forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Доверие к Let's Encrypt обеспечено во всех списках корневых ..., opennews (ok), 06-Авг-18, (0) [смотреть все]

Ура Да здравствует повсеместное шифрование , th3m3 (ok), 23:52 , 06-Авг-18, (1) +14 //

Всем по шифрованию , Майор (??), 13:10 , 07-Авг-18, (24) +7
Скорее повсеместное доверие , КО (?), 12:55 , 08-Авг-18, (47) +1
Да здравствует бесплатное шифрование По поводу повсеместности -- это когда уж л, freehck (ok), 16:51 , 08-Авг-18, (51)
Ага, а потом на том же OpenNet е Шифрование нужно там, где оно нужно, а не повсе, Дуплик (ok), 17:12 , 10-Авг-18, (57) //

Устанавливать нужно правильно и не будет никаких проблем Сейчас с этими новыми , th3m3 (ok), 21:57 , 10-Авг-18, (58)

Централизование Опасно , snyan (?), 23:55 , 06-Авг-18, (2) +4 //

Вся система сертификатов держится на доверии какому-то корню двум, десяти, ста , Аноним (3), 00:04 , 07-Авг-18, (3) +1 //

веб оф труст x , электронщег (?), 00:53 , 07-Авг-18, (8)
который a совершенно его не заслуживает - поинтересуйтесь процедурой становлени, пох (?), 07:21 , 07-Авг-18, (15) +4 //

Если вы такой умный - неужели вы не видите, что в вашей схеме решительно нечего , тоже Аноним (ok), 09:57 , 07-Авг-18, (16) +8

почему нечего зелененькое вполне можно продавать и в этой схеме - это ж подтвер, . (?), 10:12 , 07-Авг-18, (17) +1

Есть разница между доверием ключу, который возвращает твой уютный серверок на ан, Аноним (20), 11:56 , 07-Авг-18, (20) +2

здравствуй, админ локалхоста , нах (?), 12:30 , 07-Авг-18, (21)

По делу-то есть что сказать , Аноним (20), 12:36 , 07-Авг-18, (23)

какой механизм ssh при первом запуске просит проверить отпечаток ключа Подобный, Аноним (25), 13:59 , 07-Авг-18, (25) +3

именно такой - доверия _конкретному_ключу_, для конкретного домена, а не какому-, пох (?), 23:54 , 07-Авг-18, (41) –2

Я - тот, другой Аноним Смешались в кучу люди, кони Аутентификация по ключам , Аноним (20), 11:27 , 08-Авг-18, (45) +1

Бабки за что За перечисление слабых сторон CA и нескалируемых в масштабах Интер, Аноним (36), 20:56 , 07-Авг-18, (36) +1

Считать https незащищённым каналом, естественно Так можно немного усложнить жиз, user (??), 10:58 , 07-Авг-18, (19) –1 //

он защищенный - просто неаутентифицированный То есть если хакер Васья влез к те, нах (?), 12:35 , 07-Авг-18, (22) +1

Да вы оба правы Просто у вас разные представления о том, что значит защищённый, freehck (ok), 16:56 , 08-Авг-18, (52)

Да уже придумали DANE называется Доверие обеспечивается хоть самоподписанным , xm (ok), 15:48 , 07-Авг-18, (31) –1 //

Буква 171 D 187 в аббревиатуре 171 DANE 187 находится не случайно, и обо, Аноним (36), 21:01 , 07-Авг-18, (37) +2

Точнее, много более централизованным, Crazy Alex (ok), 11:05 , 08-Авг-18, (43)
ты в любом случаи доверяешь DNS - когда получаешь IP, и если с этим придет слепо, fi (ok), 15:00 , 08-Авг-18, (49) +3

остались еще на опеннете умные люди , Аноним (50), 16:09 , 08-Авг-18, (50) +1

Сикока он теперь стоит, интересно , izyk (ok), 00:07 , 07-Авг-18, (4) –4 //

Как и раньше, нуль , freehck (ok), 16:58 , 08-Авг-18, (53)

