The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Chrome, Firefox и Safari ограничат время жизни TLS-сертификатов 13 месяцами

28.06.2020 21:17

Разработчики проекта Chromium внесли изменение, прекращающее доверие к TLS-сертификатам, время жизни которых превышает 398 дней (13 месяцев). Компании Apple и Mozilla ранее приняли решение ввести аналогичное ограничение в Safari и Firefox. Ограничение будет действовать только для сертификатов, выписанных начиная с 1 сентября 2020 года. Для полученных до 1 сентября сертификатов с длительным сроком действия доверие будет сохранено, но ограничено 825 днями (2.2 года). Попытка открытия в браузере сайта с сертификатом, не соответствующим упомянутым критериям, будет приводить к отображению ошибки "ERR_CERT_VALIDITY_TOO_LONG".

В прошлом и позапрошлом годах изменение было выставлено на голосование участниками ассоциации CA/Browser Forum, которая используется как площадка для согласования совместных решений производителями браузеров и удостоверяющими центрами. Ранее производителям браузеров удалось отстоять сокращение времени жизни сертификатов вначале до 8, затем до 5, а потом и до 3 лет. В 2018 году была предпринята попытка сокращения действия до года, но, в конечном счёте, было утверждено компромиссное решение и срок был ограничен двумя годами. В прошлом году попытка повторилась, но решение по ограничению срока действия сертификатов до одного года не было утверждено из-за несогласия большинства удостоверяющих центров. В феврале 2020 года компания Apple решила ввести ограничения без согласования в CA/Browser Forum, в марте к инициативе присоединилась компания Mozilla, а теперь и Google.

Изменение может негативно отразиться на бизнесе удостоверяющих центров, продающих дешёвые сертификаты с длительным сроком действия, доходящим до 5 лет. По мнению производителей браузеров генерация подобных сертификатов создаёт дополнительные угрозы безопасности, мешает оперативному внедрению новых криптостандартов и позволяет злоумышленникам длительное время контролировать трафик жертвы или использовать для фишинга в случае незаметной утечки сертификата в результате взлома.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Устаревание корневого сертификата AddTrust привело к сбоям в системах с OpenSSL и GnuTLS
  3. OpenNews: Массовый отзыв сертификатов Let's Encrypt
  4. OpenNews: Mozilla внедряет CRLite для проверки проблемных TLS-сертификатов
  5. OpenNews: Mozilla, Cloudflare и Facebook представили TLS-расширение для делегирования короткоживущих сертификатов
  6. OpenNews: Около миллиона TLS-сертификатов подлежат отзыву из-за проблем с энтропией
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/53250-tls
Ключевые слова: tls, cert
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (239) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Арч не Дебиан (?), 21:26, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +15 +/
    Началось...
     
     
  • 2.34, Аноним (34), 23:02, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Почалося
     
     
  • 3.51, Мордиум (?), 00:21, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Опять Интернет ломают. Цепочка доверия говорит,что сертификат валидный, а браузер будет говорить что нет...

    Почему, это уже другой вопрос. Но неужели нельзя на уровне стандартов и консорциумов договориться, удостоверяющим центрами только на руку - обновление на новые, да ещё и более "скоропортящиеся" сертификаты.

     
     
  • 4.87, Аноним (87), 08:59, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да нет никакого стандарта, сейчас каждый рак куда хочет, туда тянет.
     
     
  • 5.105, Аноним (105), 10:48, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Стандарты есть, но хочется иметь и денюжку. И чем чаще, тем лучше. Например, раз в месяц менять.
     

  • 1.2, Diozan (ok), 21:31, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +14 +/
    Не, ну чо, правильно думают. А то нагенерируют себе сертификаты на 10 лет.
     
  • 1.3, Аноним (3), 21:35, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Ну, и как оно объяснили это решение? Логически объяснили! А то не ясно, с какого фига именно год? И тем более "2.2", LOL!
     
     
  • 2.7, Онаним (?), 21:43, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну, с 2.2 всё просто: 366*2 +25%.
     
     
  • 3.9, Аноним (3), 21:48, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А! Точно!
     
  • 2.10, объяснили (?), 21:48, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Apple, Mozilla & Google не торгуют сертификатами = итого сpать хотели на бизнес всяких там уд центров.

    Но спамеры/кракеры/хацкеры утюжат простых пользователей и тем самым бросают тень на секурность браузеров и самых компаний.

    Элементарно, Ватсон.

     
     
  • 3.13, Аноним (3), 22:01, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > простых пользователей

    Обобряю! Слишком простые могут идти асфальт укладывать. Без инторнетов.

     
     
  • 4.88, ryoken (ok), 09:01, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >>Слишком простые могут идти асфальт укладывать.

    Так вот такие и укладывают. Правда, часто прям поверх снега\луж\прочих говен.

     
     
  • 5.211, Аноним (211), 11:55, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Так вот такие и укладывают. Правда, часто прям поверх снега\луж\прочих говен.

    Ты не поверишь, но это проблема руководителей а не исполнителей.

     
     
  • 6.225, ryoken (ok), 13:07, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты не поверишь, но это проблема руководителей а не исполнителей.

    Видимо, руководятел - недалеко от исполнителей ушёл.

     
     
  • 7.229, Аноним (229), 14:24, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Видимо, руководятел - недалеко от исполнителей ушёл.

    Речь не об этом, и не важно это. Важно другое, даже другие обстоятельства.

     
  • 3.69, Lex (??), 04:38, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тут не совсем понятно недовольство УЦ, т.к речь о том, что долговечность их продукции( сертификаты ) будет снижена, соотв., спрос на них будет как минимум не меньше, а то и ощутимо больше.
     
     
  • 4.73, RomanCh (ok), 05:41, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Это называется конкуренция , слышали же про такое Вот торгуешь ты сертами И в... большой текст свёрнут, показать
     
     
  • 5.76, Lex (??), 06:10, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Суть высказывания не понятна, поскольку тем, кто торгует более дешевыми сертифик... большой текст свёрнут, показать
     
     
  • 6.85, нона (?), 08:45, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Мальчик, ты дурак? Если перехватить хеш, зачем нужно искать для него пароль?
     
     
  • 7.86, Lex (??), 08:50, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Мальчик, ты дурак? Если перехватить хеш, зачем нужно искать для него пароль?

    Похоже, дурак тут только ты, поскольку обеими руками ЗА передачу логина и пароля в открытом виде.
    "Внезапно" хэш может зависеть от множества условий и нюансов.

    А пароль в открытом виде - он пароль и есть, и, как ни меняй алгоритмы хеширования и шифрования, но пароль "123456" юзера будет эквивалентно "123456" злоумышленника, однажды перехватившего его пароль.

     
     
  • 8.145, Аноним (145), 17:23, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А ты умный такой, да Нельзя передавать пароль в хешированном виде Хеш считаетс... текст свёрнут, показать
     
     
  • 9.212, Аноним (212), 12:03, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вы все дураки, я - умный На стороне клиента считается хэш поверх хэша пароля, с... текст свёрнут, показать
     
     
  • 10.245, Аноним (245), 10:50, 04/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ко-ко-ко-ко-ко... текст свёрнут, показать
     
  • 7.95, Аноним (245), 10:03, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ну перехватил ты хеш от пароля и что дальше? второй раз этот хеш не пройдёт, т.к. сеанс уже открыт, хеш протух, а для следующего сеанса для _того же самого_ пароля будет сгенерирован другой хеш. что будешь делать, сосать пису?
     
