать конкурентам - нехарактерное для нашего времени поведение.

4.14, Аноним (14), 05:06, 07/08/2018 [^] [ответить] [к модератору]	+/–
https identrust com certificates learn tlsssl-certificate-types Нет он просто ... весь текст скрыт [показать]

1.28, SE (?), 14:40, 07/08/2018 [ответить] [показать ветку] [···] [к модератору]	+/–
я так понимаю через идетртусд и работает хттпс на моей старой нокии с сабжем. год назад написал вебстраницу с 1 кнопкой и балдею. нокия эта, понятно уже 10лет не обновляется. отключат доверие через идентрусд и хана мне ?

2.29, Аноним (29), 15:06, 07/08/2018 [^] [ответить] [к модератору]	+/–
Если у тебя она 10 лет не обновляется, то кто там, как и что отключит?

2.34, Аноним (34), 17:10, 07/08/2018 [^] [ответить] [к модератору]	+/–
Там вроде можно было что-то воротить с сертификатами...

2.54, Xasd (ok), 19:39, 08/08/2018 [^] [ответить] [к модератору]

+/–

> отключат доверие через идентрусд и хана мне ?

ей хана может придти и просто через пару недель -- без явной на то причины :-)

10 лет это такое дело. "внезапная" смерть в таких старичках подкрадывается в самый "неожиданный" момент! :-)

("ой! как же так. вот только-что работала, а теперь уже нет? может НЕ надо было класть её на другой край стола, ведь раньше она лежала только на вот-этом-крае-стола... всё дело в этом?")

3.55, Аноним (55), 14:57, 09/08/2018 [^] [ответить] [к модератору]	+/–
не, дружище, в неожиданный момент на самом деле вполне ожидаемый мрет как ра... весь текст скрыт [показать]

4.56, SE (?), 15:09, 09/08/2018 [^] [ответить] [к модератору]	+/–
это да, но мне главное чтоб в "неожиданный момент" не отключили цепочку доверия LE через IdenTrust, ведь в старом браузере, я так понимаю через IdenTrust работает.

Добавить комментарий