Ну всё, теперь злоумышленники могут взломать любой сайт на любом устройстве чере, Аноним (5), 00:25 , 07-Авг-18, (5) –5 //

Как получить, когда там проверка на владением доменом запись DNS, или проверка д, lucentcode (ok), 00:33 , 07-Авг-18, (6) –1 //

про бгп же сказано, запернуть на себя делов то, Аноним (11), 02:11 , 07-Авг-18, (11) +2 //

Ну да Подумаешь, мелочи какие, Crazy Alex (ok), 15:08 , 07-Авг-18, (30)

Получить AS и PI стоит оч недорого, и если знаешь куды и как писать такие бумажк, HyC (?), 17:52 , 07-Авг-18, (35)

Рекомендую не пириться с дегенератами, а у себя фильтровать всё и на вход, и на , Аноним (36), 21:03 , 07-Авг-18, (38)

рекомендую поадминить не локалхост с PI очень быстро узнаешь, почему только деге, пох (?), 23:39 , 07-Авг-18, (39)

Работаю в одной tier 1 AS с четырёхзначным номером Фильтруем всё, что фильтрует, Аноним (42), 00:32 , 08-Авг-18, (42)

ну вот собственно, главное что умиляет - что за эти шалости так никто до сих пор, пох (?), 23:43 , 07-Авг-18, (40)

Масштабы не те,и само преступление сильно экзотичное Будут повторяться - отреаг, Crazy Alex (ok), 11:07 , 08-Авг-18, (44)

ну ок, мне тех бабок, что стырили с криптобиржи, вполне хватит , . (?), 12:16 , 08-Авг-18, (46)

Ну так, достаточно и в сервак физически залезть и базу руками скопировать - тоже, нона (?), 04:17 , 07-Авг-18, (13) //

Нужно шифровать секреты через валеты в кубернете , Аноним (27), 14:23 , 07-Авг-18, (27) –1

А серт от GoDaddy он конечно самоуничтожится в руках врага , IB (?), 10:22 , 07-Авг-18, (18)

через bgp spoofing Домен тот же, айпишник тот же, вот только летсэнкрипт общает, Аноним (5), 00:40 , 07-Авг-18, (7) –4 //

а сервер валидации любого другого СА, значит, не по БГП узнает маршруты к сервер, админ локалхоста (ok), 14:22 , 07-Авг-18, (26) //

ну так там платить надо, а здесь нет А раз летс в доверенных, разницы нет, юзер, Аноним (48), 14:21 , 08-Авг-18, (48)

то есть правильно понял что эта организация сама себе подписала смертный пригово, Xasd (ok), 01:22 , 07-Авг-18, (9) +3 //

Не очевидно, пожалуйста, пруфы , AnonPlus (?), 01:59 , 07-Авг-18, (10) //

Он имеет ввиду, что Let s Encrypt является конкурентом IdenTrust и угрожает част, Старый одмин (?), 02:42 , 07-Авг-18, (12) //

https identrust com certificates learn tlsssl-certificate-typesНет он просто н, Аноним (14), 05:06 , 07-Авг-18, (14)

я так понимаю через идетртусд и работает хттпс на моей старой нокии с сабжем го, SE (?), 14:40 , 07-Авг-18, (28) //

Если у тебя она 10 лет не обновляется, то кто там, как и что отключит , Аноним (29), 15:06 , 07-Авг-18, (29)
Там вроде можно было что-то воротить с сертификатами , Аноним (34), 17:10 , 07-Авг-18, (34)
ей хана может придти и просто через пару недель -- без явной на то причины - 10, Xasd (ok), 19:39 , 08-Авг-18, (54) //

не, дружище, в неожиданный момент на самом деле вполне ожидаемый мрет как ра, Аноним (55), 14:57 , 09-Авг-18, (55) //

это да, но мне главное чтоб в неожиданный момент не отключили цепочку доверия , SE (?), 15:09 , 09-Авг-18, (56)

Сообщения [Сортировка по времени | RSS]

2. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..." +4 +/–

Сообщение от snyan (?), 06-Авг-18, 23:55

Централизование. Опасно.

Ответить | Правка | Наверх | Cообщить модератору

3. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..." +1 +/–

Сообщение от Аноним (3), 07-Авг-18, 00:04

Вся система сертификатов держится на доверии какому-то корню (двум, десяти, ста). Можешь предложить лучше — валяй. Гарантирую славу, богатство и выступление на понтовых конференциях в тёплых странах.

Ответить | Правка | Наверх | Cообщить модератору

8. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..." +/–

Сообщение от электронщег (?), 07-Авг-18, 00:53

> Можешь предложить лучше — валяй
веб оф труст!
x)

Ответить | Правка | Наверх | Cообщить модератору

15. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..." +4 +/–

Сообщение от пох (?), 07-Авг-18, 07:21

> Вся система сертификатов держится на доверии какому-то корню
который a) совершенно его не заслуживает - поинтересуйтесь процедурой становления CA; b) опасен в случае атак на него а не на тебя c) ненужен; d) сводится к $#ю энтерпрайсными ограничениями.
> Можешь предложить лучше — валяй.
механизм доверия _конкретному_ключу_ существует в ssh 25 лет (как и механизмы валидации самого ключа, но они _вторичны_, первичен known_hosts). Расскажите об успехах его подмены? Хотя бы и 20летней давности, когда из этих механизмов был доступен только хэш ключа.
аналогичный механизм в браузерах _намеренно_сломан_ тyпopылой индусской макакой под руководством товарищей в штатском - еще десять лет назад он кое-как (проблемы как раз с валидацией) но работал. Исходники все еще доступны в этом вашем интернете.
> Гарантирую славу, богатство и выступление на понтовых конференциях в тёплых странах.
где мои бабки? Славу, Васю и Конференцию сам трахай, мне - деньгами.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

16. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..." +8 +/–

Сообщение от тоже Аноним (ok), 07-Авг-18, 09:57

Если вы такой умный - неужели вы не видите, что в вашей схеме решительно нечего продать?
Вот и сидите без денег...

Ответить | Правка | Наверх | Cообщить модератору

17. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..." +1 +/–

Сообщение от . (?), 07-Авг-18, 10:12

почему нечего? зелененькое вполне можно продавать и в этой схеме - это ж подтверждение что бумажные документы фирмы посмотрел настоящими глазами живой человек, и более-менее поверил, что домен ей действительно принадлежит, а не что домен настоящий и хост тоже - и обращаться за ним надо (можно не напрямую) именно к тому человеку, а не к самой фирме.
Можно продавать dvd'шки с голограммкой, содержащие "действительно подлинные сертификаты" для инициализации known_hosts.
Можно торговать онлайн-доступом к CRL или его эквиваленту (к примеру аналогу того же гуглолога всех сертификатов, чтобы можно было подтвердить, что да - банк на самом деле перевыпустил зачем-то свой сертификат, и хэш именно такой, а не васян тебе подсовывает очень похожий - поэтому еще один раз зайти на его сайт можно - заодно увести оттуда все деньги, потому что с чего это он его перевыпустил? А-а, отож!)
В этой схеме _некого_ продать - если ты приложил минимальные усилия первоначально набить браузер необходимыми тебе отпечатками, уже очень нетривиально будет впарить сертификат имени товарищмайора, даже подписанный всеми "уважаемыми" авторитетами, век воли не видать, настоящий!
поэтому и понадобился тотальный контроль и единственный CA не за безумные деньги (а в перспективе просто единственный), и ликвидация всех конкурентов установкой неприемлемых условий. Заметь, тот кто вовремя продал thawte - сидит теперь с деньгами (то есть даже не сидит, кто ж его посадит), а стоит она сейчас - ломанный грош, да еще мешок долгов заплатить.

Ответить | Правка | Наверх | Cообщить модератору

20. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..." +2 +/–

Сообщение от Аноним (20), 07-Авг-18, 11:56

> механизм доверия _конкретному_ключу_ существует в ssh 25 лет
Есть разница между доверием ключу, который возвращает твой уютный серверок на антресоли и доверием ключу, который вернет хз кто из интернета. В последнем случае его нет от слова совсем.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

21. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..." +/–

Сообщение от нах (?), 07-Авг-18, 12:30

> Есть разница между доверием ключу, который возвращает твой уютный серверок на антресоли
здравствуй, админ локалхоста!

Ответить | Правка | Наверх | Cообщить модератору

23. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..." +/–

Сообщение от Аноним (20), 07-Авг-18, 12:36

По делу-то есть что сказать?

Ответить | Правка | Наверх | Cообщить модератору

25. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..." +3 +/–

Сообщение от Аноним (25), 07-Авг-18, 13:59

>аналогичный механизм в браузерах _намеренно_сломан_ тyпopылой индусской макакой под руководством товарищей в штатском
какой механизм?
ssh при первом запуске просит проверить отпечаток ключа. Подобный механизм есть в i2p, где список доменов у каждого свой и его надо получить от доверенных источников(или опять из публичной адресной книги, которая мало чем отличается от CA и точно также подконтрольна майору)

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

41. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..." –2 +/–

Сообщение от пох (?), 07-Авг-18, 23:54

именно такой - доверия _конкретному_ключу_, для конкретного домена, а не какому-то там "CA". Который может оставаться как средство валидации, однократной и только одно из возможных (а так - хоть на билбордах размещай код сертификата. Для банка какого - вполне приличествующий вариант), с не самой высокой степенью доверия. Но такой CA гуглю не нужен, как ему при этом вас продать? ;-)
> ssh при первом запуске просит проверить отпечаток ключа
и как, часто бежишь с дискеткой проверять, или сравниваешь аскиграфику?
И как, поломали тебя уже?
> или опять из публичной адресной книги, которая мало чем отличается от CA
она отличается радикальнейше. Но если вам и теперь не понятно, или вы вместе с другим анонимом наивно думаете что ssh ключами ходят только на свой локалхост - боюсь, я не настроен тратить на вас дальше время.

Ответить | Правка | Наверх | Cообщить модератору

45. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..." +1 +/–

Сообщение от Аноним (20), 08-Авг-18, 11:27

(Я - тот, другой Аноним) Смешались в кучу люди, кони...
Аутентификация по ключам не имеет ничего общего с аутентификацией *сервера*, что как раз и обеспечивают сертификаты и CA. Ну или пытаются обеспечить. Т.е. по ssh ключу сервер знает, что ты - это ты, т.к. у тебя есть закрытый ключ. Но ты не знаешь, что сервер - это тот сервер, на который ты хотел зайти, а не какой-нибудь подложный, на котором есть твой открытый ключ. Так вот для тебя сервер и присылает свою подпись, которую ты в теории мог бы проверить, а на практике не глядя жмешь yes, т.к. реального способа проверить нет в 99% случаев. Так что эта схема хоть как-то работает только в случае сервера на антресоли, но никак не в масштабах интернет.

Ответить | Правка | Наверх | Cообщить модератору

36. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..." +1 +/–

Сообщение от Аноним (36), 07-Авг-18, 20:56

Бабки за что? За перечисление слабых сторон CA и нескалируемых в масштабах Интернета идейках? За это только по шее могу.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

19. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..." –1 +/–

Сообщение от user (??), 07-Авг-18, 10:58

>Можешь предложить лучше — валяй.
Считать https незащищённым каналом, естественно. Так можно немного усложнить жизнь некоторым редискам (похоже на шифрование в торрентах), но для настоящей безопасности нужно что-то другое.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

22. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..." +1 +/–

Сообщение от нах (?), 07-Авг-18, 12:35

> Считать https незащищённым каналом, естественно.
он защищенный - просто неаутентифицированный. То есть если хакер Васья влез к тебе mitm'ом - от Пети, подключившего сниффер, вы с ним все еще защищены.
ну а для остального есть другие пути удостовериться, что Вася сегодня не работает (а Петя с пассивным сниффером и дальше будет сосать).
При этом вариант подписи CA, зачем-то считаемый по определению достоверным и неотключаемым - на самом деле самый сомнительный и ненадежный. Но надежный гуглю не нужен.

Ответить | Правка | Наверх | Cообщить модератору

52. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..." +/–

Сообщение от freehck (ok), 08-Авг-18, 16:56

>> Считать https незащищённым каналом, естественно.
> он защищенный - просто неаутентифицированный.
Да вы оба правы. Просто у вас разные представления о том, что значит "защищённый".
В принципе, https большинство ламерских атак типа сниффа и спуфинга -- отметает. Атаки на CA как вектор остаются, но доступны уже весьма узкому кругу лиц.

Ответить | Правка | Наверх | Cообщить модератору

31. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..." –1 +/–

Сообщение от xm (ok), 07-Авг-18, 15:48

Да уже придумали. DANE называется. Доверие обеспечивается хоть самоподписанным.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

37. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..." +2 +/–

Сообщение от Аноним (36), 07-Авг-18, 21:01

Буква «D» в аббревиатуре «DANE» находится не случайно, и обозначает «DNS-based». Таким образом ты только что заменил небоходимость доверять сторонним централизованным CA на необходимость доверять не менее централизованным корневым DNS и их ключам DNSSEC. Слабо без SPoF и необходимости доверять кому-то кроме себя?

Ответить | Правка | Наверх | Cообщить модератору

43. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..." +/–

Сообщение от Crazy Alex (ok), 08-Авг-18, 11:05

Точнее, много более централизованным

Ответить | Правка | Наверх | Cообщить модератору

49. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..." +3 +/–

Сообщение от fi (ok), 08-Авг-18, 15:00

ты в любом случаи доверяешь DNS - когда получаешь IP, и если с этим придет слепок от сертификата сайта - это лучше чем от СА

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

50. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..." +1 +/–

Сообщение от Аноним (50), 08-Авг-18, 16:09

> ты в любом случаи доверяешь DNS - когда получаешь IP, и если
> с этим придет слепок от сертификата сайта - это лучше чем
> от СА
остались еще на опеннете умные люди:)

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..."	+4 +/–
Сообщение от snyan (?), 06-Авг-18, 23:55
Централизование. Опасно.
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..."	+1 +/–
	Сообщение от Аноним (3), 07-Авг-18, 00:04
	Вся система сертификатов держится на доверии какому-то корню (двум, десяти, ста). Можешь предложить лучше — валяй. Гарантирую славу, богатство и выступление на понтовых конференциях в тёплых странах.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..."	+/–
	Сообщение от электронщег (?), 07-Авг-18, 00:53
	> Можешь предложить лучше — валяй веб оф труст! x)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..."	+4 +/–
	Сообщение от пох (?), 07-Авг-18, 07:21
	> Вся система сертификатов держится на доверии какому-то корню который a) совершенно его не заслуживает - поинтересуйтесь процедурой становления CA; b) опасен в случае атак на него а не на тебя c) ненужен; d) сводится к $#ю энтерпрайсными ограничениями. > Можешь предложить лучше — валяй. механизм доверия _конкретному_ключу_ существует в ssh 25 лет (как и механизмы валидации самого ключа, но они _вторичны_, первичен known_hosts). Расскажите об успехах его подмены? Хотя бы и 20летней давности, когда из этих механизмов был доступен только хэш ключа. аналогичный механизм в браузерах _намеренно_сломан_ тyпopылой индусской макакой под руководством товарищей в штатском - еще десять лет назад он кое-как (проблемы как раз с валидацией) но работал. Исходники все еще доступны в этом вашем интернете. > Гарантирую славу, богатство и выступление на понтовых конференциях в тёплых странах. где мои бабки? Славу, Васю и Конференцию сам трахай, мне - деньгами.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	16. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..."	+8 +/–
	Сообщение от тоже Аноним (ok), 07-Авг-18, 09:57
	Если вы такой умный - неужели вы не видите, что в вашей схеме решительно нечего продать? Вот и сидите без денег...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..."	+1 +/–
	Сообщение от . (?), 07-Авг-18, 10:12
	почему нечего? зелененькое вполне можно продавать и в этой схеме - это ж подтверждение что бумажные документы фирмы посмотрел настоящими глазами живой человек, и более-менее поверил, что домен ей действительно принадлежит, а не что домен настоящий и хост тоже - и обращаться за ним надо (можно не напрямую) именно к тому человеку, а не к самой фирме. Можно продавать dvd'шки с голограммкой, содержащие "действительно подлинные сертификаты" для инициализации known_hosts. Можно торговать онлайн-доступом к CRL или его эквиваленту (к примеру аналогу того же гуглолога всех сертификатов, чтобы можно было подтвердить, что да - банк на самом деле перевыпустил зачем-то свой сертификат, и хэш именно такой, а не васян тебе подсовывает очень похожий - поэтому еще один раз зайти на его сайт можно - заодно увести оттуда все деньги, потому что с чего это он его перевыпустил? А-а, отож!) В этой схеме _некого_ продать - если ты приложил минимальные усилия первоначально набить браузер необходимыми тебе отпечатками, уже очень нетривиально будет впарить сертификат имени товарищмайора, даже подписанный всеми "уважаемыми" авторитетами, век воли не видать, настоящий! поэтому и понадобился тотальный контроль и единственный CA не за безумные деньги (а в перспективе просто единственный), и ликвидация всех конкурентов установкой неприемлемых условий. Заметь, тот кто вовремя продал thawte - сидит теперь с деньгами (то есть даже не сидит, кто ж его посадит), а стоит она сейчас - ломанный грош, да еще мешок долгов заплатить.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..."	+2 +/–
	Сообщение от Аноним (20), 07-Авг-18, 11:56
	> механизм доверия _конкретному_ключу_ существует в ssh 25 лет Есть разница между доверием ключу, который возвращает твой уютный серверок на антресоли и доверием ключу, который вернет хз кто из интернета. В последнем случае его нет от слова совсем.
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору


	21. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..."	+/–
	Сообщение от нах (?), 07-Авг-18, 12:30
	> Есть разница между доверием ключу, который возвращает твой уютный серверок на антресоли здравствуй, админ локалхоста!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..."	+/–
	Сообщение от Аноним (20), 07-Авг-18, 12:36
	По делу-то есть что сказать?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..."	+3 +/–
	Сообщение от Аноним (25), 07-Авг-18, 13:59
	>аналогичный механизм в браузерах _намеренно_сломан_ тyпopылой индусской макакой под руководством товарищей в штатском какой механизм? ssh при первом запуске просит проверить отпечаток ключа. Подобный механизм есть в i2p, где список доменов у каждого свой и его надо получить от доверенных источников(или опять из публичной адресной книги, которая мало чем отличается от CA и точно также подконтрольна майору)
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору


	41. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..."	–2 +/–
	Сообщение от пох (?), 07-Авг-18, 23:54
	именно такой - доверия _конкретному_ключу_, для конкретного домена, а не какому-то там "CA". Который может оставаться как средство валидации, однократной и только одно из возможных (а так - хоть на билбордах размещай код сертификата. Для банка какого - вполне приличествующий вариант), с не самой высокой степенью доверия. Но такой CA гуглю не нужен, как ему при этом вас продать? ;-) > ssh при первом запуске просит проверить отпечаток ключа и как, часто бежишь с дискеткой проверять, или сравниваешь аскиграфику? И как, поломали тебя уже? > или опять из публичной адресной книги, которая мало чем отличается от CA она отличается радикальнейше. Но если вам и теперь не понятно, или вы вместе с другим анонимом наивно думаете что ssh ключами ходят только на свой локалхост - боюсь, я не настроен тратить на вас дальше время.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	45. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..."	+1 +/–
	Сообщение от Аноним (20), 08-Авг-18, 11:27
	(Я - тот, другой Аноним) Смешались в кучу люди, кони... Аутентификация по ключам не имеет ничего общего с аутентификацией сервера, что как раз и обеспечивают сертификаты и CA. Ну или пытаются обеспечить. Т.е. по ssh ключу сервер знает, что ты - это ты, т.к. у тебя есть закрытый ключ. Но ты не знаешь, что сервер - это тот сервер, на который ты хотел зайти, а не какой-нибудь подложный, на котором есть твой открытый ключ. Так вот для тебя сервер и присылает свою подпись, которую ты в теории мог бы проверить, а на практике не глядя жмешь yes, т.к. реального способа проверить нет в 99% случаев. Так что эта схема хоть как-то работает только в случае сервера на антресоли, но никак не в масштабах интернет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..."	+1 +/–
	Сообщение от Аноним (36), 07-Авг-18, 20:56
	Бабки за что? За перечисление слабых сторон CA и нескалируемых в масштабах Интернета идейках? За это только по шее могу.
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору


	19. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..."	–1 +/–
	Сообщение от user (??), 07-Авг-18, 10:58
	>Можешь предложить лучше — валяй. Считать https незащищённым каналом, естественно. Так можно немного усложнить жизнь некоторым редискам (похоже на шифрование в торрентах), но для настоящей безопасности нужно что-то другое.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	22. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..."	+1 +/–
	Сообщение от нах (?), 07-Авг-18, 12:35
	> Считать https незащищённым каналом, естественно. он защищенный - просто неаутентифицированный. То есть если хакер Васья влез к тебе mitm'ом - от Пети, подключившего сниффер, вы с ним все еще защищены. ну а для остального есть другие пути удостовериться, что Вася сегодня не работает (а Петя с пассивным сниффером и дальше будет сосать). При этом вариант подписи CA, зачем-то считаемый по определению достоверным и неотключаемым - на самом деле самый сомнительный и ненадежный. Но надежный гуглю не нужен.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	52. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..."	+/–
	Сообщение от freehck (ok), 08-Авг-18, 16:56
	>> Считать https незащищённым каналом, естественно. > он защищенный - просто неаутентифицированный. Да вы оба правы. Просто у вас разные представления о том, что значит "защищённый". В принципе, https большинство ламерских атак типа сниффа и спуфинга -- отметает. Атаки на CA как вектор остаются, но доступны уже весьма узкому кругу лиц.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..."	–1 +/–
	Сообщение от xm (ok), 07-Авг-18, 15:48
	Да уже придумали. DANE называется. Доверие обеспечивается хоть самоподписанным.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	37. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..."	+2 +/–
	Сообщение от Аноним (36), 07-Авг-18, 21:01
	Буква «D» в аббревиатуре «DANE» находится не случайно, и обозначает «DNS-based». Таким образом ты только что заменил небоходимость доверять сторонним централизованным CA на необходимость доверять не менее централизованным корневым DNS и их ключам DNSSEC. Слабо без SPoF и необходимости доверять кому-то кроме себя?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..."	+/–
	Сообщение от Crazy Alex (ok), 08-Авг-18, 11:05
	Точнее, много более централизованным
	Ответить \| Правка \| Наверх \| Cообщить модератору


	49. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..."	+3 +/–
	Сообщение от fi (ok), 08-Авг-18, 15:00
	ты в любом случаи доверяешь DNS - когда получаешь IP, и если с этим придет слепок от сертификата сайта - это лучше чем от СА
	Ответить \| Правка \| К родителю #37 \| Наверх \| Cообщить модератору


	50. "Доверие к Let's Encrypt обеспечено во всех списках корневых ..."	+1 +/–
	Сообщение от Аноним (50), 08-Авг-18, 16:09
	> ты в любом случаи доверяешь DNS - когда получаешь IP, и если > с этим придет слепок от сертификата сайта - это лучше чем > от СА остались еще на опеннете умные люди:)
	Ответить \| Правка \| Наверх \| Cообщить модератору