     
  • 8.133, Аноним (133), 15:29, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это скрывает пароль, но не защищает аккаунт... текст свёрнут, показать
     
  • 8.146, Аноним (145), 17:24, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это что ж за алгоритм такой, который каждый раз для одних и тех же входных данны... текст свёрнут, показать
     
     
  • 9.160, Аноним (160), 17:57, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Алгоритм обычный, а входные данные разные https en m wikipedia org wiki Diges... текст свёрнут, показать
     
     
  • 10.168, Аноним (145), 20:04, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    HTTP digest Серьёзно Нет, спасибо, конечно, что не basic, но, боюсь, ты отстал... текст свёрнут, показать
     
     
  • 11.196, Аноним84701 (ok), 00:21, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https docs aws amazon com cognito latest developerguide amazon-cognito-user-po... текст свёрнут, показать
     
     
  • 12.197, Аноним (145), 01:21, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    challenge-response 8212 это замечательно, только речь выше шла о паролях ... текст свёрнут, показать
     
  • 9.195, Аноним84701 (ok), 00:18, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Принцип работы WPA-PSK PAKE SRP Secure Remote Password https en wikipedia... текст свёрнут, показать
     
     
  • 10.198, Аноним (145), 01:28, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    PSK не есть пароль, строго говоря А про SRP, ты прав, действительно не слышали ... текст свёрнут, показать
     
  • 6.107, RomanCh (ok), 11:28, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Они и наращивали, или вам 5 лет мало Непонятно что вам непонятно Суть высказыв... большой текст свёрнут, показать
     
  • 6.108, Аноним (108), 12:41, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –8 +/
    > наложат какие-нибудь сша какие-нибудь санкции на энное государство - и все

    Не делай гадости и никто не наложит на тебя санкции.
    Я так считаю, несмотря на то, что США не люблю.

     
     
  • 7.113, Michael Shigorin (ok), 13:30, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вы крупно ошибаетесь -- типовая логика здесь описана ещё Крыловым в басне про волка и ягнёнка.
     
     
  • 8.125, Аноним (108), 13:57, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    То есть, чтобы не съели, нужно делать гадости Что Россия и делает, я об этом уж... текст свёрнут, показать
     
     
  • 9.152, Аноним (152), 17:44, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И всё-таки, вы басню-то почитайте, чтобы глупостей не писать ... текст свёрнут, показать
     
     
  • 10.213, Аноним (212), 12:12, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Нет смысла пытаться объяснять ягненку даже если они пишет под анонимом ... текст свёрнут, показать
     
  • 7.117, Аноним (117), 13:44, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Не делай гадости...

    Т.е. "делай, что США велят"?

     
     
  • 8.124, Аноним (108), 13:54, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Необязательно Свои решения тоже нужно принимать, но не перегибать палку Осталь... текст свёрнут, показать
     
  • 7.144, Аноним (144), 17:18, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это было бы возможно, если бы в мире существовала Великая Истина, всеобщая справ... большой текст свёрнут, показать
     
     
  • 8.147, Аноним (145), 17:28, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    История показывает, что это далеко не всегда так Бывает и ровно наоборот ... текст свёрнут, показать
     
  • 8.149, Аноним (-), 17:32, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А она и существует, уже очень давно Истинно только то, что приводит к долгосроч... текст свёрнут, показать
     
  • 8.175, Аноним (175), 21:20, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я как раз считаю, что добро и зло это субъективные понятия Но, если кто-то сбив... текст свёрнут, показать
     
  • 3.179, Аноним (179), 22:14, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    C LE сейчас вообще никаких проблем нет сделать себе сертификат. Раньше за это деньги требовалось платить
     
  • 2.75, КО (?), 06:03, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Бабло вымогают
     

     ....большая нить свёрнута, показать (39)

  • 1.4, Аноним (4), 21:39, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Зачем нужны сертификаты, если им нельзя доверять? Но, в любом случае, это призрачная гарантия чего бы то ни было. С тем же успехом можно вернуться к plain http -- единственное отличие разве что в том, что сосед сможет подслушть модифицировать трафик.
     
     
  • 2.25, пох. (?), 22:40, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > единственное отличие разве что в том, что сосед сможет подслушть модифицировать трафик

    сосед - по любому не сможет.
    Оператор - да, сможет - но кроме совсем охреневших монополистов, не захочет - в отличие от гуглемурзилы он-то живет на твои денежки, которые ты, обидевшись, можешь отнести другому оператору. А вот гуглемурзиле ты не платишь. И владелец сайта на который ты зашел, что характерно, тоже не платит.

    Поэтому товар - вы.

     
     
  • 3.42, бублички (?), 23:27, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >> единственное отличие разве что в том, что сосед сможет подслушть модифицировать трафик
    > сосед - по любому не сможет.

    про ARP spoofing/cache poisoning не слыхали? оно и видно

     
     
  • 4.110, Аноним (110), 13:05, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Про разделение по vlanам и pppoe слышали?
     
     
  • 5.129, бублички (?), 14:34, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Про разделение по vlanам и pppoe слышали?

    ты читать не умеешь? выше писали про соседа. ты думаешь подразумевали VLAN? или всё-таки подразумевали общую локальную сеть? заминусуй сам себя

     
     
  • 6.206, Олег (??), 09:13, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > выше писали про соседа. ты думаешь подразумевали VLAN? или всё-таки подразумевали общую локальную сеть?

    Да что ты, блин, такое несёшь?..

     
     
  • 7.214, Pofigist (?), 12:18, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если ты думаешь что типичный домушник (Eth-ISP) на каждую квартиру выделяет отдельный VLAN, то ты сильно заблуждаешься...

    Да и DOCSIS/GPON - общая шина и там есть свои прекрасные приколы для перехвата соседского траффика... В xDSL - не получится (без учета приколов на дисламе разумеется), но он мертв.

     
  • 7.235, бублички (?), 16:06, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> выше писали про соседа. ты думаешь подразумевали VLAN? или всё-таки подразумевали общую локальную сеть?
    > Да что ты, блин, такое несёшь?..

    ты прежде чем варежку разевать читать бы научился больше чем 1 строчку в 1 комментарии. понял, блин? салага!

     
  • 4.207, Олег (??), 09:15, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >про ARP spoofing/cache poisoning не слыхали? оно и видно

    И? Как это поможет, если есть привязка к порту коммутатора?

     
     
  • 5.215, Pofigist (?), 12:19, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да ктож ее делает-то?
     
  • 5.234, бублички (?), 15:59, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    мы рассмотрим все возможные случаи что могут уложиться в бредовый комментарий пох? или ты поленился прочитать откуда ноги растут но как и все включил эксперта?
     
  • 3.59, Avator (ok), 01:32, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Как минимум если окажется в одной с вами WiFi сети - легко сможет.
    В сетях тех же ресторанов - вообще элементарно, если обращаетесь к сайту без HTTPS и не используете VPN.
     
  • 3.68, Lex (??), 04:36, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Возможно конкретно ты и товар, но у нормальных людей в такой ситуации товар - возможность доступа к интернету или конкретной его части.

    Владелец сайта, кстати, платит, пусть и немного иными путями - за «красивый» адрес, за хостинг итп, т.е он как раз платит за то, чтобы к нему могли зайти пользователи.

     
     
  • 4.134, пох. (?), 15:32, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Владелец сайта, кстати, платит, пусть и немного иными путями - за «красивый»
    > адрес, за хостинг итп, т.е он как раз платит за то,

    А где тут деньги гуглемурзилы? Во-о-от, то есть этим пацанам, за крышу, не забашлял!
    Поэтому они его самого продадут. "На 'добавить' - хватит!"

    > чтобы к нему могли зайти пользователи.

    А они херак, и не могут больше к нему зайти - вместо сайта белая страница с неведомой фигней бледносерыми буквами посередине: ERR_CERT_VALIDITY_TOO_LONG

     
  • 3.74, Аноним (74), 06:03, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Оператор - да, сможет - но кроме совсем охреневших монополистов, не захочет

    А других нет. Почитайте, как мегафон и прочие внедряет скрипты с рекламой в страницу (и по…ть, что она ломается). Два стула, в общем.

     
     
  • 4.98, пох. (?), 10:26, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А других нет.

    у меня до сих пор не замечено попыток пихания рекламы и прочего мусора ни за одним из двух домашних провайдеров, что я делаю не так?

    Может, не гоняюсь за дешевизной?

    А мегафон и остальная троица - именно охреневший монополист, это я как участник попытки создания ему альтернативы ответственно заявляю. В РФ нет и не может быть еще одного мобильного оператора, всё. Поделено, и смотрящие приставлены, чтоб заносили кому надо и с кем надо делились.

    Не, ну на условиях йопты или теле2 можно, конечно. Если добрые дяди хотя бы за пол-цены купят.

    Так что в мобильной связи стульев вроде бы целых четыре, и еще пара приставных табуреточек, но ассортимент того что по ним расставлено - тот же.

     
     
  • 5.216, Pofigist (?), 12:21, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А MT_FREE у тебя в списке сохраненых сетей, ога? :)
     
     
  • 6.224, пох. (?), 13:00, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > А MT_FREE у тебя в списке сохраненых сетей, ога? :)

    у меня вообще нет карманного шпиона.


     
     
  • 7.240, Pofigist (?), 22:07, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Его нет только у того кто не работает.
     

  • 1.5, Онаним (?), 21:41, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Такое ощущение, что существующая TLS PKI приближается к порогу раскола, разброда и шатаний. Автоматическая регенерация короткоживущих сертификатов тоже так себе решение с т.з. возможных рисков.
     
     
  • 2.21, пох. (?), 22:34, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    по-моему наоборот - смело товарищи в ногу шагают к полному контролю твоего сайта.
    Потому что сайт-то может пока еще и твой, а интернет - ихний.

    > Автоматическая регенерация короткоживущих сертификатов тоже так себе решение с т.з. возможных
    > рисков.

    а что если их целью и является максимизация этих рисков? Нееее, ну не может же ж быть - гугль, мурзила, ябл - честнейшие же ребята, вы только гляньте в эти индусские хари. Как можно таким да не доверять?

     
     
  • 3.53, Онаним (?), 00:31, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Всё вполне вероятно так, но тут столкнулись продвигатели контроля над PKI с зарабатывальщиками на PKI.
    Так-то чума на оба дома, конечно, но столкновение интересное.
     
     
  • 4.138, Аноним (-), 16:07, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Страдать всё равно мы будем. "Баре дерутся, а чубы у холопов трещат"
     

  • 1.6, Аноним (3), 21:41, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Опять "забота о гражданах" вместо совершенствования технологий/стандартов/etc..
     
     
  • 2.41, Аноним (41), 23:23, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • –6 +/
    За совершениствование некоторых технологий можно и на бутылку присесть.
     
  • 2.148, Аноним (145), 17:30, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Опять "забота о гражданах" вместо совершенствования технологий/стандартов/etc..

    Сам-то понял, что написал? Какое может быть совершенствование, если сертификаты по десять лет не обновлять?

     

  • 1.8, funny.falcon (?), 21:44, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Странно: раньше центры получали денежку раз в 5 лет. Теперь будут каждый год. Чем они не довольны?

    Проблема в конкуренции с LetsEncrypt?

     
     
  • 2.27, пох. (?), 22:44, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    именно так. геморрой со сменой пачки сертификатов раз в год (со служебными записками и миллионом согласований затрат аж этак на $60) для многих окажется окончательно неприемлемым.

    Проще плюнуть и перейти на 6ешплатые. Ну станет одной потенциальной брешью больше из-за невменяемых роботов, манипулирующих сервером - подумаешь.

    Пользователи, жрущие с чавканьем любое дерьмо подачи гуглезиллы - сами виноваты.

    Зато, если у нас сперли сертификат на самом деле - теперь хрен кто что докажет.

     
     
  • 3.30, Ананимус (?), 22:50, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тебе не кажется, что платить за сертификат это довольно тупая затея в 2k20?
     
     
  • 4.40, пох. (?), 23:22, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    "вот же, 6ешплатное, взять-взять-взять!"

     
     
  • 5.48, Ананимус (?), 00:10, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    За ДНС-сервер ты тоже платишь?
     
     
  • 6.60, Гентушник (ok), 01:35, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    За DNS-сервер то можно не платить, а за то чтобы поднятый тобой DNS-сервер включили в "цепочку доверия" придётся заплатить денюжку регистратору доменных имён.
    (бесплатные доменные имена не в счёт)
     
     
  • 7.84, Ананимус (?), 08:41, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > За DNS-сервер то можно не платить, а за то чтобы поднятый тобой
    > DNS-сервер включили в "цепочку доверия" придётся заплатить денюжку регистратору доменных
    > имён.
    > (бесплатные доменные имена не в счёт)

    Я про резолвер говорил.

     
  • 6.100, пох. (?), 10:33, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    за веб-сервер, использующий эти сертификаты - тоже не плачу.
    А за dns - таки да, и дорого.

    Там тоже правильные пацаны следят чтоб понятия соблюдались, а не кто чо нашел то и его. А братве за крышу кто заносить будет, за порядок?

     
  • 6.111, Аноним (111), 13:26, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >За ДНС-сервер ты тоже платишь?

    ДНС нынче входит в стоимость домена, если ты не в курсе. Этот сервис уже 5-10 лет как активно используется. Бесплатные домены имеются и к ним тебе еще дают бесплатный DNS. Проблема в том, что 1) возможностей этого DNS маловато 2) не секьюрно в контексте того же Let's Decrypt (владелец dns может "увести" сертификат в два пальца).

     
     
  • 7.119, Ананимус (?), 13:48, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >>За ДНС-сервер ты тоже платишь?
    > ДНС нынче входит в стоимость домена, если ты не в курсе. Этот
    > сервис уже 5-10 лет как активно используется. Бесплатные домены имеются и
    > к ним тебе еще дают бесплатный DNS. Проблема в том, что
    > 1) возможностей этого DNS маловато 2) не секьюрно в контексте того
    > же Let's Decrypt (владелец dns может "увести" сертификат в два пальца).

    Я про резолвер говорил.

     
     
  • 8.130, Аноним (111), 15:08, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Чешу репу и у меня только один вопрос зачем ты вообще спросил про резолвер DNS ... текст свёрнут, показать
     
     
  • 9.136, Ананимус (?), 15:56, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Очевидно нет, ведь я пользуюсь бесплатными Не знаю, кому чего уплочено, я польз... большой текст свёрнут, показать
     
     
  • 10.157, Аноним (111), 17:53, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Давай я тебя спущу с небес фантазий о твоей гениальности 1 Ты платишь за интер... большой текст свёрнут, показать
     
     
  • 11.161, Ананимус (?), 18:09, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я плачу своему провайдеру за доступ в сеть За доступ к DNS серверу я ему не пла... большой текст свёрнут, показать
     
     
  • 12.164, Аноним (111), 18:33, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ты вообще не в теме Поясняю 1 Ты владелец сайта 2 У твоего сайта есть домен ... большой текст свёрнут, показать
     
     
  • 13.165, Ананимус (?), 19:40, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Я не знаю сколько раз мне придется говорит, но я попробу... большой текст свёрнут, показать
     
  • 7.128, пох. (?), 14:26, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > не секьюрно в контексте того же Let's Decrypt (владелец dns может "увести" сертификат в два
    > пальца

    ну так "владелец" - DNS (не ресолвера, а dns ;-) его именно что может увести, как два пальца. Как и владелец твоего ip (и это опять не ты).
    Для того и придумали letshitcrypt, а то ишь, выдумали - документы какие-то требовать, или валидации не сиюминутного контроля над доменом или сайтом, а чего посущественнее устраивать. Да еще и сертификат годами не менять, вызывая обоснованные *вопросы* если вдруг он ни с того ни с сего изменился.

    Запретить-запретить!

     
     
  • 8.131, Аноним (111), 15:11, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А я и не спорю Жду, когда Мозилла, Гугл, Эппл это поймут и начнут раздавать бес... текст свёрнут, показать
     
  • 8.137, Ананимус (?), 16:00, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Хостер, ворующий домен, это прям что-то удивительное Как валидация сертификата ... большой текст свёрнут, показать
     
     
  • 9.140, пох. (?), 16:19, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    хостеру не надо воровать домен, он может твой сертификат скопировать командой cp... текст свёрнут, показать
     
     
  • 10.141, Ананимус (?), 16:24, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вот именно Как и везде Если ты хостишься не в облаке, а купил себе доменное им... текст свёрнут, показать
     
  • 4.78, Anonymoustus (ok), 07:15, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +11 +/
    > 2k20

    И ведь ни одного знака не сэкономил. Дурак дураком.

     
  • 4.83, Аноним (245), 08:33, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    всё ещё находятся дегенераты, которые не знают, что положение множительной приставки замещает запятую в числе. т.е. 2к20 = 2,20 тысячи или 2200
     
     
  • 5.101, Аноним (101), 10:39, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > 2к20 = 2,20 тысячи или 2200

    а 2k3 - это 2.3 тысячи, то есть 2300?

     
     
  • 6.112, nbw (ok), 13:28, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Вы на редкость догадливы, дорогой сэр
     
  • 5.163, Ананимус (?), 18:23, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > всё ещё находятся дегенераты, которые не знают, что положение множительной приставки замещает
    > запятую в числе. т.е. 2к20 = 2,20 тысячи или 2200

    Ахахаха. Нет.

     
  • 3.55, Онаним (?), 00:34, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Есть ещё блин места, где обновление сертификатов только ручное, с перекрёстной проверкой по факту...
    Как они вообще себе это в перспективе представляют. Ну ок, год ещё терпимо, но они ведь 100% дальше собрались эту планку двигать.
     
     
  • 4.99, пох. (?), 10:31, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Как они вообще себе это в перспективе представляют.

    раз в день, каждый день - а что этим людям еще было бы чем заняться - это неважно, гугля это не волнует.

    По факту можно считать что мы вернулись во времена до https. Он уже просто не поддерживается браузерами (поддерживается теперь подделка-пародия на него). Хочешь хотя бы видимости защиты - vpn или периметр единственные твои средства.

     
     
  • 5.171, Онаним (?), 20:29, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вообще да, для внутренних сервисов так и есть, кроме того, что в wifi может ходить :)
     
  • 4.120, Ананимус (?), 13:49, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Есть ещё блин места, где обновление сертификатов только ручное, с перекрёстной проверкой
    > по факту...
    > Как они вообще себе это в перспективе представляют. Ну ок, год ещё
    > терпимо, но они ведь 100% дальше собрались эту планку двигать.

    А зачем? Сертификат должен защищать данные, передающиеся по каналу между клиентом и сервером. Зачем их руками обновлять, кому от этого радость?

     
     
  • 5.169, Онаним (?), 20:06, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Руками обновлять затем, чтобы исключить возможность "автообновления" на что-то отличающееся от нужного.
    Ну ладно, не совсем руками - там ансиблы и прочее, но перекрёстная проверка обязательно проводится.
    Нет доверия к автоматизированным сервисам обновления, совсем нет.
     
     
  • 6.174, Ананимус (?), 20:56, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Руками обновлять затем, чтобы исключить возможность "автообновления" на что-то отличающееся
    > от нужного.
    > Ну ладно, не совсем руками - там ансиблы и прочее, но перекрёстная
    > проверка обязательно проводится.
    > Нет доверия к автоматизированным сервисам обновления, совсем нет.

    Ну и какие у нас (обоснованные) страхи? И почему нельзя заскриптовать проверку по критериям и скормить их certbot'у в скрипт?

     
     
  • 7.185, Онаним (?), 22:40, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Никакие скрипты в файлы с сертификатами не ходят. Тчк. That's the rule.
    Можете считать, что без цели и смысла, просто ваши фломастеры другие на вкус.

    Естественно, это не касается клиентских, там клиент волен по своему усмотрению хоть приватный ключ мылом посылать - и таких, блин, полно.

     
     
  • 8.186, Онаним (?), 22:42, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Добавочка к первому не ходят на запись В ключи не ходят на чтение, кроме софта... текст свёрнут, показать
     
  • 8.201, Ананимус (?), 06:19, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так какая модель угроз-то В сертификате троян Он на другой домен Вместо тв... текст свёрнут, показать
     
     
  • 9.244, Аноним (244), 18:40, 01/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ты хочешь заставить людей описать ВСЕ модели угроз, которые уже были или будут ... текст свёрнут, показать
     
  • 4.150, Аноним (145), 17:34, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Есть ещё блин места, где обновление сертификатов только ручное, с перекрёстной проверкой по факту...

    Ну так пришло время автоматизировать. За чем дело стало? Let's Encrypt сумел, а продавцы воздуха не могут? Ну так и не пошли б они лесом в таком случае?
    Или ты боишься, что тебя, админа-обновляльщика, без работы оставят? Так грош тебе цена как специалисту, если ты, кроме как хеши сверять, ничего не могёшь.

     
     
  • 5.159, Ананимус (?), 17:57, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ну так пришло время автоматизировать. За чем дело стало? Let's Encrypt сумел, а продавцы воздуха не могут?

    Ну так это ж работать надо, а не воздухом торговать.

     
  • 5.170, Онаним (?), 20:11, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я, к счастью, к этому обновлению имею отношение только в том плане, что сетаплю системы, в которых к этим самым сертификатам возможен доступ только после цепочки авторизации (личный ключ - личный пароль - пароль обновления).
     
  • 5.182, Аноним (179), 22:27, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Разберись вначале какие сертификаты существуют в плане назначение и требующие подтверждения не только почтовым адресом. Ты точно хочешь заходить в банк имеющий Let's Encrypt сертификат?
     
     
  • 6.187, Онаним (?), 22:46, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А, им всё фиолетово. У них всё просто - докерочек, и редисочка с монгочкой в сеть... как обычно, с течением времени - голым задом, потому что апстримчик нечаянно изменил темплейтик, и воооот этот параметр теперь уже не торт, а мы смузи пили. Зато автоматизировано (с)
     
  • 6.199, Аноним (145), 01:37, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ты точно хочешь заходить в банк имеющий Let's Encrypt сертификат?

    Разуй глаза и перечитай, на что отвечаешь. Кто сказал, что именно Let's Encrypt? Пусть любой УЦ сделает API для обновления сертификатов, вовсе не обязательно использовать для этого ACME. Сделает так, чтобы было в достаточной степени секюрно. Доступ для верифицированного клиента по каким-нибудь токенам, которые легко нагенерировать и легко отозвать. Что этому мешает?

     
     
  • 7.203, Онаним (?), 08:51, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну пусть сделает. УЦ, сделай мне за***сь, раз-два. [и лишь молчание было ему ответом]
     
  • 7.204, Онаним (?), 08:52, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    К слову, у многих УЦ есть API для выписки и отзыва сертификатов. При желании его можно даже для автообновления использовать, но это редкий юзкейс.
     
     
  • 8.209, К. О. (?), 10:29, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Теперь станет частым ... текст свёрнут, показать
     
     
  • 9.239, Онаним (?), 18:46, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Возможно Либо API оставят только для партнёрок, как некоторые уже сделали ... текст свёрнут, показать
     
  • 2.166, Аноним (166), 19:56, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Сейчас - уже да, т.к. блокировку с него сняли.
     

     ....большая нить свёрнута, показать (46)

  • 1.11, Аноним (3), 21:56, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    > внедрению новых криптостандартов

    "Во что" они собрались их внедрять? Ах в свой браузер чтоле? Ща, разбежался и побежал обновлять, ога))

    > для фишинга

    Да пжалуста, пусть используют! И желательно пожостче, а мне пусть вышлют видео, гг.

     
  • 1.12, Аноним (12), 22:00, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Если уж у фирмы сперли сертификат и никто не заметил, что мешает делать это на регулярной основе?

    К тому же, как раз одной из основной причин введения lets encrypt была в том, что люди забывают за 5 лет, как обновлять сертификаты и куда их подкладывать. Типа, настроил сертбота и можно про это вообще забыть, он самостоятельно будет работать годами, раскладывая в нужные места сертификаты.

    В этом случае, выявлять утечки будет даже сложнее.

     
     
  • 2.17, пох. (?), 22:21, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Если уж у фирмы сперли сертификат и никто не заметил, что мешает делать это на регулярной основе?

    так ведь вопрос - КТО спер.

    > В этом случае, выявлять утечки будет даже сложнее.

    именно.

     
  • 2.151, Аноним (145), 17:38, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Если уж у фирмы сперли сертификат и никто не заметил, что мешает делать это на регулярной основе?

    Например, то, что настройки сервера поменяли или админа-долбодятла уволили. А если вместо одного сертификата для всех серверов стали использовать разные, то и от регулярного воровства толку сильно поубавится.

    > В этом случае, выявлять утечки будет даже сложнее.

    man CT

     
  • 2.184, Аноним (179), 22:29, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Потом сменили api и приехали обновление перестало работать
     
     
  • 3.205, пох. (?), 08:55, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А это оно у тебя потому перестало, что вместо единственноверного _самообновляющегося_ скрипта, ты, гад такой, используешь какие-то сомнительные васянские поделки.
    Лишая правильных ребят возможности обновить тебе не только этот скрипт, но и что-нибудь еще, если правильные ребята опять же правильно попросят - и снова не оставив никаких следов - ведь после того обновления скрипт снова обновился - смотри, смотри - вот код, все в нем правильно, не, мы не знаем кто у тебя вчера zero day запустил - руйские хакеры, наверное!


     

  • 1.14, Аноним (14), 22:09, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Пошли они со своими стандартами.
    На госзакупки только хромиум-гост и майкрософтовские браузеры заходят.
     
     
  • 2.29, Ivan_83 (ok), 22:49, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Сайт востребован полутора ананимами - не интересно никому.
     
     
  • 3.49, Аноним (49), 00:17, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А он не для хоиячков без денег и делался. Проходите дальше, к ютубокотикам и бьютиблоггерам, не мешайте серьёзным людям заниматься делами.
     
  • 3.217, Pofigist (?), 12:26, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Сайт востребован бизнесом, совокупно дающим более 80% ВВП РФ
     
  • 2.102, пох. (?), 10:40, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > На госзакупки только хромиум-гост и майкрософтовские браузеры заходят.

    так не будет скоро майкрософтовских, вот в чем беда-то.
    И, кстати, я практически уверен что в ie11 нужное и полезное усовершенствование сбэкпортят.

    Потому что все остальные нужные и полезные усовершенствования до него давным-давно добрались.

    Останется только китайский квадратик-квадратик-360.

     
     
  • 3.153, Аноним (152), 17:49, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > И, кстати, я практически уверен что в ie11 нужное и полезное усовершенствование сбэкпортят.

    Стюардессу уже давно закопали, и слава богу.

     

  • 1.15, Аноним (15), 22:17, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Остаётся посмотреть поведутся ли владельцы сайтов на это.
     
     
  • 2.19, пох. (?), 22:23, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    а кто их спрашивать-то будет? Пользователь получит вместо сайта - пустую БЕЛУЮ страницу, с неведомой херней точно посередине - ERR_CERT_VALIDITY_TOO_LONG - не текстом с описанием в чем именно проблема, а именно бессмысленным идиотским заклинанием.

    Разумеется, испугается, нажмет reset, и откроет сайт конкурентов.

    Еще один шажок к полному уничтожению возможности грамотных пользователей контролировать доверие на уровне _сертификатов_ а не подконтрольных хз кому CA - успешно сделан.

     
  • 2.33, Ivan_83 (ok), 23:01, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Я даже на https не повёлся - мой сайт по прежнему по http доступен, а https - с самоподписным, кажется на 10 лет сертом.
     
     
  • 3.43, пох. (?), 23:35, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    главное чтобы гугль не разучился его индексировать - а он может если эти модные... большой текст свёрнут, показать
     
     
  • 4.80, Anonymoustus (ok), 07:18, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > главное чтобы гугль не разучился его индексировать - а он может. если эти модные тенденции протекут и в мозги автора curl (дай угадаю, чью либу используют гуглоботы)

    Грядут (возвращаются) времена, когда мы ссылки на _свои_ сайты будет сообщать доверенным лицам и каталогам ссылок, а индексаторы вроде Гулагеля пусть индексируют что-нибудь другое. И смех, и грех.

     
  • 4.89, Аноним (87), 09:41, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > главное чтобы гугль не разучился его индексировать

    Если я что-то закрыл https-ом, дак поди уж наверно, что мне совсем не нужно, чтобы там шатались какие-то гуглы. А где можно слоняться - там http.

     
     
  • 5.103, пох. (?), 10:43, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У Ивана https'ом ничего не закрыто - у него есть просто еще и https - для тех кого почему-то не устраивает http (например - лишают охреневшего оператора доли от рекламы, твари), ну и для гугля, чтоб индексировал. Как и у меня, собственно. Вот первое перестанет работать из-за браузеров, а второе - потому что гуглебот использует те же библиотеки, а их авторам уже вручены ЦУ как все испортить чтоб ничего кроме одобренного гуглем не работало.

     
     
  • 6.241, Ivan_83 (ok), 23:10, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У меня https с самоподписным сертификатом есть только потому что есть доступ с авторизацией через вебдав к данным которые не являются публичными.
     

  • 1.16, Kuromi (ok), 22:18, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Изменение конечно не самое приятное, но давно уже понятно что одними разговорами ничего не добиться, приходится форсировать. Например недавний пример - один госбанк в РФ был настолько продвинут что поддерживал на своих вэб-сервисах только SSL (все еще) и TLS 1.0. Все что новее - просто не поддерживалось.
    Тлько пинок со стороны Хрома\ФФ заставил их наконец убрать SSL и добавить TLS 1.2. Так что теперь у них TLS 1.0 И TLS 1.2.

    А без пинка они бы никогда не сделали, наверное.

     
     
  • 2.24, Аноним (24), 22:40, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > один госбанк в РФ был настолько продвинут

    Имя, сестра. Имя!

     
     
  • 3.66, Kuromi (ok), 03:25, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> один госбанк в РФ был настолько продвинут
    > Имя, сестра. Имя!

    Я лишь намекну Оборонка + Санация.

     
  • 2.28, Аноним (28), 22:49, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И что, много денег сперли у этого банка и его клиентов?
     
     
  • 3.50, Аноним (49), 00:20, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    К сожалению, почти все подобные истории остаются гулять по даркнету, да в редких случаях — по «московским гостиным». До подлинной цифровой открытости нашей цивилизации ещё не один десяток лет.
     
  • 3.65, Kuromi (ok), 03:25, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > И что, много денег сперли у этого банка и его клиентов?

    Ну его бывшие хозяева все в Лондоне, дела так сказать возбуждаются.

     
     
  • 4.79, Аноним (79), 07:17, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И всё из-за сертификатов не той системы и старого ссл? Как интересно. А я то думал как у нас в стране прут всё подряд. А это из-за отсутствия квиков с тлс1.3 и летшинкриптами.
     
     
  • 5.173, Kuromi (ok), 20:41, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > И всё из-за сертификатов не той системы и старого ссл? Как интересно.
    > А я то думал как у нас в стране прут всё
    > подряд. А это из-за отсутствия квиков с тлс1.3 и летшинкриптами.

    Не, в Лондон они уехали после того как оказалось что "расхищали и схематозили". А банк остался.

     

  • 1.18, Сейд (ok), 22:23, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Вот так вот браузеры и начинают диктовать, кому верить, а кому нет.
     
     
  • 2.20, пох. (?), 22:30, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    что значит - начинают? Они это делают уже лет пять. С момента уничтожения любых альтернатив letshitcrypt.

     
     
  • 3.61, Сейд (ok), 01:56, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Интересно, а можно ли организовать независимую распределённую систему выдачи и удостоверения сертификатов на основе технологии блокчейн?
     
     
  • 4.77, Аноним (77), 06:54, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И сколько биткоинов будут брать сгенерировавшие блок за право поместить туда Ваш домен? Если надеяться на бесплатное расхождение ключа по сети, то возникает другая проблема, а кто будет проверять, что этот домен действительно Ваш? Все несколько десятков миллиардов устройств? И, что делать если Вы выкупили домен, который отобрали у кого то за неуплату. Как зарегистрировать новый ключ?
     
     
  • 5.135, пох. (?), 15:40, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Если надеяться на бесплатное расхождение ключа по сети, то возникает
    > другая проблема, а кто будет проверять, что этот домен действительно Ваш?

    а кто сказал что взяв в биткойнах - будут проверять? Тоже не будут. ;-)

    В очередной раз - работавшая и надежная схема - уже была, ее старательнейшим образом уничтожили, больше десятка лет велась кропотливая работа, чтоб никак, никакими силами ее использовать стало невозможно.

    Схема - ровно та самая, что во всеми вами любимом ssh. Доверие _сертификату_, а не левым васянам.
    Как проверять прежде чем доверять - на твое усмотрение. Хошь езжай непосредственно к владельцу и побитно копируй, а не хошь - просто надейся что машины времени у рептилоидов и соседа васяна нет, и подменить уже знакомый тебе сертификат они не могут.


     
  • 2.22, Аноним (-), 22:35, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Они монополисты, вам некуда уйти.
     
     
  • 3.23, Аноним (23), 22:38, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, к сожалению, ничего хорошего из браузеров сейчас не осталось.
    Приходится пользоваться тем, что есть. Плюясь и чертыхаясь.
     
  • 3.64, Сейд (ok), 03:19, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Pale Moon
     
     
  • 4.72, X86 (ok), 05:09, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это не браузер, а дистрибутив браузера.
     
  • 4.91, Аноним (87), 09:48, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот уж точно, будут форкать и использовать. В своё время все сидели на Осле, сайты могли только в Осле работать... И что сейчас? Да сейчас в нём вообще ничего не работает и его забыли, как страшный сон. Также забудут про хромого и косого.
     
  • 4.104, пох. (?), 10:45, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Pale Moon

    этот тож не отстанет от трендов. hpkp вон уже объявил немодным и небезопасТным. Тем более что использует ту же самую nss, а фичу явно планируют добавлять в нее, а не в интерфейс.

      

     

  • 1.26, Ноним (?), 22:41, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ага, пусть только расскажут как обновлять корневые сертификаты на всех устройствах
     
     
  • 2.31, Ананимус (?), 22:52, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >  Ага, пусть только расскажут как обновлять корневые сертификаты на всех устройствах

    К корневым сертификатам это не относится. Хотя пакетные менеджеры вроде есть везде.

     
     
  • 3.35, Ноним (?), 23:04, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Как мне обновить старый андроид 2.3.6? Или симбиан? Сразу на свалку? Ну тогда это запланированное устаревание во всей красе
     
     
  • 4.36, Аноним (3), 23:13, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > старый андроид 2.3.6

    О да, посерфить с него будет реально весело!)

    А еще забавнее товарисчи, ставящие https only, потом в РФ их сайт блочат, и все - не зайти даже через бесплатный прокси!

     
     
  • 5.172, Онаним (?), 20:31, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Тут претензии не к тем, кто HTTPS only выставил, тaщемта.
    А так - смотря через какой прокси. Тот же встроенный в оперу анальный зонд нормально обходит все недоблокировки.
     
  • 4.37, Ананимус (?), 23:18, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >  Как мне обновить старый андроид 2.3.6? Или симбиан? Сразу на свалку? Ну тогда это запланированное устаревание во всей красе

    А почему все должны страдать из-за того, что ты пользуешься говном мамонта? Серьезно, давно уже пора понять: ЖЕЛЕЗКА ДОЛЖНА ПОЛУЧАТЬ АПДЕЙТЫ. Есл ты перестанешь покупать железо, которое через полгода не поддерживают, то твои волосы станут мягкими и шелковистыми.

     
     
  • 5.139, Аноним (-), 16:15, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А почему все должны страдать из-за того, что ты пользуешься говном мамонта?

    Во-первых, отучаемся говорить за всю сеть. Во-вторых, никто тебе не обязан обновляться на свежайшие версии, потому что лично тебе моча в голову ударила это сделать. Прогресс не всегда прогрессивен.

     
     
  • 6.142, Ананимус (?), 16:42, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> А почему все должны страдать из-за того, что ты пользуешься говном мамонта?
    > Во-первых, отучаемся говорить за всю сеть. Во-вторых, никто тебе не обязан обновляться
    > на свежайшие версии, потому что лично тебе моча в голову ударила
    > это сделать. Прогресс не всегда прогрессивен.

    Ну так у меня-то все ок. Страдают любители симбиана.

     
  • 6.180, Аноним (180), 22:15, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Во-первых, отучаемся говорить за всю сеть.

    Именно так.

    > Во-вторых, никто тебе не обязан обновляться на свежайшие версии, потому что лично тебе моча в голову ударила это сделать. Прогресс не всегда прогрессивен.

    Это никто ТЕБЕ не обязан поддерживать твой допотопный шлак.

     
     
  • 7.218, Аноним (-), 12:26, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Это никто ТЕБЕ не обязан поддерживать твой допотопный шлак.

    Поэтому надо запретить продавать для народа любую проприетарщину, его будет более чем достаточно в военной и академической среде.

    Ну и останется за мной выбор:
    - я (+другие) могу проспонсировать работу если сам не могу это сделать чтобы, как вы сказали, допотопный шлак перестал быть допотопным и шлаком
    - я могу сам сделать необходимую работу

    Покупая железо и софт я бы хотел возможность обладать полными правами (конечно же кроме авторских) на железо и софт после гарантийного срока.

    Я бы например проголосовал за это вместо поправок в конституцию.

     
  • 5.193, Онаним (?), 23:18, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Серьезно, давно уже пора понять: ЖЕЛАЮЩИЕ ВПИХНУТЬ НА ЖЕЛЕЗКУ АПДЕЙТ БЕЗ МОЕГО ВЕДОМА ИДУТ НЯЯЯЯЯЯ... ЛЕСОМ ^_^


     
  • 4.45, Аноним (24), 23:46, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > андроид 2.3.6
    > 2011

    Необновленная Windows 7 SP1 кстати тоже не открывает многие сайты
    http://forum.oszone.net/thread-345267.html
    И дело не в сертификатах, а в алгоритмах шифрования.

     
     
  • 5.54, Аноним (12), 00:33, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, на самом деле, проблема не только в осях, но и, например, в старых версиях питона.

    Как то я пытался собрать то ли не самый свежий хромиум, то ли не самый свежий электрон. Так вот, они собираются при помощи гугловских depot_tools, которые с собой таскали немного протухший питон, который не мог скачать какие-то артефакты с клоудфларевских серверов из-за того, что не поддерживал последних алгоритмов шифрования.

     
  • 5.194, Онаним (?), 23:20, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И даже не в самих алгоритмах, а в том, что SSLv3/TLSv1/TLSv1.1 ффсё
     

  • 1.32, Ivan_83 (ok), 22:59, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Ну ок, придётся сделать мимт прокси дома, которая будет хоть каждый день генерить сертификаты, а клиентская часть буде по прежнему адекватно доверять сертификам, хоть там 100 лет срок годности нарисуют.
     
  • 1.38, Аноним (41), 23:18, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >мнению производителей браузеров генерация подобных сертификатов создаёт дополнительные угрозы безопасности

    Угрозы безопасности создаёт отсутствие контроля за CA. В смысле мы не можем проверить честность CA. И сайты не могут. И браузеры не могут. Также никто не может наказать CA за плохое поведение - единственное что можно сделать - это "на зло маме отморозрть уши", потому что все CA одинаково зависят от тех, кто их может заставить участвовать в MiTM, и отказаться от CA нельзя - ничего работать не будет.

     
     
  • 2.44, пох. (?), 23:43, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    могут Просто ты не понимаешь ЧТО на самом деле является плохим поведением Во... большой текст свёрнут, показать
     
     
  • 3.46, Аноним (24), 23:53, 28/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    пох, почему ты такой циничный?
     
     
  • 4.62, comrade (ok), 02:25, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А как научить молодёжь распознавать интересы?
     
     
  • 5.122, Аноним (117), 13:53, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Чьи?
     
     
  • 6.143, comrade (ok), 16:48, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Любые.
     
     
  • 7.219, Аноним (-), 12:29, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Никак. Если субъект не намерен/заинтересован учиться, то ты его на научишь, насильно не впихнешь.
     
     
  • 8.233, comrade (ok), 15:51, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У некоторых субъектов возникают вопросы типа пох, а почему ты такой циничный ... текст свёрнут, показать
     
  • 3.200, Аноним (200), 04:19, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Аноним тебе про совсем другое говорил, а ты несешь свой бред тут неясно зачем. Тебе самому приятно столько желчи изрыгивать?
     
  • 2.47, vitalif (ok), 00:07, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В смысле мы не можем проверить честность CA.

    С letsencrypt можем, там Certificate Transparency. Блокчейн почти. :-)

     
     
  • 3.52, Ананимус (?), 00:29, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    На самом деле не можем. В лог попадают только те сертификаты, которые проходят через бизнес-логику. Если к оператору летсэнкрипта (или любого другого CA) обратится жыдомоссад с просьбой поделиться сертификатиком, никто не помешает этому человеку подписать сертификат руками.
     
     
  • 4.57, vitalif (ok), 00:37, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не, ну в смысле? Ты как раз и можешь проверить, есть ли там этот сертификат. Если его там нет - значит это сертификат жыдомоссада.

    По идее, в идеале нужно как раз добить эти УЦ и цепочки доверия и перейти на проверку через транспаренси и публичный блокчейн. Просто понятно, что прямо сейчас ты фиг это внедришь...

     
     
  • 5.121, Ананимус (?), 13:51, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Не, ну в смысле? Ты как раз и можешь проверить, есть ли
    > там этот сертификат. Если его там нет - значит это сертификат
    > жыдомоссада.
    > По идее, в идеале нужно как раз добить эти УЦ и цепочки
    > доверия и перейти на проверку через транспаренси и публичный блокчейн. Просто
    > понятно, что прямо сейчас ты фиг это внедришь...

    Это когда все браузеры начнут эти листы проверять.

     
  • 5.126, Ананимус (?), 13:59, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Не, ну в смысле? Ты как раз и можешь проверить, есть ли
    > там этот сертификат. Если его там нет - значит это сертификат
    > жыдомоссада.

    Смотри, твою TLS сессию записывают (привет, Яровая), берут дубликат TLS сертификата сервера и расшифровывают обмен симметричным ключом и расшифровывают симметрично зашифрованные данные.

     
     
  • 6.127, Ананимус (?), 14:02, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хотя туплю, секретный ключ у let's encrypt до самих LE не доходит.
     
  • 6.189, Аноним (189), 22:51, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Для расшифровки ранее записанного трафика не достсаточно знать не то что сертифи... большой текст свёрнут, показать
     

  • 1.39, Аноним (41), 23:21, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    >мешает оперативному внедрению новых криптостандартов

    Кошмар, ужас, на устройствах годичной давности открываютсся сайты и работают приложения, работающие с интернетом, производители телефонов теряют прибыль!!! ЗАПРЕТИТЬ!!!!

     
  • 1.70, iPony129412 (?), 04:56, 29/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Выкидывание устаревших технологий — это всегда хорошо 👌
     
     
  • 2.92, Аноним (87), 09:54, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    я понимаю, что ты каждый год яойфон меняешь...
     
     
  • 3.96, iPony129412 (?), 10:07, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > я понимаю, что ты каждый год яойфон меняешь...

    Нет, потому что это тот редкий смартфон, который из себя не представляет и через три года не является  куском устаревшего того самого, как другие смартфоны.

     
     
  • 4.114, Michael Shigorin (ok), 13:40, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это когда вдруг(tm) начинает тупить об якобы севшую батарейку?

    http://youtu.be/SbmgV7Oyp0w

     
     
  • 5.118, iPony129412 (?), 13:48, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Это когда вдруг(tm) начинает тупить об якобы севшую батарейку?

    Я этого тупления от "якобы" севшей батарейки уже устал ждать.
    Вот без шуток, зайдёшь на какой-то там ресурс:
    "а все такие ой, а у меня за полгода здоровье батарейки стало 96% - спать не могу, переживаю"

    А я каждые две недели это здоровье батареи проверяю - "да когда уже 80% будет". Это вроде какая-то критическая отметка по справке Apple. Интересно же посмотреть.

    Ну вот уже 2.5 года прошло, здоровье батареи 82%. Ещё чуть-чуть. Да и уже и батарею то после трёх лет не стыдно поменять будет.

    А вот сколько я раз слышал про то, как угнетают и замедляют от людей, которые ничего тольком не знают, но слышали же 🤣

     
  • 5.123, iPony129412 (?), 13:54, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну и да.
    Вот у меня были смартфоны Samsung (Android), Bq (Ubuntu), Meizu (Ubuntu/Android).
    К ним этот ролик намного больше подходит чем к текущему моему айфону 🤷♂
     
     
  • 6.221, Аноним (221), 12:40, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    давно вам занесли bluetooth и wifi direct для передачи файлов?
     
     
  • 7.223, iPony129412 (?), 12:49, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > давно вам занесли bluetooth и wifi direct для передачи файлов?

    Какое это отношение имеет к поднятой выше теме "техника превращается в тыкву"?
    Кому нам?

    Apple в 2011 году сделала AirDrop. И оно уже много лет работает по схеме WiFi Direct со скоростью этак 1 ГБ за 15 секунд.

    Google в своём Android только сейчас расчехляться начал на эту тематику. А так сосуществовала куча подделок от разных вендоров несовместимых с собой. Работало это всё через одно место.

     
     
  • 8.230, Аноним (229), 14:31, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я как понимаю вы AirDrop не пользуетесь, т к устаревшая технология аж 2011 год... текст свёрнут, показать
     
     
  • 9.231, iPony129412 (?), 14:39, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Срок создания технологии и её устарелость - совершенно разные вещи ... текст свёрнут, показать
     
     
  • 10.232, Аноним (232), 15:07, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Твой iPhone не может передать на мой android файлы ни по bluetooth, ни по wifi-д... текст свёрнут, показать
     
     
  • 11.237, iPony129412 (?), 17:59, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так и наоборот работает... текст свёрнут, показать
     
  • 11.238, iPony129412 (?), 18:01, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Уже второй раз это слово повторяешь Вот удачи тебе передать случайному человеку... текст свёрнут, показать
     

  • 1.71, Аноним (71), 05:00, 29/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Только Let's encrypt
     
     
  • 2.94, ироорио (?), 10:02, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А что будешь говорить когда его прикроют?
     
     
  • 3.109, Аноним (87), 13:01, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Он - бесплатная пробная доза, пора бы понять. Никто его не прикроет.
     
  • 3.178, Аноним (180), 22:11, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А что ты будешь говорить если его НЕ прикроют?

    На самом деле это замечательный сценарий, потому что ни на нешифрованный http, ни на коммерческие УЦ дороги уже не будет, а будет только к децентрализованному реестру сертификатов на каком-нибудь блокчейне, который доверия к УЦ требовать уже не будет.

     

  • 1.81, Аноним (81), 07:29, 29/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Капитализм, ребятки. Все хотят денег. Маркс, Энгельс и Ленин предупреждали о таком ещё 100 лет назад.
     
     
  • 2.90, бедный буратино (ok), 09:47, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Да, сначала Ленин предложил захватить, почту, телефон, телеграф и сертификационные центры... но затем, тяжко вздохнув, последнее вычеркнул, сказав "Провинция, не поймут-с"...
     
  • 2.116, Michael Shigorin (ok), 13:41, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Вот только они хотели кровушки.  Ну ладно, Энгельс меньше, видимо...
     
     
  • 3.154, Аноним (145), 17:49, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А Маркс где кровушки хотел? Среди перечисленных упырь только один.
     
  • 2.132, Аноним 80_уровня (ok), 15:27, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    FTGJ, предупреждения первых ближе к двумстам годам тому, чем к ста.
     
  • 2.177, Аноним (180), 22:05, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И давно ли LetsEncrypt с вас денег просил? А коммерческие УЦ как раз все последние изменения оставляют не у дел. Что-то у вас с Марксом не вяжется.
     
     
  • 3.228, пох. (?), 13:22, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > И давно ли LetsEncrypt с вас денег просил?

    так товар-то - ты!

    > А коммерческие УЦ как раз все последние изменения оставляют не у дел.

    они бы и рады, но неработающие сертификаты никому не нужны ни задаром, ни за деньги.

    > Что-то у вас с Марксом не вяжется.

    Все вяжется - отнять и поделить. Между вовремя залезшими на броневичок (тут Мракс недоработал, но последователи все поняли и реализовали как надо).

    Пока непонятно, как именно при этом убивать как можно больше людей, но над этим, полагаю, тоже работают хорошо оплачиваемые специалисты.

     

  • 1.82, Аноним (82), 07:38, 29/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    прям вот так все скопом согласились, и никто не возразил, что блочить валидные сертификаты это плохо? в дивное время мы живем, однако:)
     
     
  • 2.93, Аноним (87), 09:55, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    давно уже анархия в инете.
     
  • 2.106, пох. (?), 10:48, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > прям вот так все скопом согласились, и никто не возразил

    так это закрытый клуб решал. Возразить-то ты можешь, только тебя туда не пригласят.

     
  • 2.155, Аноним (145), 17:52, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > и никто не возразил, что блочить валидные сертификаты это плохо?

    Сколько раз уже блочили. Выписанные задним числом, например. А как иначе с произволом/раздолбайством (нужное подчеркнуть) УЦ бороться?

     

  • 1.97, Сергей (??), 10:17, 29/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мне кажется центры сертификации на это не пойдут из-за наличия Let's encrypt, 3-и месяца не так уж различаются от 12-ти, у них будет просто катастрофа...
     
     
  • 2.156, Аноним (145), 17:53, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так им, внезапно, не за срок действия платят, а за валидацию.
     

  • 1.115, Аноним (115), 13:40, 29/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > создаёт дополнительные угрозы безопасности, мешает оперативному внедрению новых криптостандартов и позволяет злоумышленникам длительное время контролировать трафик жертвы или использовать для фишинга в случае незаметной утечки сертификата в результате взлома.

    А корневые сертификаты сколько должны действовать в их понятиях?

    А то есть угроза безопасности, что с частыми обновлениями корневых сертов пользователю легче подсунуть левый серт, и это даст возможность постоянно контролировать его трафик. Типа поселить незаметно в Казахстан..

     
     
  • 2.158, Аноним (145), 17:54, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А корневые сертификаты сколько должны действовать в их понятиях?

    А между которыми строчками ты прочитал, что это как-то затрагивает корневые сертификаты?

     
  • 2.181, пох. (?), 22:19, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > А корневые сертификаты сколько должны действовать в их понятиях?

    в идеале - пару часов. Вдруг для борьбы с терраризьмой понадобится ненадолго подменить их, и чтоб беспалева, еще через два часа - "какие ваши докозательства"? К сожалению, мурзила пока не может даже раз в пять лет уследить за своим собственным сертификатом, намертво вшитым внутрь браузера, поэтому внедрение данного нужного и полезного решения пока пришлось ненадолго отложить.

    > А то есть угроза безопасности, что с частыми обновлениями корневых сертов пользователю
    > легче подсунуть левый серт, и это даст возможность постоянно контролировать его

    сейчас пользователю подсунуть левый серт вообще ничего не стоит - достаточно на пару минут перехватить его dns или маршрутизацию его ip, или просто хорошо попросить летсшиткрипту.

    Никто ничего и не заметит даже.

     
     
  • 3.188, Онаним (?), 22:48, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот блин, с языка снял :)
     

  • 1.162, Аноним (162), 18:22, 29/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    нафиг нужны приколы такие, куча мест есть где не прикрутишь LE из-за закрытости сети, да и цертбот ломается бывает, я уж молчу о вайлдкардах выписывающихся через очко с DNS.
    когда эти сертификатов куча, очень больашя разнциа раз в год или раз в 3 менять ходить.
     
     
  • 2.210, Аноним (145), 10:44, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > куча мест есть где не прикрутишь LE из-за закрытости сети

    man DNS-01

    > цертбот ломается бывает

    Есть >9000 других клиентов. А если ты про certbot-auto, то надо быть редкостным ССЗБ, чтобы его использовать.

     

  • 1.167, Аноним (167), 19:56, 29/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот бы это ещё не трогало никого кроме них самих.

    А тут - порешали за посторонних по своему...

     
  • 1.176, Аноним (180), 22:04, 29/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Отлично, чем сильнее зажимают кислород продавцам воздуха УЦ тем лучше.

    Приятно видеть как на сковородке вьются представители этого ворья и заплатившие им терпилы.

     
     
  • 2.226, пох. (?), 13:12, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Отлично, чем сильнее зажимают кислород продавцам воздуха УЦ тем лучше.

    когда уже больным полудуркам, считающим деньги в чужих карманах, вообще его отключат?

    > Приятно видеть как на сковородке вьются представители этого ворья и заплатившие им
    > терпилы.

    "у соседа корова сдохла, мелочь, а приятно"

    Что у тебя, дурака, они "украли"?

    Вот что именно у нас украла гуглезила и компания - мы знаем. Приятно видеть, что дурачки - одобряют, бурными аплодисментами, переходящими в овацию. Их хоть г0вном с лопаты корми - они и рады уплетать за обе щеки. Мозгов-то ведь нет.

    Плохо что у остальных нет другого глобуса.

     

  • 1.183, Аноним (183), 22:27, 29/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Всё -- прощайте мои УПСы, роутеры и горы прочих управляемых по хттп железяк??
     
     
  • 2.190, Аноним (87), 23:01, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    выход есть - смени браузер на нормальный.
     
  • 2.191, srgazh (?), 23:06, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ну и даун) Что сегнерить нельзя?
     
     
  • 3.192, Аноним (192), 23:13, 29/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    "Сгенерить" - это напечатать на 3D принтере?
    Разве уже сложную электронику (УПСы, роутеры) можно печатать? Ещё и с поддержкой нужных протоколов и алгоритмов шифрования.
     
     
  • 4.202, srgazh (?), 08:23, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > "Сгенерить" - это напечатать на 3D принтере?
    > Разве уже сложную электронику (УПСы, роутеры) можно печатать? Ещё и с поддержкой
    > нужных протоколов и алгоритмов шифрования.

    openssl к прмеру

     
     
  • 5.220, Pofigist (?), 12:33, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Вот так и палятся гордые админы локалхоста :)
     
     
  • 6.222, srgazh (?), 12:40, 30/06/2020 Скрыто модератором
  • –2 +/
     
     
  • 7.236, Pofigist (?), 17:29, 30/06/2020 Скрыто модератором
  • +1 +/
     
  • 2.208, iPony129412 (?), 09:48, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Всё -- прощайте мои УПСы, роутеры и горы прочих управляемых по хттп железяк??

    Мы в 2020 году живём же. Поднимаешь виртуалку с CentOS 6 специально для этого и всё.

     
     
  • 3.227, пох. (?), 13:18, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Мы в 2020 году живём же. Поднимаешь виртуалку с CentOS 6 специально
    > для этого и всё.

    "обожаю, когда выкидывают старье!"
    И завтра виртуалка с centos <8.999 - не поднимается, "а нахрена нам поддерживать немодные технологии?!"
    Или зайти на нее нельзя - ведь иксы немодно, и они никем не поддерживаются, да и ssh с ней не коннектится, нахрена поддерживать увизгьвимые шифры и протоколы, ведь рептилоиды и nsa с кгб объединившись против тебя, смогут расшифровать твой траффик, всего за какой-то миллион лет!


    И кстати, не ссыкотно ли тебе пользоваться дистрибутивом с насмерть протухшим софтом ?
    Тем более - для настроек критичного оборудования.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру