The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Chrome, Firefox и Safari ограничат время жизни TLS-сертификатов 13 месяцами"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Chrome, Firefox и Safari ограничат время жизни TLS-сертификатов 13 месяцами"  +/
Сообщение от opennews (?), 28-Июн-20, 21:26 
Разработчики проекта Chromium внесли изменение, прекращающее доверие к TLS-сертификатам, время жизни которых превышает 398 дней (13 месяцев). Ограничение будет действовать  только для сертификатов, выписанных начиная с 1 сентября 2020 года. Для полученных до 1 сентября сертификатов с длительным сроком действия доверие будет сохранено, но ограничено 825 днями (2.2 года)...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53250

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +16 +/
Сообщение от Арч не Дебианemail (?), 28-Июн-20, 21:26 
Началось...
Ответить | Правка | Наверх | Cообщить модератору

34. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +7 +/
Сообщение от Аноним (34), 28-Июн-20, 23:02 
Почалося
Ответить | Правка | Наверх | Cообщить модератору

51. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +7 +/
Сообщение от Мордиум (?), 29-Июн-20, 00:21 
Опять Интернет ломают. Цепочка доверия говорит,что сертификат валидный, а браузер будет говорить что нет...

Почему, это уже другой вопрос. Но неужели нельзя на уровне стандартов и консорциумов договориться, удостоверяющим центрами только на руку - обновление на новые, да ещё и более "скоропортящиеся" сертификаты.

Ответить | Правка | Наверх | Cообщить модератору

87. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от Аноним (87), 29-Июн-20, 08:59 
Да нет никакого стандарта, сейчас каждый рак куда хочет, туда тянет.
Ответить | Правка | Наверх | Cообщить модератору

105. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +2 +/
Сообщение от Аноним (105), 29-Июн-20, 10:48 
Стандарты есть, но хочется иметь и денюжку. И чем чаще, тем лучше. Например, раз в месяц менять.
Ответить | Правка | Наверх | Cообщить модератору

2. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +13 +/
Сообщение от Diozan (ok), 28-Июн-20, 21:31 
Не, ну чо, правильно думают. А то нагенерируют себе сертификаты на 10 лет.
Ответить | Правка | Наверх | Cообщить модератору

3. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –3 +/
Сообщение от Аноним (3), 28-Июн-20, 21:35 
Ну, и как оно объяснили это решение? Логически объяснили! А то не ясно, с какого фига именно год? И тем более "2.2", LOL!
Ответить | Правка | Наверх | Cообщить модератору

7. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +3 +/
Сообщение от Онаним (?), 28-Июн-20, 21:43 
Ну, с 2.2 всё просто: 366*2 +25%.
Ответить | Правка | Наверх | Cообщить модератору

9. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (3), 28-Июн-20, 21:48 
А! Точно!
Ответить | Правка | Наверх | Cообщить модератору

10. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –7 +/
Сообщение от объяснили (?), 28-Июн-20, 21:48 
Apple, Mozilla & Google не торгуют сертификатами = итого сpать хотели на бизнес всяких там уд центров.

Но спамеры/кракеры/хацкеры утюжат простых пользователей и тем самым бросают тень на секурность браузеров и самых компаний.

Элементарно, Ватсон.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

13. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +5 +/
Сообщение от Аноним (3), 28-Июн-20, 22:01 
> простых пользователей

Обобряю! Слишком простые могут идти асфальт укладывать. Без инторнетов.

Ответить | Правка | Наверх | Cообщить модератору

88. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от ryoken (ok), 29-Июн-20, 09:01 
>>Слишком простые могут идти асфальт укладывать.

Так вот такие и укладывают. Правда, часто прям поверх снега\луж\прочих говен.

Ответить | Правка | Наверх | Cообщить модератору

211. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (211), 30-Июн-20, 11:55 
> Так вот такие и укладывают. Правда, часто прям поверх снега\луж\прочих говен.

Ты не поверишь, но это проблема руководителей а не исполнителей.

Ответить | Правка | Наверх | Cообщить модератору

225. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от ryoken (ok), 30-Июн-20, 13:07 
> Ты не поверишь, но это проблема руководителей а не исполнителей.

Видимо, руководятел - недалеко от исполнителей ушёл.

Ответить | Правка | Наверх | Cообщить модератору

229. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (229), 30-Июн-20, 14:24 
> Видимо, руководятел - недалеко от исполнителей ушёл.

Речь не об этом, и не важно это. Важно другое, даже другие обстоятельства.

Ответить | Правка | Наверх | Cообщить модератору

69. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +1 +/
Сообщение от Lex (??), 29-Июн-20, 04:38 
Тут не совсем понятно недовольство УЦ, т.к речь о том, что долговечность их продукции( сертификаты ) будет снижена, соотв., спрос на них будет как минимум не меньше, а то и ощутимо больше.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

73. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +4 +/
Сообщение от RomanCh (ok), 29-Июн-20, 05:41 
Это называется "конкуренция", слышали же про такое?

Вот торгуешь ты сертами. И видишь что у конкурента твоего и ценник уже предельно низкий. И сервис не хуже твоего, а то и получше. А пользователя надо заманивать к себе.

Чем ты его удивишь, чем приманишь? Только срок и остаётся - его можно до бесконечности наращивать, и совершенно бесплатно для себя.

И тут на тебе, лавочку прикрывают, и ваши супер-серты с 5летним сроком становятся ничуть не лучше чем у конкурентов, при худшей поддержке и маркетинге.

Это же свободный рынок! Большие бизнесы => много баблища => много свободы => можно росчерком пера предрешить судьбы множества не таких свободных в бабле бизнесиков. В общем, никогда не было, и вот опять!

PS За***ли со своим шифрованием котиков и сисечек. Пихают его где надо, но в основном где не надо. А страдают от этого все, кроме тех самых больших бизнесов.

Ответить | Правка | Наверх | Cообщить модератору

76. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +3 +/
Сообщение от Lex (??), 29-Июн-20, 06:10 
Суть высказывания не понятна, поскольку тем, кто торгует более дешевыми сертификатами ничто не мешало наращивать их сроки...

Но проблема том, что сейчас все сложнее сделать систему, которая бы просто работала - все чаще начинает что-то отваливаться, а теперь - даже сертификаты будут служить не более года, как будто бы кто-то всерьез по шифрованному каналу передает все те же логины/пароли в открытом виде( их, кагбэ, предлагается вообще на стороне клиента хешировать и хеши уже передавать на сервак и хоть заперехватывай такой трафик, пароля в явном виде все равно не увидишь ).

А вот так наложат какие-нибудь сша какие-нибудь санкции на энное государство - и все..
Если ранее все ИТ для внешних потребителей( сайты / сервисы / итп ) могли протянуть вплоть до 5 до скисания сертификатов и за это время условно-спокойно найти оптимальные решения( а то и санкции уже отменят ).
То теперь - речь о сроках не более года, что, для каких-нибудь крупных сервисов, уже дает не шибко то большой простор для движений и попахивает серьезными издержками.
Это к слову о том, что за крупнейшими и общепризнанными УЦ стоит конечная контора, зарегистрированная в конечном государстве и исполняющая его хотелки.

Ответить | Правка | Наверх | Cообщить модератору

85. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –2 +/
Сообщение от нона (?), 29-Июн-20, 08:45 
Мальчик, ты дурак? Если перехватить хеш, зачем нужно искать для него пароль?
Ответить | Правка | Наверх | Cообщить модератору

86. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –2 +/
Сообщение от Lex (??), 29-Июн-20, 08:50 
> Мальчик, ты дурак? Если перехватить хеш, зачем нужно искать для него пароль?

Похоже, дурак тут только ты, поскольку обеими руками ЗА передачу логина и пароля в открытом виде.
"Внезапно" хэш может зависеть от множества условий и нюансов.

А пароль в открытом виде - он пароль и есть, и, как ни меняй алгоритмы хеширования и шифрования, но пароль "123456" юзера будет эквивалентно "123456" злоумышленника, однажды перехватившего его пароль.

Ответить | Правка | Наверх | Cообщить модератору

145. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (145), 29-Июн-20, 17:23 
> Похоже, дурак тут только ты, поскольку обеими руками ЗА передачу логина и пароля в открытом виде.

А ты умный такой, да? Нельзя передавать пароль в хешированном виде. Хеш считается на стороне сервера. С солью. Если б передавался уже в виде хеша, то действительно не было бы разницы — украсть пароль или хеш. Делается так для того, чтобы обеспечить защиту от подбора пароля в случае утечки базы. А пароль, передаваемый по шифрованному соединению, уже не «открытый». По определению.
В общем, двойка тебе.

Ответить | Правка | Наверх | Cообщить модератору

212. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (212), 30-Июн-20, 12:03 
Вы все дураки, я - умный. На стороне клиента считается хэш поверх хэша пароля, соли от клиента и соли от сервера, потом то же самое делается на стороне сервера и сравнивается. Ни хэш пароля, ни сам пароль не могут быть перехвачены, передаваемые соли и хэш - одноразовые.
А теперь пальцем мне укажите на сервисы где это реализовано кроме моего приватного.
Ответить | Правка | Наверх | Cообщить модератору

95. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (95), 29-Июн-20, 10:03 
ну перехватил ты хеш от пароля и что дальше? второй раз этот хеш не пройдёт, т.к. сеанс уже открыт, хеш протух, а для следующего сеанса для _того же самого_ пароля будет сгенерирован другой хеш. что будешь делать, сосать пису?
Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

133. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (133), 29-Июн-20, 15:29 
Это скрывает пароль, но не защищает аккаунт
Ответить | Правка | Наверх | Cообщить модератору

146. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от Аноним (145), 29-Июн-20, 17:24 
> для следующего сеанса для _того же самого_ пароля будет сгенерирован другой хеш

Это что ж за алгоритм такой, который каждый раз для одних и тех же входных данных разные хеши выдаёт? Просвети нас, тёмных, о криптогуру!

Ответить | Правка | К родителю #95 | Наверх | Cообщить модератору

160. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (160), 29-Июн-20, 17:57 
Алгоритм обычный, а входные данные разные. https://en.m.wikipedia.org/wiki/Digest_access_authentication , искать по слову nonce
Ответить | Правка | Наверх | Cообщить модератору

168. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от Аноним (145), 29-Июн-20, 20:04 
HTTP digest? Серьёзно? Нет, спасибо, конечно, что не basic, но, боюсь, ты отстал от жизни лет на 15 как минимум. Посмотри, как сделана аутентификация в любой современной CMS, что ли.
Ответить | Правка | Наверх | Cообщить модератору

196. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним84701 (ok), 30-Июн-20, 00:21 
> HTTP digest? Серьёзно? Нет, спасибо, конечно, что не basic, но, боюсь, ты
> отстал от жизни лет на 15 как минимум. Посмотри, как сделана
> аутентификация в любой современной CMS, что ли.

https://docs.aws.amazon.com/cognito/latest/developerguide/am...
Боюсь, отстал от жизни лет на *надцать совсем не он.

Ответить | Правка | Наверх | Cообщить модератору

197. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (145), 30-Июн-20, 01:21 
challenge-response — это замечательно, только речь выше шла о паролях.
Ответить | Правка | Наверх | Cообщить модератору

195. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним84701 (ok), 30-Июн-20, 00:18 
>> для следующего сеанса для _того же самого_ пароля будет сгенерирован другой хеш
> Это что ж за алгоритм такой, который каждый раз для одних и
> тех же входных данных разные хеши выдаёт?
> Просвети нас, тёмных, о  криптогуру!

Принцип работы WPA-PSK?
PAKE/SRP (Secure Remote Password)?
https://en.wikipedia.org/wiki/Secure_Remote_Password_protoco...
Не, не слышали!

Ответить | Правка | К родителю #146 | Наверх | Cообщить модератору

198. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (145), 30-Июн-20, 01:28 
PSK не есть пароль, строго говоря. А про SRP, ты прав, действительно не слышали. Не подскажешь какой-нибудь проект, где он реально используется?
Ответить | Правка | Наверх | Cообщить модератору

107. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от RomanCh (ok), 29-Июн-20, 11:28 
>  Суть высказывания не понятна, поскольку тем, кто торгует более дешевыми сертификатами ничто не мешало наращивать их сроки...

Они и наращивали, или вам 5 лет мало?
Непонятно что вам непонятно. Суть высказывания в том и была, что под прессом конкуренции мелкие/бедные/жадные бизнесы могли отращивать ... срок, до пределов граничащих с приличием. Вплоть до первого инцидента после которого их могли лишить сертификации. Тем самым они могли наращивать себе выгоду.
Теперь, по решению больших бизнесов - не смогут. И выгоду наращивать, а может и вообще иметь.

> предлагается вообще на стороне клиента хешировать и хеши уже передавать на сервак

Угу, идея понятна. Особо если вспомнить о соли. Ну типа - если и украл доступ, то только от одного сайта. Но выглядит как очередное так-себе решение, но это в духе последних лет.

Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

108. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –8 +/
Сообщение от Аноним (108), 29-Июн-20, 12:41 
> наложат какие-нибудь сша какие-нибудь санкции на энное государство - и все

Не делай гадости и никто не наложит на тебя санкции.
Я так считаю, несмотря на то, что США не люблю.

Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

113. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Michael Shigorinemail (ok), 29-Июн-20, 13:30 
Вы крупно ошибаетесь -- типовая логика здесь описана ещё Крыловым в басне про волка и ягнёнка.
Ответить | Правка | Наверх | Cообщить модератору

125. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –3 +/
Сообщение от Аноним (108), 29-Июн-20, 13:57 
> Ты виноват лишь в том, что хочется мне кушать

То есть, чтобы не съели, нужно делать гадости. Что Россия и делает, я об этом уже говорил. А остальные страны как-то живут сотрудничая.

Ответить | Правка | Наверх | Cообщить модератору

152. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (152), 29-Июн-20, 17:44 
И всё-таки, вы басню-то почитайте, чтобы глупостей не писать.
Ответить | Правка | Наверх | Cообщить модератору

213. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (212), 30-Июн-20, 12:12 
Нет смысла пытаться объяснять ягненку даже если они пишет под анонимом.
Ответить | Правка | Наверх | Cообщить модератору

117. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (117), 29-Июн-20, 13:44 
> Не делай гадости...

Т.е. "делай, что США велят"?

Ответить | Правка | К родителю #108 | Наверх | Cообщить модератору

124. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от Аноним (108), 29-Июн-20, 13:54 
> Т.е. "делай, что США велят"?

Необязательно. Свои решения тоже нужно принимать, но не перегибать палку. Остальные страны же как-то уживаются с ними. И кстати во многих уровень жизни неплохой.

Ответить | Правка | Наверх | Cообщить модератору

144. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (144), 29-Июн-20, 17:18 
Это было бы возможно, если бы в мире существовала Великая Истина, всеобщая справедливость и взаимопонимание. Жизнь так не работает, уважаемый. В реальности, вместо истины есть правда и она у каждого своя, вместо справедливости законы, а вместо взаимопонимания договоры и компромиссы.

Если вы верите что такие универсальные концепты, как Добро и Зло существуют и являются едиными для всех (а без этого условия "гадости" становится субъективным понятием), то это лишь означает, что вы являетесь приверженцем какой-то из Авраамических религий. Иронично, что даже в рамках разных христианских культов понятие добра и "гадостей" очень разные.

И это мы еще не затронули тему невежественного безразличия, когда можно мучить, притеснять и оболгать другого в собственных интересах даже не разбирая последствий.

А теперь попытайтесь обобщить это на уровень государств и международных отношений, где нет места человеку и личности и подумайте из каких соображений там происходит качественная оценка, что такое хорошо и что такое "гадости".

Правда в том, что любите вы США или нет, любите ли вы Европу или нет, любите ли вы Индию или Китай или Бангладеш или Нигерию - не важно. В самом лучшем раскладе кроме Вас и Ваших близких Ваша судьба заинтересует только Ваше государство, и то, если повезёт. А если кому-то сильно захочется против вас можно что угодно смастерить и обвинить вас в "гадостях" себе на пользу. Угодить всем в этой ситуации, будучи "правильным" технически не возможно и контрпродуктивно.

Ответить | Правка | К родителю #108 | Наверх | Cообщить модератору

147. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (145), 29-Июн-20, 17:28 
> В самом лучшем раскладе кроме Вас и Ваших близких Ваша судьба заинтересует только Ваше государство

История показывает, что это далеко не всегда так. Бывает и ровно наоборот.

Ответить | Правка | Наверх | Cообщить модератору

149. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (-), 29-Июн-20, 17:32 
А она и существует, уже очень давно.

Истинно только то, что приводит к долгосрочному выживанию человечества.
Но понять это наверное можно только если принял решение членом этого самого человечества быть, и то в полной мере, и возложил на себя такую ответственность. А иначе ты так, black lives matter (?) без отца на пособии.

Ответить | Правка | К родителю #144 | Наверх | Cообщить модератору

175. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (175), 29-Июн-20, 21:20 
Я как раз считаю, что добро и зло это субъективные понятия. Но, если кто-то сбивает самолет с гражданскими людьми, у меня язык не поворачивается назвать это добром или пустяком.
Ответить | Правка | К родителю #144 | Наверх | Cообщить модератору

179. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (179), 29-Июн-20, 22:14 
C LE сейчас вообще никаких проблем нет сделать себе сертификат. Раньше за это деньги требовалось платить
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

75. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +2 +/
Сообщение от КО (?), 29-Июн-20, 06:03 
Бабло вымогают
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

4. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +4 +/
Сообщение от Аноним (4), 28-Июн-20, 21:39 
Зачем нужны сертификаты, если им нельзя доверять? Но, в любом случае, это призрачная гарантия чего бы то ни было. С тем же успехом можно вернуться к plain http -- единственное отличие разве что в том, что сосед сможет подслушть модифицировать трафик.
Ответить | Правка | Наверх | Cообщить модератору

25. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от пох. (?), 28-Июн-20, 22:40 
> единственное отличие разве что в том, что сосед сможет подслушть модифицировать трафик

сосед - по любому не сможет.
Оператор - да, сможет - но кроме совсем охреневших монополистов, не захочет - в отличие от гуглемурзилы он-то живет на твои денежки, которые ты, обидевшись, можешь отнести другому оператору. А вот гуглемурзиле ты не платишь. И владелец сайта на который ты зашел, что характерно, тоже не платит.

Поэтому товар - вы.

Ответить | Правка | Наверх | Cообщить модератору

42. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –4 +/
Сообщение от бублички (?), 28-Июн-20, 23:27 
>> единственное отличие разве что в том, что сосед сможет подслушть модифицировать трафик
> сосед - по любому не сможет.

про ARP spoofing/cache poisoning не слыхали? оно и видно

Ответить | Правка | Наверх | Cообщить модератору

110. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –3 +/
Сообщение от Аноним (110), 29-Июн-20, 13:05 
Про разделение по vlanам и pppoe слышали?
Ответить | Правка | Наверх | Cообщить модератору

129. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от бублички (?), 29-Июн-20, 14:34 
> Про разделение по vlanам и pppoe слышали?

ты читать не умеешь? выше писали про соседа. ты думаешь подразумевали VLAN? или всё-таки подразумевали общую локальную сеть? заминусуй сам себя

Ответить | Правка | Наверх | Cообщить модератору

206. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –3 +/
Сообщение от Олег (??), 30-Июн-20, 09:13 
> выше писали про соседа. ты думаешь подразумевали VLAN? или всё-таки подразумевали общую локальную сеть?

Да что ты, блин, такое несёшь?..

Ответить | Правка | Наверх | Cообщить модератору

214. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +1 +/
Сообщение от Pofigist (?), 30-Июн-20, 12:18 
Если ты думаешь что типичный домушник (Eth-ISP) на каждую квартиру выделяет отдельный VLAN, то ты сильно заблуждаешься...

Да и DOCSIS/GPON - общая шина и там есть свои прекрасные приколы для перехвата соседского траффика... В xDSL - не получится (без учета приколов на дисламе разумеется), но он мертв.

Ответить | Правка | Наверх | Cообщить модератору

235. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от бублички (?), 30-Июн-20, 16:06 
>> выше писали про соседа. ты думаешь подразумевали VLAN? или всё-таки подразумевали общую локальную сеть?
> Да что ты, блин, такое несёшь?..

ты прежде чем варежку разевать читать бы научился больше чем 1 строчку в 1 комментарии. понял, блин? салага!

Ответить | Правка | К родителю #206 | Наверх | Cообщить модератору

207. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –2 +/
Сообщение от Олег (??), 30-Июн-20, 09:15 
>про ARP spoofing/cache poisoning не слыхали? оно и видно

И? Как это поможет, если есть привязка к порту коммутатора?

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

215. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Pofigist (?), 30-Июн-20, 12:19 
Да ктож ее делает-то?
Ответить | Правка | Наверх | Cообщить модератору

234. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от бублички (?), 30-Июн-20, 15:59 
мы рассмотрим все возможные случаи что могут уложиться в бредовый комментарий пох? или ты поленился прочитать откуда ноги растут но как и все включил эксперта?
Ответить | Правка | К родителю #207 | Наверх | Cообщить модератору

59. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +2 +/
Сообщение от Avator (ok), 29-Июн-20, 01:32 
Как минимум если окажется в одной с вами WiFi сети - легко сможет.
В сетях тех же ресторанов - вообще элементарно, если обращаетесь к сайту без HTTPS и не используете VPN.
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

68. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Lex (??), 29-Июн-20, 04:36 
Возможно конкретно ты и товар, но у нормальных людей в такой ситуации товар - возможность доступа к интернету или конкретной его части.

Владелец сайта, кстати, платит, пусть и немного иными путями - за «красивый» адрес, за хостинг итп, т.е он как раз платит за то, чтобы к нему могли зайти пользователи.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

134. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от пох. (?), 29-Июн-20, 15:32 
> Владелец сайта, кстати, платит, пусть и немного иными путями - за «красивый»
> адрес, за хостинг итп, т.е он как раз платит за то,

А где тут деньги гуглемурзилы? Во-о-от, то есть этим пацанам, за крышу, не забашлял!
Поэтому они его самого продадут. "На `добавить` - хватит!"

> чтобы к нему могли зайти пользователи.

А они херак, и не могут больше к нему зайти - вместо сайта белая страница с неведомой фигней бледносерыми буквами посередине: ERR_CERT_VALIDITY_TOO_LONG

Ответить | Правка | Наверх | Cообщить модератору

74. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (74), 29-Июн-20, 06:03 
> Оператор - да, сможет - но кроме совсем охреневших монополистов, не захочет

А других нет. Почитайте, как мегафон и прочие внедряет скрипты с рекламой в страницу (и по…ть, что она ломается). Два стула, в общем.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

98. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –2 +/
Сообщение от пох. (?), 29-Июн-20, 10:26 
> А других нет.

у меня до сих пор не замечено попыток пихания рекламы и прочего мусора ни за одним из двух домашних провайдеров, что я делаю не так?

Может, не гоняюсь за дешевизной?

А мегафон и остальная троица - именно охреневший монополист, это я как участник попытки создания ему альтернативы ответственно заявляю. В РФ нет и не может быть еще одного мобильного оператора, всё. Поделено, и смотрящие приставлены, чтоб заносили кому надо и с кем надо делились.

Не, ну на условиях йопты или теле2 можно, конечно. Если добрые дяди хотя бы за пол-цены купят.

Так что в мобильной связи стульев вроде бы целых четыре, и еще пара приставных табуреточек, но ассортимент того что по ним расставлено - тот же.

Ответить | Правка | Наверх | Cообщить модератору

216. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Pofigist (?), 30-Июн-20, 12:21 
А MT_FREE у тебя в списке сохраненых сетей, ога? :)
Ответить | Правка | Наверх | Cообщить модератору

224. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от пох. (?), 30-Июн-20, 13:00 
> А MT_FREE у тебя в списке сохраненых сетей, ога? :)

у меня вообще нет карманного шпиона.


Ответить | Правка | Наверх | Cообщить модератору

240. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Pofigist (?), 30-Июн-20, 22:07 
Его нет только у того кто не работает.
Ответить | Правка | Наверх | Cообщить модератору

5. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +2 +/
Сообщение от Онаним (?), 28-Июн-20, 21:41 
Такое ощущение, что существующая TLS PKI приближается к порогу раскола, разброда и шатаний. Автоматическая регенерация короткоживущих сертификатов тоже так себе решение с т.з. возможных рисков.
Ответить | Правка | Наверх | Cообщить модератору

21. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +3 +/
Сообщение от пох. (?), 28-Июн-20, 22:34 
по-моему наоборот - смело товарищи в ногу шагают к полному контролю твоего сайта.
Потому что сайт-то может пока еще и твой, а интернет - ихний.

> Автоматическая регенерация короткоживущих сертификатов тоже так себе решение с т.з. возможных
> рисков.

а что если их целью и является максимизация этих рисков? Нееее, ну не может же ж быть - гугль, мурзила, ябл - честнейшие же ребята, вы только гляньте в эти индусские хари. Как можно таким да не доверять?

Ответить | Правка | Наверх | Cообщить модератору

53. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +1 +/
Сообщение от Онаним (?), 29-Июн-20, 00:31 
Всё вполне вероятно так, но тут столкнулись продвигатели контроля над PKI с зарабатывальщиками на PKI.
Так-то чума на оба дома, конечно, но столкновение интересное.
Ответить | Правка | Наверх | Cообщить модератору

138. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (-), 29-Июн-20, 16:07 
Страдать всё равно мы будем. "Баре дерутся, а чубы у холопов трещат"
Ответить | Правка | Наверх | Cообщить модератору

6. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +11 +/
Сообщение от Аноним (3), 28-Июн-20, 21:41 
Опять "забота о гражданах" вместо совершенствования технологий/стандартов/etc..
Ответить | Правка | Наверх | Cообщить модератору

41. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –6 +/
Сообщение от Аноним (41), 28-Июн-20, 23:23 
За совершениствование некоторых технологий можно и на бутылку присесть.
Ответить | Правка | Наверх | Cообщить модератору

148. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –2 +/
Сообщение от Аноним (145), 29-Июн-20, 17:30 
> Опять "забота о гражданах" вместо совершенствования технологий/стандартов/etc..

Сам-то понял, что написал? Какое может быть совершенствование, если сертификаты по десять лет не обновлять?

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

8. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +5 +/
Сообщение от funny.falcon (?), 28-Июн-20, 21:44 
Странно: раньше центры получали денежку раз в 5 лет. Теперь будут каждый год. Чем они не довольны?

Проблема в конкуренции с LetsEncrypt?

Ответить | Правка | Наверх | Cообщить модератору

27. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от пох. (?), 28-Июн-20, 22:44 
именно так. геморрой со сменой пачки сертификатов раз в год (со служебными записками и миллионом согласований затрат аж этак на $60) для многих окажется окончательно неприемлемым.

Проще плюнуть и перейти на 6ешплатые. Ну станет одной потенциальной брешью больше из-за невменяемых роботов, манипулирующих сервером - подумаешь.

Пользователи, жрущие с чавканьем любое дерьмо подачи гуглезиллы - сами виноваты.

Зато, если у нас сперли сертификат на самом деле - теперь хрен кто что докажет.

Ответить | Правка | Наверх | Cообщить модератору

30. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от Ананимус (?), 28-Июн-20, 22:50 
Тебе не кажется, что платить за сертификат это довольно тупая затея в 2k20?
Ответить | Правка | Наверх | Cообщить модератору

40. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –3 +/
Сообщение от пох. (?), 28-Июн-20, 23:22 
"вот же, 6ешплатное, взять-взять-взять!"

Ответить | Правка | Наверх | Cообщить модератору

48. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от Ананимус (?), 29-Июн-20, 00:10 
За ДНС-сервер ты тоже платишь?
Ответить | Правка | Наверх | Cообщить модератору

60. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +1 +/
Сообщение от Гентушник (ok), 29-Июн-20, 01:35 
За DNS-сервер то можно не платить, а за то чтобы поднятый тобой DNS-сервер включили в "цепочку доверия" придётся заплатить денюжку регистратору доменных имён.
(бесплатные доменные имена не в счёт)
Ответить | Правка | Наверх | Cообщить модератору

84. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от Ананимус (?), 29-Июн-20, 08:41 
> За DNS-сервер то можно не платить, а за то чтобы поднятый тобой
> DNS-сервер включили в "цепочку доверия" придётся заплатить денюжку регистратору доменных
> имён.
> (бесплатные доменные имена не в счёт)

Я про резолвер говорил.

Ответить | Правка | Наверх | Cообщить модератору

100. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +1 +/
Сообщение от пох. (?), 29-Июн-20, 10:33 
за веб-сервер, использующий эти сертификаты - тоже не плачу.
А за dns - таки да, и дорого.

Там тоже правильные пацаны следят чтоб понятия соблюдались, а не кто чо нашел то и его. А братве за крышу кто заносить будет, за порядок?

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

111. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (111), 29-Июн-20, 13:26 
>За ДНС-сервер ты тоже платишь?

ДНС нынче входит в стоимость домена, если ты не в курсе. Этот сервис уже 5-10 лет как активно используется. Бесплатные домены имеются и к ним тебе еще дают бесплатный DNS. Проблема в том, что 1) возможностей этого DNS маловато 2) не секьюрно в контексте того же Let's Decrypt (владелец dns может "увести" сертификат в два пальца).

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

119. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Ананимус (?), 29-Июн-20, 13:48 
>>За ДНС-сервер ты тоже платишь?
> ДНС нынче входит в стоимость домена, если ты не в курсе. Этот
> сервис уже 5-10 лет как активно используется. Бесплатные домены имеются и
> к ним тебе еще дают бесплатный DNS. Проблема в том, что
> 1) возможностей этого DNS маловато 2) не секьюрно в контексте того
> же Let's Decrypt (владелец dns может "увести" сертификат в два пальца).

Я про резолвер говорил.

Ответить | Правка | Наверх | Cообщить модератору

130. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (111), 29-Июн-20, 15:08 
>Я про резолвер говорил.

Чешу репу и у меня только один вопрос: зачем ты вообще спросил про резолвер DNS? Или это проверка на смекалку? Давай еще раз, ниже правильный ответ:

>За ДНС-сервер ты тоже платишь?

Да, DNS-сервер в качестве резолвера оплачивается твоему интернет-провайдеру. Как именно за это снимается плата, скрытно, т.е. входит в пакет предоставления услуг интернет, или явно -- не имеет значения. Все уплочено.

Теперь встречный вопрос. Ты считаешь, что интернет должен быть бесплатным?

Ответить | Правка | Наверх | Cообщить модератору

136. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +1 +/
Сообщение от Ананимус (?), 29-Июн-20, 15:56 
>>Я про резолвер говорил.
> Чешу репу и у меня только один вопрос: зачем ты вообще спросил
> про резолвер DNS? Или это проверка на смекалку? Давай еще раз,
> ниже правильный ответ:
>>За ДНС-сервер ты тоже платишь?
> Да, DNS-сервер в качестве резолвера оплачивается твоему интернет-провайдеру.

Очевидно нет, ведь я пользуюсь бесплатными.

> Как именно
> за это снимается плата, скрытно, т.е. входит в пакет предоставления услуг
> интернет, или явно -- не имеет значения. Все уплочено.

Не знаю, кому чего уплочено, я пользуюсь бесплатными DNS серверами.

> Теперь встречный вопрос. Ты считаешь, что интернет должен быть бесплатным?

Я считаю, что изрядная часть интернета и так уже бесплатная для юзера. Поэтому вопли О БОЖЕ МОЙ СЕРТИФИКАТЫ БЕСПЛАНТНЫЕ ЗНАЧИТ ЗА НАМИ АНБ СЛЕДИТ это что-то из разряда белок-истеричек.

Ответить | Правка | Наверх | Cообщить модератору

157. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (111), 29-Июн-20, 17:53 
>Очевидно нет, ведь я пользуюсь бесплатными.

Давай я тебя спущу с небес фантазий о твоей гениальности.

1) Ты платишь за интернет? Думаю, что нет. Ты же через "бесплатный" wi-fi в кафе пишешь на опеннет?

2) Если ты пользуешься интернетом, то возможность пользоваться сторонними DNS-серверами у тебя есть просто потому, что провайдер это разрешил. В случае интернет-кафе, возможность пользоваться сторонними DNS это ошибка сис.админа этого кафе.

3) В класическом случае, провайдер тебе обязан дать доступ к своему DNS, не столько по закону, сколько из-за того, что у него в этом DNS крутится свой интРАнет для доступа к локальным ресурсам. И для провайдера это не жалко -- 1 копейка со 100 тыс. пользователей в месяц дает 1 тыс. рублей. В случае рубля сверху за интернет для тех же 100 тыс, получается 100 тыс. рублей в месяц. Сечешь как это прибыльно?

4) Разговор тут про сервера, и сертификаты на серверах. За сервер ты обычно платишь, если не платишь и сервер у тебя под диваном, то ты платишь за статический IP-адрес, в стоимость которого входит и DNS.

5) Тема про резолвер вообще ни о чем. Основные проблемы с DNS и сертификатами от Let's Decrypt.

>Поэтому вопли О БОЖЕ МОЙ СЕРТИФИКАТЫ БЕСПЛАНТНЫЕ ЗНАЧИТ ЗА НАМИ АНБ СЛЕДИТ это что-то из разряда белок-истеричек.

Я тебя разочарую. Проект Let's Decrypt запущен гугловскими чуваками. И если истерия может быть, то только по причине того, что гугл знает, что мне, как владельцу сайта, лучше продать через свою сеть Google Ads. А также он знает, что лучше продавать посетителям моего сайта. Это совсем другой уровень вторжения в личную жизнь, последствия которого мало кто ощутил по-настоящему и вряд ли ощутит в ближайшие пять-десять лет.

ИМХО, истерия начнется только у следующего поколения, которое более четко ощущает эти тонкости. Мне, как старику, уже пофиг кто и что за мной следит, но я понимаю, что знания о моих предпочтениях стоят деньги и корпорации на этом зарабатывают. В то время как я на это не подписывался и не получаю за это ни цента.

Ответить | Правка | Наверх | Cообщить модератору

161. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Ананимус (?), 29-Июн-20, 18:09 
>>Очевидно нет, ведь я пользуюсь бесплатными.
> Давай я тебя спущу с небес фантазий о твоей гениальности.
> 1) Ты платишь за интернет? Думаю, что нет. Ты же через "бесплатный"
> wi-fi в кафе пишешь на опеннет?

Я плачу своему провайдеру за доступ в сеть. За доступ к DNS серверу я ему не плачу :D

> 2) Если ты пользуешься интернетом, то возможность пользоваться сторонними DNS-серверами
> у тебя есть просто потому, что провайдер это разрешил. В случае
> интернет-кафе, возможность пользоваться сторонними DNS это ошибка сис.админа этого кафе.

Роскомнадзор уже пытался. Это назаывается "цензура" и вообще слегка запрещено.

> 3) В класическом случае, провайдер тебе обязан дать доступ к своему DNS,
> не столько по закону, сколько из-за того, что у него в
> этом DNS крутится свой интРАнет для доступа к локальным ресурсам. И
> для провайдера это не жалко -- 1 копейка со 100 тыс.
> пользователей в месяц дает 1 тыс. рублей. В случае рубля сверху
> за интернет для тех же 100 тыс, получается 100 тыс. рублей
> в месяц. Сечешь как это прибыльно?

Это все очень здорово, но я пользуюсь не его DNS серверами.

> 4) Разговор тут про сервера, и сертификаты на серверах. За сервер ты
> обычно платишь, если не платишь и сервер у тебя под диваном,
> то ты платишь за статический IP-адрес, в стоимость которого входит и
> DNS.

Как это связано с чем? В сети есть бесплатный DNS? Да. Ими можно пользоваться? Да. Все, вопрос закрыт.

> 5) Тема про резолвер вообще ни о чем. Основные проблемы с DNS
> и сертификатами от Let's Decrypt.

Не существует проблем с Let's Encrypt. Они только в твоей голове.

>>Поэтому вопли О БОЖЕ МОЙ СЕРТИФИКАТЫ БЕСПЛАНТНЫЕ ЗНАЧИТ ЗА НАМИ АНБ СЛЕДИТ это что-то из разряда белок-истеричек.
> Я тебя разочарую. Проект Let's Decrypt запущен гугловскими чуваками. И если истерия
> может быть, то только по причине того, что гугл знает, что
> мне, как владельцу сайта, лучше продать через свою сеть Google Ads.
> А также он знает, что лучше продавать посетителям моего сайта. Это
> совсем другой уровень вторжения в личную жизнь, последствия которого мало кто
> ощутил по-настоящему и вряд ли ощутит в ближайшие пять-десять лет.

А let's encrypt здесь при том, что?.. А то я как-то не вижу связи между google analytics, которую сами же владельцы сайтов себе и вешают, и LE.

> ИМХО, истерия начнется только у следующего поколения, которое более четко ощущает эти
> тонкости. Мне, как старику, уже пофиг кто и что за мной
> следит, но я понимаю, что знания о моих предпочтениях стоят деньги
> и корпорации на этом зарабатывают. В то время как я на
> это не подписывался и не получаю за это ни цента.

А как все это связано с LE? Как гугл следит за тобой через сертификат, мне правда очень интересно.

Ответить | Правка | Наверх | Cообщить модератору

164. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (111), 29-Июн-20, 18:33 
>> 4) Разговор тут про сервера, и сертификаты на серверах. За сервер ты
>> обычно платишь, если не платишь и сервер у тебя под диваном,
>> то ты платишь за статический IP-адрес, в стоимость которого входит и
>> DNS.
>Как это связано с чем? В сети есть бесплатный DNS? Да. Ими можно пользоваться? Да. Все, вопрос закрыт.

Ты вообще не в теме. Поясняю:

1) Ты владелец сайта
2) У твоего сайта есть домен anonyms.ru
3) У тебя есть сервер с постоянным IP-адресом 1.2.3.4
4) Но у тебя нет записи в DNS, чтобы я смог зайти на этот сайт.
5) Ты либо пользуешься услугами Регистратора Доменов, где ты купил домен anonyms.ru и они тебе дают бесплатно сделать запись в их DNS, чтобы я смог зайти на твой сервер
6) Либо ты поднимаешь/покупаешь где-либо свои DNS сервера и просишь Регистратора Доменов делегировать управление доменом anonyms.ru на эти сервера
7) Ты вписываешь в DNS запись anonyms.ru находится по IP-адресу 1.2.3.4
8) Теперь и только теперь я и весь остальной мир могут зайти с использованием "бесплатных" DNS-серверов на твой сайт через https ://anonyms.ru, а не как идиоты только через https ://1.2.3.4

Короче, иди учи матчасть. Потом умничай. Без обид.

Ответить | Правка | Наверх | Cообщить модератору

165. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Ананимус (?), 29-Июн-20, 19:40 
>[оверквотинг удален]
> на этот сайт.
> 5) Ты либо пользуешься услугами Регистратора Доменов, где ты купил домен anonyms.ru
> и они тебе дают бесплатно сделать запись в их DNS, чтобы
> я смог зайти на твой сервер
> 6) Либо ты поднимаешь/покупаешь где-либо свои DNS сервера и просишь Регистратора Доменов
> делегировать управление доменом anonyms.ru на эти сервера
> 7) Ты вписываешь в DNS запись anonyms.ru находится по IP-адресу 1.2.3.4
> 8) Теперь и только теперь я и весь остальной мир могут зайти
> с использованием "бесплатных" DNS-серверов на твой сайт через https ://anonyms.ru, а
> не как идиоты только через https ://1.2.3.4

Я не знаю сколько раз мне придется говорит, но я попробую ещё раз: речь идет про _резолвер_. Не про авторитативный DNS сервер. Так вот использование _резолвера_ бесплатное.

Ответить | Правка | Наверх | Cообщить модератору

128. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +1 +/
Сообщение от пох. (?), 29-Июн-20, 14:26 
> не секьюрно в контексте того же Let's Decrypt (владелец dns может "увести" сертификат в два
> пальца

ну так "владелец" - DNS (не ресолвера, а dns ;-) его именно что может увести, как два пальца. Как и владелец твоего ip (и это опять не ты).
Для того и придумали letshitcrypt, а то ишь, выдумали - документы какие-то требовать, или валидации не сиюминутного контроля над доменом или сайтом, а чего посущественнее устраивать. Да еще и сертификат годами не менять, вызывая обоснованные *вопросы* если вдруг он ни с того ни с сего изменился.

Запретить-запретить!

Ответить | Правка | К родителю #111 | Наверх | Cообщить модератору

131. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (111), 29-Июн-20, 15:11 
>ну так "владелец" - DNS (не ресолвера, а dns ;-) его именно что может увести, как два пальца. Как и владелец твоего ip (и это опять не ты)

А я и не спорю. Жду, когда Мозилла, Гугл, Эппл это поймут и начнут раздавать бесплатный интернет, DNS-сервера, IP и т.д.

Ответить | Правка | Наверх | Cообщить модератору

137. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Ананимус (?), 29-Июн-20, 16:00 
>> не секьюрно в контексте того же Let's Decrypt (владелец dns может "увести" сертификат в два
>> пальца
> ну так "владелец" - DNS (не ресолвера, а dns ;-) его именно
> что может увести, как два пальца. Как и владелец твоего ip
> (и это опять не ты).

Хостер, ворующий домен, это прям что-то удивительное.

> Для того и придумали letshitcrypt, а то ишь, выдумали - документы какие-то
> требовать, или валидации не сиюминутного контроля над доменом или сайтом, а
> чего посущественнее устраивать. Да еще и сертификат годами не менять, вызывая
> обоснованные *вопросы* если вдруг он ни с того ни с сего
> изменился.

Как валидация сертификата в районном обкоме с двумя понятыми и тремя подписями вышестоящих инстанций спасет тебя от хостера, который увел твой домен?

> Запретить-запретить!

Ответить | Правка | К родителю #128 | Наверх | Cообщить модератору

140. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от пох. (?), 29-Июн-20, 16:19 
> Хостер, ворующий домен

хостеру не надо воровать домен, он может твой сертификат скопировать командой cp.
Кстати, там обычно очень нищие и очень жадные сотрудники имеют доступ ко всему.

Думай дальше - если есть чем. Кому на самом деле принадлежит "твой" домен, если никакого "хостера" вообще, для разнообразия, нет.

Ответить | Правка | Наверх | Cообщить модератору

141. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Ананимус (?), 29-Июн-20, 16:24 
>> Хостер, ворующий домен
> хостеру не надо воровать домен, он может твой сертификат скопировать командой cp.

Вот именно.

> Кстати, там обычно очень нищие и очень жадные сотрудники имеют доступ ко
> всему.

Как и везде.

> Думай дальше - если есть чем. Кому на самом деле принадлежит "твой"
> домен, если никакого "хостера" вообще, для разнообразия, нет.

Если ты хостишься не в облаке, а купил себе доменное имя и засунул сервак в шкаф домой, то твой домен может отдать кому-нибудь другому твой регистратор. И опять вся ценность валидации TLS сертификата через районный обком и трех понятых становится равной нулю. В принципе ценность валидации TLS через районный обком и трех понятых равна нулю, за исключением одного единственного случая -- EV.

Ответить | Правка | Наверх | Cообщить модератору

78. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +11 +/
Сообщение от Anonymoustus (ok), 29-Июн-20, 07:15 
> 2k20

И ведь ни одного знака не сэкономил. Дурак дураком.

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

83. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +2 +/
Сообщение от Аноним (95), 29-Июн-20, 08:33 
всё ещё находятся дегенераты, которые не знают, что положение множительной приставки замещает запятую в числе. т.е. 2к20 = 2,20 тысячи или 2200
Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

101. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (101), 29-Июн-20, 10:39 
> 2к20 = 2,20 тысячи или 2200

а 2k3 - это 2.3 тысячи, то есть 2300?

Ответить | Правка | Наверх | Cообщить модератору

112. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +4 +/
Сообщение от nbw (ok), 29-Июн-20, 13:28 
Вы на редкость догадливы, дорогой сэр
Ответить | Правка | Наверх | Cообщить модератору

163. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от Ананимус (?), 29-Июн-20, 18:23 
> всё ещё находятся дегенераты, которые не знают, что положение множительной приставки замещает
> запятую в числе. т.е. 2к20 = 2,20 тысячи или 2200

Ахахаха. Нет.

Ответить | Правка | К родителю #83 | Наверх | Cообщить модератору

55. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +1 +/
Сообщение от Онаним (?), 29-Июн-20, 00:34 
Есть ещё блин места, где обновление сертификатов только ручное, с перекрёстной проверкой по факту...
Как они вообще себе это в перспективе представляют. Ну ок, год ещё терпимо, но они ведь 100% дальше собрались эту планку двигать.
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

99. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +3 +/
Сообщение от пох. (?), 29-Июн-20, 10:31 
> Как они вообще себе это в перспективе представляют.

раз в день, каждый день - а что этим людям еще было бы чем заняться - это неважно, гугля это не волнует.

По факту можно считать что мы вернулись во времена до https. Он уже просто не поддерживается браузерами (поддерживается теперь подделка-пародия на него). Хочешь хотя бы видимости защиты - vpn или периметр единственные твои средства.

Ответить | Правка | Наверх | Cообщить модератору

171. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Онаним (?), 29-Июн-20, 20:29 
Ну вообще да, для внутренних сервисов так и есть, кроме того, что в wifi может ходить :)
Ответить | Правка | Наверх | Cообщить модератору

120. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Ананимус (?), 29-Июн-20, 13:49 
> Есть ещё блин места, где обновление сертификатов только ручное, с перекрёстной проверкой
> по факту...
> Как они вообще себе это в перспективе представляют. Ну ок, год ещё
> терпимо, но они ведь 100% дальше собрались эту планку двигать.

А зачем? Сертификат должен защищать данные, передающиеся по каналу между клиентом и сервером. Зачем их руками обновлять, кому от этого радость?

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

169. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Онаним (?), 29-Июн-20, 20:06 
Руками обновлять затем, чтобы исключить возможность "автообновления" на что-то отличающееся от нужного.
Ну ладно, не совсем руками - там ансиблы и прочее, но перекрёстная проверка обязательно проводится.
Нет доверия к автоматизированным сервисам обновления, совсем нет.
Ответить | Правка | Наверх | Cообщить модератору

174. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Ананимус (?), 29-Июн-20, 20:56 
> Руками обновлять затем, чтобы исключить возможность "автообновления" на что-то отличающееся
> от нужного.
> Ну ладно, не совсем руками - там ансиблы и прочее, но перекрёстная
> проверка обязательно проводится.
> Нет доверия к автоматизированным сервисам обновления, совсем нет.

Ну и какие у нас (обоснованные) страхи? И почему нельзя заскриптовать проверку по критериям и скормить их certbot'у в скрипт?

Ответить | Правка | Наверх | Cообщить модератору

185. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Онаним (?), 29-Июн-20, 22:40 
Никакие скрипты в файлы с сертификатами не ходят. Тчк. That's the rule.
Можете считать, что без цели и смысла, просто ваши фломастеры другие на вкус.

Естественно, это не касается клиентских, там клиент волен по своему усмотрению хоть приватный ключ мылом посылать - и таких, блин, полно.

Ответить | Правка | Наверх | Cообщить модератору

186. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Онаним (?), 29-Июн-20, 22:42 
Добавочка к первому: не ходят на запись. В ключи не ходят на чтение, кроме софта, которому положено. Если дата / размер / хеш любого файла сертификата изменились, а процедура не соблюдена - это shutdown сервиса под сертификатом и инцидент.
Ответить | Правка | Наверх | Cообщить модератору

201. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Ананимус (?), 30-Июн-20, 06:19 
Ну так какая модель угроз-то? В сертификате троян? Он на другой домен? Вместо твоего имени написано Дениска Пиписка?
Ответить | Правка | К родителю #185 | Наверх | Cообщить модератору

244. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (244), 01-Июл-20, 18:40 
ты хочешь заставить людей описать ВСЕ модели угроз, которые уже были или будут?
наивный вьюноша. написано же, просто не пускают к сертификатам ничего, кроме рук через анально огороженный вход. при этом остаётся только руткит, утечка из софта или инсайдер, а большинство оставшихся даже пока не известных моделей угроз благополучно курят в сторонке
Ответить | Правка | Наверх | Cообщить модератору

150. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от Аноним (145), 29-Июн-20, 17:34 
> Есть ещё блин места, где обновление сертификатов только ручное, с перекрёстной проверкой по факту...

Ну так пришло время автоматизировать. За чем дело стало? Let's Encrypt сумел, а продавцы воздуха не могут? Ну так и не пошли б они лесом в таком случае?
Или ты боишься, что тебя, админа-обновляльщика, без работы оставят? Так грош тебе цена как специалисту, если ты, кроме как хеши сверять, ничего не могёшь.

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

159. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от Ананимус (?), 29-Июн-20, 17:57 
> Ну так пришло время автоматизировать. За чем дело стало? Let's Encrypt сумел, а продавцы воздуха не могут?

Ну так это ж работать надо, а не воздухом торговать.

Ответить | Правка | Наверх | Cообщить модератору

170. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Онаним (?), 29-Июн-20, 20:11 
Я, к счастью, к этому обновлению имею отношение только в том плане, что сетаплю системы, в которых к этим самым сертификатам возможен доступ только после цепочки авторизации (личный ключ - личный пароль - пароль обновления).
Ответить | Правка | К родителю #150 | Наверх | Cообщить модератору

182. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (179), 29-Июн-20, 22:27 
Разберись вначале какие сертификаты существуют в плане назначение и требующие подтверждения не только почтовым адресом. Ты точно хочешь заходить в банк имеющий Let's Encrypt сертификат?
Ответить | Правка | К родителю #150 | Наверх | Cообщить модератору

187. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +1 +/
Сообщение от Онаним (?), 29-Июн-20, 22:46 
А, им всё фиолетово. У них всё просто - докерочек, и редисочка с монгочкой в сеть... как обычно, с течением времени - голым задом, потому что апстримчик нечаянно изменил темплейтик, и воооот этот параметр теперь уже не торт, а мы смузи пили. Зато автоматизировано (с)
Ответить | Правка | Наверх | Cообщить модератору

199. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от Аноним (145), 30-Июн-20, 01:37 
> Ты точно хочешь заходить в банк имеющий Let's Encrypt сертификат?

Разуй глаза и перечитай, на что отвечаешь. Кто сказал, что именно Let's Encrypt? Пусть любой УЦ сделает API для обновления сертификатов, вовсе не обязательно использовать для этого ACME. Сделает так, чтобы было в достаточной степени секюрно. Доступ для верифицированного клиента по каким-нибудь токенам, которые легко нагенерировать и легко отозвать. Что этому мешает?

Ответить | Правка | К родителю #182 | Наверх | Cообщить модератору

203. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от Онаним (?), 30-Июн-20, 08:51 
Ну пусть сделает. УЦ, сделай мне за***сь, раз-два. [и лишь молчание было ему ответом]
Ответить | Правка | Наверх | Cообщить модератору

204. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Онаним (?), 30-Июн-20, 08:52 
К слову, у многих УЦ есть API для выписки и отзыва сертификатов. При желании его можно даже для автообновления использовать, но это редкий юзкейс.
Ответить | Правка | К родителю #199 | Наверх | Cообщить модератору

209. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от К. О. (?), 30-Июн-20, 10:29 
> это редкий юзкейс.

Теперь станет частым.

Ответить | Правка | Наверх | Cообщить модератору

239. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Онаним (?), 30-Июн-20, 18:46 
Возможно. Либо API оставят только для партнёрок, как некоторые уже сделали.
Ответить | Правка | Наверх | Cообщить модератору

248. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +1 +/
Сообщение от Аноним (248), 26-Авг-20, 19:32 
Реально, а как теперь быть с аппаратами у которых web-интерфейс и срок эксплуатации комплекса до следующей модернизации 6-7 лет? Закладывать сервисный контракт каждый год по замене сертификатов на точках доступа/серверах последовательных портов/логических реле? Там в интернет ходит в лучшем случае один комп, который может внезапно (или планово) обновлений хапнуть.
Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

249. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Онаним (?), 26-Авг-20, 20:02 
И это тоже, да. Про это я совсем забыл. Я больше имел в виду trusted internal infrastructrue, где обновление сертификата очень проблематичная вещь с точки зрения процедуры, потому что оно должно быть незыблемо, любые случайные изменения - уже incident.
Ответить | Правка | Наверх | Cообщить модератору

250. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +1 +/
Сообщение от Аноним (248), 26-Авг-20, 20:19 
Ну у проекторов и т.п. тоже есть web-интерфейс. Это не критичное оборудование, это не серверная инфраструктура и (что впрочем логично) не всегда их обслуживают люди связанные с ИТ.
Сейчас при любой попытке зайти на некоторые аппараты приходится читать что в конце года flash перестанет работать, так теперь еще и сертификаты каждый год по ним раскладывать =(
Ответить | Правка | Наверх | Cообщить модератору

251. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Michael Shigorinemail (ok), 26-Авг-20, 21:26 
> Реально, а как теперь быть с аппаратами у которых web-интерфейс и срок
> эксплуатации комплекса до следующей модернизации 6-7 лет?

Скорее закладывать доступ со столь же тщательно замороженой станции управления в соответствующем VLAN...

Ответить | Правка | К родителю #248 | Наверх | Cообщить модератору

166. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (166), 29-Июн-20, 19:56 
Сейчас - уже да, т.к. блокировку с него сняли.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

11. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –4 +/
Сообщение от Аноним (3), 28-Июн-20, 21:56 
> внедрению новых криптостандартов

"Во что" они собрались их внедрять? Ах в свой браузер чтоле? Ща, разбежался и побежал обновлять, ога))

> для фишинга

Да пжалуста, пусть используют! И желательно пожостче, а мне пусть вышлют видео, гг.

Ответить | Правка | Наверх | Cообщить модератору

12. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +2 +/
Сообщение от Аноним (12), 28-Июн-20, 22:00 
Если уж у фирмы сперли сертификат и никто не заметил, что мешает делать это на регулярной основе?

К тому же, как раз одной из основной причин введения lets encrypt была в том, что люди забывают за 5 лет, как обновлять сертификаты и куда их подкладывать. Типа, настроил сертбота и можно про это вообще забыть, он самостоятельно будет работать годами, раскладывая в нужные места сертификаты.

В этом случае, выявлять утечки будет даже сложнее.

Ответить | Правка | Наверх | Cообщить модератору

17. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +2 +/
Сообщение от пох. (?), 28-Июн-20, 22:21 
> Если уж у фирмы сперли сертификат и никто не заметил, что мешает делать это на регулярной основе?

так ведь вопрос - КТО спер.

> В этом случае, выявлять утечки будет даже сложнее.

именно.

Ответить | Правка | Наверх | Cообщить модератору

151. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –2 +/
Сообщение от Аноним (145), 29-Июн-20, 17:38 
> Если уж у фирмы сперли сертификат и никто не заметил, что мешает делать это на регулярной основе?

Например, то, что настройки сервера поменяли или админа-долбодятла уволили. А если вместо одного сертификата для всех серверов стали использовать разные, то и от регулярного воровства толку сильно поубавится.

> В этом случае, выявлять утечки будет даже сложнее.

man CT

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

184. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (179), 29-Июн-20, 22:29 
Потом сменили api и приехали обновление перестало работать
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

205. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +1 +/
Сообщение от пох. (?), 30-Июн-20, 08:55 
А это оно у тебя потому перестало, что вместо единственноверного _самообновляющегося_ скрипта, ты, гад такой, используешь какие-то сомнительные васянские поделки.
Лишая правильных ребят возможности обновить тебе не только этот скрипт, но и что-нибудь еще, если правильные ребята опять же правильно попросят - и снова не оставив никаких следов - ведь после того обновления скрипт снова обновился - смотри, смотри - вот код, все в нем правильно, не, мы не знаем кто у тебя вчера zero day запустил - руйские хакеры, наверное!


Ответить | Правка | Наверх | Cообщить модератору

14. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –5 +/
Сообщение от Аноним (14), 28-Июн-20, 22:09 
Пошли они со своими стандартами.
На госзакупки только хромиум-гост и майкрософтовские браузеры заходят.
Ответить | Правка | Наверх | Cообщить модератору

29. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +3 +/
Сообщение от Ivan_83 (ok), 28-Июн-20, 22:49 
Сайт востребован полутора ананимами - не интересно никому.
Ответить | Правка | Наверх | Cообщить модератору

49. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (49), 29-Июн-20, 00:17 
А он не для хоиячков без денег и делался. Проходите дальше, к ютубокотикам и бьютиблоггерам, не мешайте серьёзным людям заниматься делами.
Ответить | Правка | Наверх | Cообщить модератору

217. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Pofigist (?), 30-Июн-20, 12:26 
Сайт востребован бизнесом, совокупно дающим более 80% ВВП РФ
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

102. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от пох. (?), 29-Июн-20, 10:40 
> На госзакупки только хромиум-гост и майкрософтовские браузеры заходят.

так не будет скоро майкрософтовских, вот в чем беда-то.
И, кстати, я практически уверен что в ie11 нужное и полезное усовершенствование сбэкпортят.

Потому что все остальные нужные и полезные усовершенствования до него давным-давно добрались.

Останется только китайский квадратик-квадратик-360.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

153. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от Аноним (152), 29-Июн-20, 17:49 
> И, кстати, я практически уверен что в ie11 нужное и полезное усовершенствование сбэкпортят.

Стюардессу уже давно закопали, и слава богу.

Ответить | Правка | Наверх | Cообщить модератору

15. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от Аноним (15), 28-Июн-20, 22:17 
Остаётся посмотреть поведутся ли владельцы сайтов на это.
Ответить | Правка | Наверх | Cообщить модератору

19. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +2 +/
Сообщение от пох. (?), 28-Июн-20, 22:23 
а кто их спрашивать-то будет? Пользователь получит вместо сайта - пустую БЕЛУЮ страницу, с неведомой херней точно посередине - ERR_CERT_VALIDITY_TOO_LONG - не текстом с описанием в чем именно проблема, а именно бессмысленным идиотским заклинанием.

Разумеется, испугается, нажмет reset, и откроет сайт конкурентов.

Еще один шажок к полному уничтожению возможности грамотных пользователей контролировать доверие на уровне _сертификатов_ а не подконтрольных хз кому CA - успешно сделан.

Ответить | Правка | Наверх | Cообщить модератору

33. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –2 +/
Сообщение от Ivan_83 (ok), 28-Июн-20, 23:01 
Я даже на https не повёлся - мой сайт по прежнему по http доступен, а https - с самоподписным, кажется на 10 лет сертом.
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

43. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +4 +/
Сообщение от пох. (?), 28-Июн-20, 23:35 
> Я даже на https не повёлся - мой сайт по прежнему по
> http доступен, а https - с самоподписным, кажется на 10 лет

главное чтобы гугль не разучился его индексировать - а он может. если эти модные тенденции протекут и в мозги автора curl (дай угадаю, чью либу используют гуглоботы)

> сертом.

кстати, я тут изучал вопрос на тему того, как ограничить действие самодельных CA только своими собственными сайтами (чтобы не переживать, давая людям сертификат своего CA, что, теоретически, если его у меня сопрут, и, еще более теоретически, откуда-то узнают и как-то доберутся до этих людей - им могут подсунуть поддельный sperbank.ru)
Так вот угадайте, чей уникальный рукожопский браузер игнорирует такой экстеншн? Прааавильно - главных борцунов с долгоживущими сертификатами, компании Огрызок.

P.S. nameConstraints - если кому тоже интересно. Обратить внимание на трогательное несовпадение обработки впередистоящей точки в браузерах и в openssl.

Ответить | Правка | Наверх | Cообщить модератору

80. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +2 +/
Сообщение от Anonymoustus (ok), 29-Июн-20, 07:18 
> главное чтобы гугль не разучился его индексировать - а он может. если эти модные тенденции протекут и в мозги автора curl (дай угадаю, чью либу используют гуглоботы)

Грядут (возвращаются) времена, когда мы ссылки на _свои_ сайты будет сообщать доверенным лицам и каталогам ссылок, а индексаторы вроде Гулагеля пусть индексируют что-нибудь другое. И смех, и грех.

Ответить | Правка | Наверх | Cообщить модератору

89. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –4 +/
Сообщение от Аноним (87), 29-Июн-20, 09:41 
> главное чтобы гугль не разучился его индексировать

Если я что-то закрыл https-ом, дак поди уж наверно, что мне совсем не нужно, чтобы там шатались какие-то гуглы. А где можно слоняться - там http.

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

103. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от пох. (?), 29-Июн-20, 10:43 
У Ивана https'ом ничего не закрыто - у него есть просто еще и https - для тех кого почему-то не устраивает http (например - лишают охреневшего оператора доли от рекламы, твари), ну и для гугля, чтоб индексировал. Как и у меня, собственно. Вот первое перестанет работать из-за браузеров, а второе - потому что гуглебот использует те же библиотеки, а их авторам уже вручены ЦУ как все испортить чтоб ничего кроме одобренного гуглем не работало.

Ответить | Правка | Наверх | Cообщить модератору

241. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Ivan_83 (ok), 30-Июн-20, 23:10 
У меня https с самоподписным сертификатом есть только потому что есть доступ с авторизацией через вебдав к данным которые не являются публичными.
Ответить | Правка | Наверх | Cообщить модератору

16. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +1 +/
Сообщение от Kuromi (ok), 28-Июн-20, 22:18 
Изменение конечно не самое приятное, но давно уже понятно что одними разговорами ничего не добиться, приходится форсировать. Например недавний пример - один госбанк в РФ был настолько продвинут что поддерживал на своих вэб-сервисах только SSL (все еще) и TLS 1.0. Все что новее - просто не поддерживалось.
Тлько пинок со стороны Хрома\ФФ заставил их наконец убрать SSL и добавить TLS 1.2. Так что теперь у них TLS 1.0 И TLS 1.2.

А без пинка они бы никогда не сделали, наверное.

Ответить | Правка | Наверх | Cообщить модератору

24. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от Аноним (24), 28-Июн-20, 22:40 
> один госбанк в РФ был настолько продвинут

Имя, сестра. Имя!

Ответить | Правка | Наверх | Cообщить модератору

66. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от Kuromi (ok), 29-Июн-20, 03:25 
>> один госбанк в РФ был настолько продвинут
> Имя, сестра. Имя!

Я лишь намекну Оборонка + Санация.

Ответить | Правка | Наверх | Cообщить модератору

28. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (28), 28-Июн-20, 22:49 
И что, много денег сперли у этого банка и его клиентов?
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

50. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от Аноним (49), 29-Июн-20, 00:20 
К сожалению, почти все подобные истории остаются гулять по даркнету, да в редких случаях — по «московским гостиным». До подлинной цифровой открытости нашей цивилизации ещё не один десяток лет.
Ответить | Правка | Наверх | Cообщить модератору

65. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Kuromi (ok), 29-Июн-20, 03:25 
> И что, много денег сперли у этого банка и его клиентов?

Ну его бывшие хозяева все в Лондоне, дела так сказать возбуждаются.

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

79. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +1 +/
Сообщение от Аноним (79), 29-Июн-20, 07:17 
И всё из-за сертификатов не той системы и старого ссл? Как интересно. А я то думал как у нас в стране прут всё подряд. А это из-за отсутствия квиков с тлс1.3 и летшинкриптами.
Ответить | Правка | Наверх | Cообщить модератору

173. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Kuromi (ok), 29-Июн-20, 20:41 
> И всё из-за сертификатов не той системы и старого ссл? Как интересно.
> А я то думал как у нас в стране прут всё
> подряд. А это из-за отсутствия квиков с тлс1.3 и летшинкриптами.

Не, в Лондон они уехали после того как оказалось что "расхищали и схематозили". А банк остался.

Ответить | Правка | Наверх | Cообщить модератору

18. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +2 +/
Сообщение от Сейд (ok), 28-Июн-20, 22:23 
Вот так вот браузеры и начинают диктовать, кому верить, а кому нет.
Ответить | Правка | Наверх | Cообщить модератору

20. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +2 +/
Сообщение от пох. (?), 28-Июн-20, 22:30 
что значит - начинают? Они это делают уже лет пять. С момента уничтожения любых альтернатив letshitcrypt.

Ответить | Правка | Наверх | Cообщить модератору

61. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Сейд (ok), 29-Июн-20, 01:56 
Интересно, а можно ли организовать независимую распределённую систему выдачи и удостоверения сертификатов на основе технологии блокчейн?
Ответить | Правка | Наверх | Cообщить модератору

77. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (77), 29-Июн-20, 06:54 
И сколько биткоинов будут брать сгенерировавшие блок за право поместить туда Ваш домен? Если надеяться на бесплатное расхождение ключа по сети, то возникает другая проблема, а кто будет проверять, что этот домен действительно Ваш? Все несколько десятков миллиардов устройств? И, что делать если Вы выкупили домен, который отобрали у кого то за неуплату. Как зарегистрировать новый ключ?
Ответить | Правка | Наверх | Cообщить модератору

135. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от пох. (?), 29-Июн-20, 15:40 
> Если надеяться на бесплатное расхождение ключа по сети, то возникает
> другая проблема, а кто будет проверять, что этот домен действительно Ваш?

а кто сказал что взяв в биткойнах - будут проверять? Тоже не будут. ;-)

В очередной раз - работавшая и надежная схема - уже была, ее старательнейшим образом уничтожили, больше десятка лет велась кропотливая работа, чтоб никак, никакими силами ее использовать стало невозможно.

Схема - ровно та самая, что во всеми вами любимом ssh. Доверие _сертификату_, а не левым васянам.
Как проверять прежде чем доверять - на твое усмотрение. Хошь езжай непосредственно к владельцу и побитно копируй, а не хошь - просто надейся что машины времени у рептилоидов и соседа васяна нет, и подменить уже знакомый тебе сертификат они не могут.


Ответить | Правка | Наверх | Cообщить модератору

22. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от Аноним (-), 28-Июн-20, 22:35 
Они монополисты, вам некуда уйти.
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

23. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +1 +/
Сообщение от Аноним (23), 28-Июн-20, 22:38 
Да, к сожалению, ничего хорошего из браузеров сейчас не осталось.
Приходится пользоваться тем, что есть. Плюясь и чертыхаясь.
Ответить | Правка | Наверх | Cообщить модератору

64. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +1 +/
Сообщение от Сейд (ok), 29-Июн-20, 03:19 
Pale Moon
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

72. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от X86 (ok), 29-Июн-20, 05:09 
Это не браузер, а дистрибутив браузера.
Ответить | Правка | Наверх | Cообщить модератору

91. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от Аноним (87), 29-Июн-20, 09:48 
Вот уж точно, будут форкать и использовать. В своё время все сидели на Осле, сайты могли только в Осле работать... И что сейчас? Да сейчас в нём вообще ничего не работает и его забыли, как страшный сон. Также забудут про хромого и косого.
Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

104. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от пох. (?), 29-Июн-20, 10:45 
> Pale Moon

этот тож не отстанет от трендов. hpkp вон уже объявил немодным и небезопасТным. Тем более что использует ту же самую nss, а фичу явно планируют добавлять в нее, а не в интерфейс.

  

Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

26. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Ноним (?), 28-Июн-20, 22:41 
Ага, пусть только расскажут как обновлять корневые сертификаты на всех устройствах
Ответить | Правка | Наверх | Cообщить модератору

31. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +2 +/
Сообщение от Ананимус (?), 28-Июн-20, 22:52 
>  Ага, пусть только расскажут как обновлять корневые сертификаты на всех устройствах

К корневым сертификатам это не относится. Хотя пакетные менеджеры вроде есть везде.

Ответить | Правка | Наверх | Cообщить модератору

35. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +3 +/
Сообщение от Ноним (?), 28-Июн-20, 23:04 
Как мне обновить старый андроид 2.3.6? Или симбиан? Сразу на свалку? Ну тогда это запланированное устаревание во всей красе
Ответить | Правка | Наверх | Cообщить модератору

36. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –4 +/
Сообщение от Аноним (3), 28-Июн-20, 23:13 
> старый андроид 2.3.6

О да, посерфить с него будет реально весело!)

А еще забавнее товарисчи, ставящие https only, потом в РФ их сайт блочат, и все - не зайти даже через бесплатный прокси!

Ответить | Правка | Наверх | Cообщить модератору

172. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Онаним (?), 29-Июн-20, 20:31 
Тут претензии не к тем, кто HTTPS only выставил, тaщемта.
А так - смотря через какой прокси. Тот же встроенный в оперу анальный зонд нормально обходит все недоблокировки.
Ответить | Правка | Наверх | Cообщить модератору

37. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –4 +/
Сообщение от Ананимус (?), 28-Июн-20, 23:18 
>  Как мне обновить старый андроид 2.3.6? Или симбиан? Сразу на свалку? Ну тогда это запланированное устаревание во всей красе

А почему все должны страдать из-за того, что ты пользуешься говном мамонта? Серьезно, давно уже пора понять: ЖЕЛЕЗКА ДОЛЖНА ПОЛУЧАТЬ АПДЕЙТЫ. Есл ты перестанешь покупать железо, которое через полгода не поддерживают, то твои волосы станут мягкими и шелковистыми.

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

139. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от Аноним (-), 29-Июн-20, 16:15 
> А почему все должны страдать из-за того, что ты пользуешься говном мамонта?

Во-первых, отучаемся говорить за всю сеть. Во-вторых, никто тебе не обязан обновляться на свежайшие версии, потому что лично тебе моча в голову ударила это сделать. Прогресс не всегда прогрессивен.

Ответить | Правка | Наверх | Cообщить модератору

142. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Ананимус (?), 29-Июн-20, 16:42 
>> А почему все должны страдать из-за того, что ты пользуешься говном мамонта?
> Во-первых, отучаемся говорить за всю сеть. Во-вторых, никто тебе не обязан обновляться
> на свежайшие версии, потому что лично тебе моча в голову ударила
> это сделать. Прогресс не всегда прогрессивен.

Ну так у меня-то все ок. Страдают любители симбиана.

Ответить | Правка | Наверх | Cообщить модератору

180. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от Аноним (180), 29-Июн-20, 22:15 
> Во-первых, отучаемся говорить за всю сеть.

Именно так.

> Во-вторых, никто тебе не обязан обновляться на свежайшие версии, потому что лично тебе моча в голову ударила это сделать. Прогресс не всегда прогрессивен.

Это никто ТЕБЕ не обязан поддерживать твой допотопный шлак.

Ответить | Правка | К родителю #139 | Наверх | Cообщить модератору

218. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (-), 30-Июн-20, 12:26 
> Это никто ТЕБЕ не обязан поддерживать твой допотопный шлак.

Поэтому надо запретить продавать для народа любую проприетарщину, его будет более чем достаточно в военной и академической среде.

Ну и останется за мной выбор:
- я (+другие) могу проспонсировать работу если сам не могу это сделать чтобы, как вы сказали, допотопный шлак перестал быть допотопным и шлаком
- я могу сам сделать необходимую работу

Покупая железо и софт я бы хотел возможность обладать полными правами (конечно же кроме авторских) на железо и софт после гарантийного срока.

Я бы например проголосовал за это вместо поправок в конституцию.

Ответить | Правка | Наверх | Cообщить модератору

193. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Онаним (?), 29-Июн-20, 23:18 
Серьезно, давно уже пора понять: ЖЕЛАЮЩИЕ ВПИХНУТЬ НА ЖЕЛЕЗКУ АПДЕЙТ БЕЗ МОЕГО ВЕДОМА ИДУТ НЯЯЯЯЯЯ... ЛЕСОМ ^_^


Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

45. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от Аноним (24), 28-Июн-20, 23:46 
> андроид 2.3.6
> 2011

Необновленная Windows 7 SP1 кстати тоже не открывает многие сайты
http://forum.oszone.net/thread-345267.html
И дело не в сертификатах, а в алгоритмах шифрования.

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

54. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (12), 29-Июн-20, 00:33 
Ну, на самом деле, проблема не только в осях, но и, например, в старых версиях питона.

Как то я пытался собрать то ли не самый свежий хромиум, то ли не самый свежий электрон. Так вот, они собираются при помощи гугловских depot_tools, которые с собой таскали немного протухший питон, который не мог скачать какие-то артефакты с клоудфларевских серверов из-за того, что не поддерживал последних алгоритмов шифрования.

Ответить | Правка | Наверх | Cообщить модератору

194. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Онаним (?), 29-Июн-20, 23:20 
И даже не в самих алгоритмах, а в том, что SSLv3/TLSv1/TLSv1.1 ффсё
Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

32. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –2 +/
Сообщение от Ivan_83 (ok), 28-Июн-20, 22:59 
Ну ок, придётся сделать мимт прокси дома, которая будет хоть каждый день генерить сертификаты, а клиентская часть буде по прежнему адекватно доверять сертификам, хоть там 100 лет срок годности нарисуют.
Ответить | Правка | Наверх | Cообщить модератору

38. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (41), 28-Июн-20, 23:18 
>мнению производителей браузеров генерация подобных сертификатов создаёт дополнительные угрозы безопасности

Угрозы безопасности создаёт отсутствие контроля за CA. В смысле мы не можем проверить честность CA. И сайты не могут. И браузеры не могут. Также никто не может наказать CA за плохое поведение - единственное что можно сделать - это "на зло маме отморозрть уши", потому что все CA одинаково зависят от тех, кто их может заставить участвовать в MiTM, и отказаться от CA нельзя - ничего работать не будет.

Ответить | Правка | Наверх | Cообщить модератору

44. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +3 +/
Сообщение от пох. (?), 28-Июн-20, 23:43 
> Также никто не может наказать CA за плохое поведение - единственное

могут. Просто ты не понимаешь ЧТО на самом деле является "плохим поведением".

Вот, например, startssl плохо себя вели - посмели, твари, выдавать бесплатные сертификаты сроком действия не одну неделю, а гораздо больше! (более того, они еще имели наглость выдавать бесплатные EV! [_валидация_ платная, сертификат хоть каждый день перевыпускай])
И их - наказали. Так, что те обанкротились нахрен.

И еще китайцы плохо себя вели (тоже пытались кое-что раздавать бесплатно) - их тоже наказали, правда, несильно, больше напугали - те быстро исправились и стали продавать за большие деньги, как все.
Правда, они еще спалились на том, что, кажется, выдали пару intermediate товарищам майорам - но это норм, за это не наказывают, подумаешь.

Ответить | Правка | Наверх | Cообщить модератору

46. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +1 +/
Сообщение от Аноним (24), 28-Июн-20, 23:53 
пох, почему ты такой циничный?
Ответить | Правка | Наверх | Cообщить модератору

62. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +1 +/
Сообщение от comrade (ok), 29-Июн-20, 02:25 
А как научить молодёжь распознавать интересы?
Ответить | Правка | Наверх | Cообщить модератору

122. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от Аноним (117), 29-Июн-20, 13:53 
Чьи?
Ответить | Правка | Наверх | Cообщить модератору

143. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +1 +/
Сообщение от comrade (ok), 29-Июн-20, 16:48 
Любые.
Ответить | Правка | Наверх | Cообщить модератору

219. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (-), 30-Июн-20, 12:29 
Никак. Если субъект не намерен/заинтересован учиться, то ты его на научишь, насильно не впихнешь.
Ответить | Правка | Наверх | Cообщить модератору

233. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от comrade (ok), 30-Июн-20, 15:51 
У некоторых субъектов возникают вопросы типа "пох, а почему ты такой циничный?". Вот у этих уже есть заинтересованность.

Насильно впихнуть можно. Для этого науку специальную придумали. Педагогика называется.

Ответить | Правка | Наверх | Cообщить модератору

200. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +1 +/
Сообщение от Аноним (200), 30-Июн-20, 04:19 
Аноним тебе про совсем другое говорил, а ты несешь свой бред тут неясно зачем. Тебе самому приятно столько желчи изрыгивать?
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

47. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +1 +/
Сообщение от vitalif (ok), 29-Июн-20, 00:07 
> В смысле мы не можем проверить честность CA.

С letsencrypt можем, там Certificate Transparency. Блокчейн почти. :-)

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

52. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Ананимус (?), 29-Июн-20, 00:29 
На самом деле не можем. В лог попадают только те сертификаты, которые проходят через бизнес-логику. Если к оператору летсэнкрипта (или любого другого CA) обратится жыдомоссад с просьбой поделиться сертификатиком, никто не помешает этому человеку подписать сертификат руками.
Ответить | Правка | Наверх | Cообщить модератору

57. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +3 +/
Сообщение от vitalif (ok), 29-Июн-20, 00:37 
Не, ну в смысле? Ты как раз и можешь проверить, есть ли там этот сертификат. Если его там нет - значит это сертификат жыдомоссада.

По идее, в идеале нужно как раз добить эти УЦ и цепочки доверия и перейти на проверку через транспаренси и публичный блокчейн. Просто понятно, что прямо сейчас ты фиг это внедришь...

Ответить | Правка | Наверх | Cообщить модератору

121. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Ананимус (?), 29-Июн-20, 13:51 
> Не, ну в смысле? Ты как раз и можешь проверить, есть ли
> там этот сертификат. Если его там нет - значит это сертификат
> жыдомоссада.
> По идее, в идеале нужно как раз добить эти УЦ и цепочки
> доверия и перейти на проверку через транспаренси и публичный блокчейн. Просто
> понятно, что прямо сейчас ты фиг это внедришь...

Это когда все браузеры начнут эти листы проверять.

Ответить | Правка | Наверх | Cообщить модератору

126. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от Ананимус (?), 29-Июн-20, 13:59 
> Не, ну в смысле? Ты как раз и можешь проверить, есть ли
> там этот сертификат. Если его там нет - значит это сертификат
> жыдомоссада.

Смотри, твою TLS сессию записывают (привет, Яровая), берут дубликат TLS сертификата сервера и расшифровывают обмен симметричным ключом и расшифровывают симметрично зашифрованные данные.

Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

127. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +1 +/
Сообщение от Ананимус (?), 29-Июн-20, 14:02 
Хотя туплю, секретный ключ у let's encrypt до самих LE не доходит.
Ответить | Правка | Наверх | Cообщить модератору

189. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (189), 29-Июн-20, 22:51 
Для расшифровки ранее записанного трафика не достсаточно знать не то что сертификат (мы его и так честно всем подряд выдаём, открытый ключ же) но и закрытый ключ. сессионный трафик с клиентом не им шифруется. для  организаторов растпрстранителей информации есть требованиия выдавать сессионные ключи. этот трафик расшифровывается из записи. Замем пишется (ну пока не очень и пишется то) остальное, неведомо.

если украть закрытый ключ у вас, то открытый уже и так есть, и тут можно не ходя ни в какие ЦА сесть посередине и расшифровывать пролетающий трафик перешифровывая его снова.(это не тоже самое что из записей по яровой)

если закрытого ключа нет, то теоретически можно заставить ЦА выписать новый сертификат на ваши имена, но современные браузеры не берут сертификаты от публичных ЦА без подписи от СТ сервиса. Соотв или вы им не сможете воспользоваться или перед использованием его придется спалить в ЦТ.  если регулярно пулить ЦТ то вы заметите что вдруг ктото выписал сертификат на ваше имя. если это были не вы, то есть повод начать бегать и кричать.
Фигня в том что если у нас время жизни сертификата не органичено, то чтобы вам вдруг узнать что есть валидные сертификаты на ваше имя вам надо опросить ВСЕ СТ за весь период (ззарегаться достачтоно в одном из довольно не малого списка публичных ЦТ, чтобы подпись была принята браузером). на данный момент врядли быстрее тройки месяцев вы управитесь, и время выборки будет только увеличиваться.. это немного долго. есть агрегаторы типа https://crt.sh/ делающие это, но во первых они опрашивают не все ЦТ, во вторых временами склеиваются, иногда на долго.. иногда совсем склеиваются, а иногда показываая данные месячной давности..

Возможно тут и кроется причина зачем 1 год.. на надо опрашивать ЦТ за данные о сертификатах за все время, можно начать с 2020. сейчас многие ЦТ делают новое хранилище на каждый год. соотв текщуие сертификаты надо поискать в 2-х местах в 2020 и 2021. а всякие 2019(они уже кочнились) и 2025(они больше 1 года и браузер их не примет) не надо. (у цт дата - это год окончания действия сертификта)

Но большенство ничего не проверяет и никогда не узнает, что в прошлом году был выписан лишний сертификатик.. :)

Ответить | Правка | К родителю #126 | Наверх | Cообщить модератору

39. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +5 +/
Сообщение от Аноним (41), 28-Июн-20, 23:21 
>мешает оперативному внедрению новых криптостандартов

Кошмар, ужас, на устройствах годичной давности открываютсся сайты и работают приложения, работающие с интернетом, производители телефонов теряют прибыль!!! ЗАПРЕТИТЬ!!!!

Ответить | Правка | Наверх | Cообщить модератору

70. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –5 +/
Сообщение от iPony129412 (?), 29-Июн-20, 04:56 
Выкидывание устаревших технологий — это всегда хорошо 👌
Ответить | Правка | Наверх | Cообщить модератору

92. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +3 +/
Сообщение от Аноним (87), 29-Июн-20, 09:54 
я понимаю, что ты каждый год яойфон меняешь...
Ответить | Правка | Наверх | Cообщить модератору

96. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –4 +/
Сообщение от iPony129412 (?), 29-Июн-20, 10:07 
> я понимаю, что ты каждый год яойфон меняешь...

Нет, потому что это тот редкий смартфон, который из себя не представляет и через три года не является  куском устаревшего того самого, как другие смартфоны.

Ответить | Правка | Наверх | Cообщить модератору

114. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +1 +/
Сообщение от Michael Shigorinemail (ok), 29-Июн-20, 13:40 
Это когда вдруг(tm) начинает тупить об якобы севшую батарейку?

http://youtu.be/SbmgV7Oyp0w

Ответить | Правка | Наверх | Cообщить модератору

118. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от iPony129412 (?), 29-Июн-20, 13:48 
> Это когда вдруг(tm) начинает тупить об якобы севшую батарейку?

Я этого тупления от "якобы" севшей батарейки уже устал ждать.
Вот без шуток, зайдёшь на какой-то там ресурс:
"а все такие ой, а у меня за полгода здоровье батарейки стало 96% - спать не могу, переживаю"

А я каждые две недели это здоровье батареи проверяю - "да когда уже 80% будет". Это вроде какая-то критическая отметка по справке Apple. Интересно же посмотреть.

Ну вот уже 2.5 года прошло, здоровье батареи 82%. Ещё чуть-чуть. Да и уже и батарею то после трёх лет не стыдно поменять будет.

А вот сколько я раз слышал про то, как угнетают и замедляют от людей, которые ничего тольком не знают, но слышали же 🤣

Ответить | Правка | Наверх | Cообщить модератору

123. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от iPony129412 (?), 29-Июн-20, 13:54 
Ну и да.
Вот у меня были смартфоны Samsung (Android), Bq (Ubuntu), Meizu (Ubuntu/Android).
К ним этот ролик намного больше подходит чем к текущему моему айфону 🤷♂
Ответить | Правка | К родителю #114 | Наверх | Cообщить модератору

221. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (221), 30-Июн-20, 12:40 
давно вам занесли bluetooth и wifi direct для передачи файлов?
Ответить | Правка | Наверх | Cообщить модератору

223. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от iPony129412 (?), 30-Июн-20, 12:49 
> давно вам занесли bluetooth и wifi direct для передачи файлов?

Какое это отношение имеет к поднятой выше теме "техника превращается в тыкву"?
Кому нам?

Apple в 2011 году сделала AirDrop. И оно уже много лет работает по схеме WiFi Direct со скоростью этак 1 ГБ за 15 секунд.

Google в своём Android только сейчас расчехляться начал на эту тематику. А так сосуществовала куча подделок от разных вендоров несовместимых с собой. Работало это всё через одно место.

Ответить | Правка | Наверх | Cообщить модератору

230. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (229), 30-Июн-20, 14:31 
> Apple в 2011 году сделала AirDrop. И оно уже много лет работает по схеме WiFi Direct со скоростью этак 1 ГБ за 15 секунд.
>  Выкидывание устаревших технологий — это всегда хорошо 👌

Я как понимаю вы AirDrop не пользуетесь, т.к. устаревшая технология (аж 2011 год). Млм AirDrop уже выпилен из гайфонов, но вы об этом забыли упомянуть? И, как я понял, Bluetooth и Wi-Fi Direct до сих пор не завезли.

Ответить | Правка | Наверх | Cообщить модератору

231. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от iPony129412 (?), 30-Июн-20, 14:39 
Срок создания технологии и её устарелость - совершенно разные вещи


Ответить | Правка | Наверх | Cообщить модератору

232. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (232), 30-Июн-20, 15:07 
Твой iPhone не может передать на мой android файлы ни по bluetooth, ни по wifi-директ. Следовательно AirDrop - говно мамонта, т.к. остает в развитии. Значит AirDrop - устарел. Так?
Ответить | Правка | Наверх | Cообщить модератору

237. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от iPony129412 (?), 30-Июн-20, 17:59 
Так и наоборот работает
Ответить | Правка | Наверх | Cообщить модератору

238. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от iPony129412 (?), 30-Июн-20, 18:01 
> wifi-директ

Уже второй раз это слово повторяешь. Вот удачи тебе передать случайному человеку со случайным Android файл с помощью этого.
Удача сильно понадобится.

Ответить | Правка | К родителю #232 | Наверх | Cообщить модератору

71. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –2 +/
Сообщение от Аноним (71), 29-Июн-20, 05:00 
Только Let's encrypt
Ответить | Правка | Наверх | Cообщить модератору

94. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +3 +/
Сообщение от ироорио (?), 29-Июн-20, 10:02 
А что будешь говорить когда его прикроют?
Ответить | Правка | Наверх | Cообщить модератору

109. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от Аноним (87), 29-Июн-20, 13:01 
Он - бесплатная пробная доза, пора бы понять. Никто его не прикроет.
Ответить | Правка | Наверх | Cообщить модератору

178. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –2 +/
Сообщение от Аноним (180), 29-Июн-20, 22:11 
А что ты будешь говорить если его НЕ прикроют?

На самом деле это замечательный сценарий, потому что ни на нешифрованный http, ни на коммерческие УЦ дороги уже не будет, а будет только к децентрализованному реестру сертификатов на каком-нибудь блокчейне, который доверия к УЦ требовать уже не будет.

Ответить | Правка | К родителю #94 | Наверх | Cообщить модератору

81. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от Аноним (81), 29-Июн-20, 07:29 
Капитализм, ребятки. Все хотят денег. Маркс, Энгельс и Ленин предупреждали о таком ещё 100 лет назад.
Ответить | Правка | Наверх | Cообщить модератору

90. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +7 +/
Сообщение от бедный буратино (ok), 29-Июн-20, 09:47 
Да, сначала Ленин предложил захватить, почту, телефон, телеграф и сертификационные центры... но затем, тяжко вздохнув, последнее вычеркнул, сказав "Провинция, не поймут-с"...
Ответить | Правка | Наверх | Cообщить модератору

116. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –5 +/
Сообщение от Michael Shigorinemail (ok), 29-Июн-20, 13:41 
Вот только они хотели кровушки.  Ну ладно, Энгельс меньше, видимо...
Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

154. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –2 +/
Сообщение от Аноним (145), 29-Июн-20, 17:49 
А Маркс где кровушки хотел? Среди перечисленных упырь только один.
Ответить | Правка | Наверх | Cообщить модератору

132. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним 80_уровня (ok), 29-Июн-20, 15:27 
FTGJ, предупреждения первых ближе к двумстам годам тому, чем к ста.
Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

177. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +1 +/
Сообщение от Аноним (180), 29-Июн-20, 22:05 
И давно ли LetsEncrypt с вас денег просил? А коммерческие УЦ как раз все последние изменения оставляют не у дел. Что-то у вас с Марксом не вяжется.
Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

228. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от пох. (?), 30-Июн-20, 13:22 
> И давно ли LetsEncrypt с вас денег просил?

так товар-то - ты!

> А коммерческие УЦ как раз все последние изменения оставляют не у дел.

они бы и рады, но неработающие сертификаты никому не нужны ни задаром, ни за деньги.

> Что-то у вас с Марксом не вяжется.

Все вяжется - отнять и поделить. Между вовремя залезшими на броневичок (тут Мракс недоработал, но последователи все поняли и реализовали как надо).

Пока непонятно, как именно при этом убивать как можно больше людей, но над этим, полагаю, тоже работают хорошо оплачиваемые специалисты.

Ответить | Правка | Наверх | Cообщить модератору

82. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +4 +/
Сообщение от Аноним (82), 29-Июн-20, 07:38 
прям вот так все скопом согласились, и никто не возразил, что блочить валидные сертификаты это плохо? в дивное время мы живем, однако:)
Ответить | Правка | Наверх | Cообщить модератору

93. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от Аноним (87), 29-Июн-20, 09:55 
давно уже анархия в инете.
Ответить | Правка | Наверх | Cообщить модератору

106. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +2 +/
Сообщение от пох. (?), 29-Июн-20, 10:48 
> прям вот так все скопом согласились, и никто не возразил

так это закрытый клуб решал. Возразить-то ты можешь, только тебя туда не пригласят.

Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

155. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –2 +/
Сообщение от Аноним (145), 29-Июн-20, 17:52 
> и никто не возразил, что блочить валидные сертификаты это плохо?

Сколько раз уже блочили. Выписанные задним числом, например. А как иначе с произволом/раздолбайством (нужное подчеркнуть) УЦ бороться?

Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

97. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Сергей (??), 29-Июн-20, 10:17 
Мне кажется центры сертификации на это не пойдут из-за наличия Let's encrypt, 3-и месяца не так уж различаются от 12-ти, у них будет просто катастрофа...
Ответить | Правка | Наверх | Cообщить модератору

156. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (145), 29-Июн-20, 17:53 
Так им, внезапно, не за срок действия платят, а за валидацию.
Ответить | Правка | Наверх | Cообщить модератору

115. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (115), 29-Июн-20, 13:40 
> создаёт дополнительные угрозы безопасности, мешает оперативному внедрению новых криптостандартов и позволяет злоумышленникам длительное время контролировать трафик жертвы или использовать для фишинга в случае незаметной утечки сертификата в результате взлома.

А корневые сертификаты сколько должны действовать в их понятиях?

А то есть угроза безопасности, что с частыми обновлениями корневых сертов пользователю легче подсунуть левый серт, и это даст возможность постоянно контролировать его трафик. Типа поселить незаметно в Казахстан..

Ответить | Правка | Наверх | Cообщить модератору

158. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –2 +/
Сообщение от Аноним (145), 29-Июн-20, 17:54 
> А корневые сертификаты сколько должны действовать в их понятиях?

А между которыми строчками ты прочитал, что это как-то затрагивает корневые сертификаты?

Ответить | Правка | Наверх | Cообщить модератору

181. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +4 +/
Сообщение от пох. (?), 29-Июн-20, 22:19 
> А корневые сертификаты сколько должны действовать в их понятиях?

в идеале - пару часов. Вдруг для борьбы с терраризьмой понадобится ненадолго подменить их, и чтоб беспалева, еще через два часа - "какие ваши докозательства"? К сожалению, мурзила пока не может даже раз в пять лет уследить за своим собственным сертификатом, намертво вшитым внутрь браузера, поэтому внедрение данного нужного и полезного решения пока пришлось ненадолго отложить.

> А то есть угроза безопасности, что с частыми обновлениями корневых сертов пользователю
> легче подсунуть левый серт, и это даст возможность постоянно контролировать его

сейчас пользователю подсунуть левый серт вообще ничего не стоит - достаточно на пару минут перехватить его dns или маршрутизацию его ip, или просто хорошо попросить летсшиткрипту.

Никто ничего и не заметит даже.

Ответить | Правка | К родителю #115 | Наверх | Cообщить модератору

188. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +1 +/
Сообщение от Онаним (?), 29-Июн-20, 22:48 
Вот блин, с языка снял :)
Ответить | Правка | Наверх | Cообщить модератору

162. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (162), 29-Июн-20, 18:22 
нафиг нужны приколы такие, куча мест есть где не прикрутишь LE из-за закрытости сети, да и цертбот ломается бывает, я уж молчу о вайлдкардах выписывающихся через очко с DNS.
когда эти сертификатов куча, очень больашя разнциа раз в год или раз в 3 менять ходить.
Ответить | Правка | Наверх | Cообщить модератору

210. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от Аноним (145), 30-Июн-20, 10:44 
> куча мест есть где не прикрутишь LE из-за закрытости сети

man DNS-01

> цертбот ломается бывает

Есть >9000 других клиентов. А если ты про certbot-auto, то надо быть редкостным ССЗБ, чтобы его использовать.

Ответить | Правка | Наверх | Cообщить модератору

167. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (167), 29-Июн-20, 19:56 
Вот бы это ещё не трогало никого кроме них самих.

А тут - порешали за посторонних по своему...

Ответить | Правка | Наверх | Cообщить модератору

176. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от Аноним (180), 29-Июн-20, 22:04 
Отлично, чем сильнее зажимают кислород продавцам воздуха УЦ тем лучше.

Приятно видеть как на сковородке вьются представители этого ворья и заплатившие им терпилы.

Ответить | Правка | Наверх | Cообщить модератору

226. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от пох. (?), 30-Июн-20, 13:12 
> Отлично, чем сильнее зажимают кислород продавцам воздуха УЦ тем лучше.

когда уже больным полудуркам, считающим деньги в чужих карманах, вообще его отключат?

> Приятно видеть как на сковородке вьются представители этого ворья и заплатившие им
> терпилы.

"у соседа корова сдохла, мелочь, а приятно"

Что у тебя, дурака, они "украли"?

Вот что именно у нас украла гуглезила и компания - мы знаем. Приятно видеть, что дурачки - одобряют, бурными аплодисментами, переходящими в овацию. Их хоть г0вном с лопаты корми - они и рады уплетать за обе щеки. Мозгов-то ведь нет.

Плохо что у остальных нет другого глобуса.

Ответить | Правка | Наверх | Cообщить модератору

183. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (183), 29-Июн-20, 22:27 
Всё -- прощайте мои УПСы, роутеры и горы прочих управляемых по хттп железяк??
Ответить | Правка | Наверх | Cообщить модератору

190. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от Аноним (87), 29-Июн-20, 23:01 
выход есть - смени браузер на нормальный.
Ответить | Правка | Наверх | Cообщить модератору

191. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –3 +/
Сообщение от srgazh (?), 29-Июн-20, 23:06 
Ну и даун) Что сегнерить нельзя?
Ответить | Правка | К родителю #183 | Наверх | Cообщить модератору

192. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  –1 +/
Сообщение от Аноним (192), 29-Июн-20, 23:13 
"Сгенерить" - это напечатать на 3D принтере?
Разве уже сложную электронику (УПСы, роутеры) можно печатать? Ещё и с поддержкой нужных протоколов и алгоритмов шифрования.
Ответить | Правка | Наверх | Cообщить модератору

202. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от srgazh (?), 30-Июн-20, 08:23 
> "Сгенерить" - это напечатать на 3D принтере?
> Разве уже сложную электронику (УПСы, роутеры) можно печатать? Ещё и с поддержкой
> нужных протоколов и алгоритмов шифрования.

openssl к прмеру

Ответить | Правка | Наверх | Cообщить модератору

220. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +4 +/
Сообщение от Pofigist (?), 30-Июн-20, 12:33 
Вот так и палятся гордые админы локалхоста :)
Ответить | Правка | Наверх | Cообщить модератору

222. Скрыто модератором  –2 +/
Сообщение от srgazh (?), 30-Июн-20, 12:40 
Ответить | Правка | Наверх | Cообщить модератору

236. Скрыто модератором  +1 +/
Сообщение от Pofigist (?), 30-Июн-20, 17:29 
Ответить | Правка | Наверх | Cообщить модератору

208. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от iPony129412 (?), 30-Июн-20, 09:48 
> Всё -- прощайте мои УПСы, роутеры и горы прочих управляемых по хттп железяк??

Мы в 2020 году живём же. Поднимаешь виртуалку с CentOS 6 специально для этого и всё.

Ответить | Правка | К родителю #183 | Наверх | Cообщить модератору

227. "Chrome, Firefox и Safari ограничат время жизни TLS-сертифика..."  +/
Сообщение от пох. (?), 30-Июн-20, 13:18 
> Мы в 2020 году живём же. Поднимаешь виртуалку с CentOS 6 специально
> для этого и всё.

"обожаю, когда выкидывают старье!"
И завтра виртуалка с centos <8.999 - не поднимается, "а нахрена нам поддерживать немодные технологии?!"
Или зайти на нее нельзя - ведь иксы немодно, и они никем не поддерживаются, да и ssh с ней не коннектится, нахрена поддерживать увизгьвимые шифры и протоколы, ведь рептилоиды и nsa с кгб объединившись против тебя, смогут расшифровать твой траффик, всего за какой-то миллион лет!


И кстати, не ссыкотно ли тебе пользоваться дистрибутивом с насмерть протухшим софтом ?
Тем более - для настроек критичного оборудования.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру