The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Let's Encrypt обеспечит поддержку масок в сертификатах"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от opennews (ok) on 06-Июл-17, 22:57 
Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим,  анонсировал (https://letsencrypt.org/2017/07/06/wildcard-certificates-com...) предоставление возможности использования сертификатов, охватывающих группу поддоменов по маске (например, *.example.com). Сертификаты с масками можно будет генерировать начиная с января 2018 года, в рамках ввода в эксплуатацию второй версии API ACME.

Для подтверждения доменов, для которых будут запрашиваться сертификаты с маской, первое время будет допустима только верификация через DNS, подтверждающая владение базовым доменом. В дальнейшем не исключена реализация и других методов верификации. Создатели  Let's Encrypt надеются, что подобная возможность, часто упоминаемая в пожеланиях пользователей и заметно упрощающая работу при задействовании на сайте нескольких поддоменов, будет способствовать  достижению цели проекта - 100% охват сайтов протоколом HTTPS (сейчас доля сайтов с HTTPS составляет 58%).

URL: https://letsencrypt.org/2017/07/06/wildcard-certificates-com...
Новость: http://www.opennet.ru/opennews/art.shtml?num=46817

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +10 +/
Сообщение от th3m3 (ok) on 06-Июл-17, 22:57 
Отлично! Даёшь шифрование в массы!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +2 +/
Сообщение от Гентушник (ok) on 06-Июл-17, 23:00 
Очень нужная фича.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от Sw00p aka Jerom on 07-Июл-17, 13:04 
давно бы валидацию через днс сделали бы с оговоркой over dnssec вот и простимулировалибы и защищённый днс
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

42. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +3 +/
Сообщение от h31 (ok) on 07-Июл-17, 17:11 
> давно бы валидацию через днс сделали бы

Эээ?
https://serverfault.com/questions/750902/how-to-use-lets-enc...

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

3. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от Аноним (??) on 06-Июл-17, 23:05 
годнота
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от Аноним (??) on 06-Июл-17, 23:12 
отлично
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от Мимоанон on 06-Июл-17, 23:27 
ох лол, так что же теперь всякие комодо теперь не нужны?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +1 +/
Сообщение от sorrymak (ok) on 07-Июл-17, 00:23 
Extended Validation Let's Encrypt не предоставляет (и вряд ли когда-то будет), поэтому — увы, но полностью заменить глобальные CA пока невозможно :-(.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

15. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +2 +/
Сообщение от . on 07-Июл-17, 05:46 
Технически - не нужно :) А так - дураки должны платить, всё правильно.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

29. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +1 +/
Сообщение от А (??) on 07-Июл-17, 10:09 
А, кроме понта, зачем они нужны?

Они держатся только на доверии к проверкам со стороны CA, а доверия уже давно нет, к тому же CA уже давно один другого скушали, осталось совсем немного, и они - уже потеряли доверие.

Т.е. выписывать серт "с зеленой полосой" можно, конечно (смотрится симпатично в браузере), но реально все понимают, что полоса эта мало к безопасности добавляет.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

32. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от Аноним (??) on 07-Июл-17, 10:53 
Реально если ваш SBOL сломали спецслужбы, то скорее всего вам лично ничего не грозит(кроме военных действий и краха экономики), а вот если это неизвестный друх из разряда высококвалифицированных воришек, ваши накопления могут прилично пострадать.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

35. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от Snaut (ok) on 07-Июл-17, 12:16 
> А, кроме понта, зачем они нужны?
> Они держатся только на доверии к проверкам со стороны CA, а доверия
> уже давно нет, к тому же CA уже давно один другого
> скушали, осталось совсем немного, и они - уже потеряли доверие.
> Т.е. выписывать серт "с зеленой полосой" можно, конечно (смотрится симпатично в браузере),
> но реально все понимают, что полоса эта мало к безопасности добавляет.

добавляет. при этом CA звонит доверенному лицу и спрашивает подтверждение того, что именно его организация подала запрос на генерацию сертификата

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

38. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от Аноним (??) on 07-Июл-17, 14:32 
А польза-то где?
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

40. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от Snaut (ok) on 07-Июл-17, 15:18 
> А польза-то где?

в больших организациях кто-то должен контролировать выдаваемые сертификаты, т.к. как правило сертификатов и систем очень много и сразу несколько человек имеют доступ до веб-интерфейса заказа сертификатов у CA. теоретически возможна ситуация, что кто-то из них выпустит сертификат для своих корыстных целей.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

49. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +2 +/
Сообщение от Аноним (??) on 08-Июл-17, 18:37 
> А, кроме понта, зачем они нужны?

Ты когда карточкой что-нибудь оплачиваешь, тебе не интересно знать, делаешь ты это на сайте банка или каком-то левом?

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

55. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от Snaut (ok) on 10-Июл-17, 10:39 
>> А, кроме понта, зачем они нужны?
> Ты когда карточкой что-нибудь оплачиваешь, тебе не интересно знать, делаешь ты это
> на сайте банка или каком-то левом?

мало того, когда увольняется сотрудник, имевший доступ к закрытым ключам сертификатов - инициируется процесс перевыпуска всех сертификатов, к которым он имел доступ. Так делается у нас в банке.
Копии закрытых ключей хранятся на ноутбуке, а ноутбук лежит в сейфе. доступ к которому осуществляется через начальника управления. И этот ноутбук не включается ни в какую сеть! т.е. работа на нем исключительно без сети!

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

6. "Let's Encrypt обеспечит поддержку масок в сертификатах"  –3 +/
Сообщение от Аноним (??) on 06-Июл-17, 23:34 
Эх и раздолье фишинговым сайтам будет…
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +8 +/
Сообщение от анонимус (??) on 06-Июл-17, 23:38 
Какая разница, фишинговый сайт или нет? Let's Encrypt просто даст возможность защищённого соединения с ним.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Let's Encrypt обеспечит поддержку масок в сертификатах"  –4 +/
Сообщение от Аноним (??) on 06-Июл-17, 23:40 
Всякие хромоги к таким фишингам подписывают слово «Надёжный», простые пользователи ведутся на это :(
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от Crazy Alex (ok) on 07-Июл-17, 00:06 
Будут проблемы - подкрутят хромоги, делов-то.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +19 +/
Сообщение от KonstantinB (ok) on 07-Июл-17, 00:30 
Простые пользователи ведутся на все, что угодно.

Был такой нашумевший фейковый антивирус для мака, mac defender вроде назывался. Самый обычный фейковый антивирус, только первый, кажется, для os x, и распространялся стандартыми средствами - веб-страничка с нарисованным интерфейсом ОС, вирус-алертами и большая кнопка "вылечить".

Ну так вот, первое время распространители этой разводиловки даже не стали стараться рисовать интерфейс макоси. Даже для мака показывали нарисованный ранее интерфейс винды, с проводником, диском C:, обратными слешами и кнопкой "пуск", единственное отличие - что для макоси отдавали маковый бинарь. И что думаете? Полмиллиона установок за неделю.

А вы говорите, в хроме там "надежный".

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

25. "Let's Encrypt обеспечит поддержку масок в сертификатах"  –7 +/
Сообщение от Шкурка_от_головки (ok) on 07-Июл-17, 08:55 
Желательно ссылку приложить к этому словесному потоку
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

28. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +4 +/
Сообщение от qqq (??) on 07-Июл-17, 09:40 
Достаточно набрать в google: mac defender fake

https://support.apple.com/en-us/HT202225

Страницу загрузки я думаю давно уже убили.
Есть ещё wikipedia:

https://en.wikipedia.org/wiki/Mac_Defender

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

30. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от А (??) on 07-Июл-17, 10:11 
> Всякие хромоги к таким фишингам подписывают слово «Надёжный», простые пользователи
> ведутся на это :(

Ну это проблема 1) перевода (в английском - Secure, что немного другое значает), и 2) пользоваталей (которым надо голову включать, потому что никто за них не знает, что им надо - мало ли, может, юзер сам на online.sderbank.ru вместо online.sberbank.ru зашел?)

В общем, не надо на больную голову валить. Тем более что и сейчас никто хацкерам не мешает купить домен (и серт на него) "sderbank.ru", причем хоть обычный, хоть wildcard.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

62. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от . on 12-Июл-17, 08:05 
> Тем более что и сейчас никто хацкерам не мешает купить домен (и серт на него)
> "sderbank.ru", причем хоть обычный, хоть wildcard.

не мешает. А вот EV - помешает то, что при этом надо предъявлять правдоподобные документы (и чаще всего - на бумаге, никаких факсов), и читать их будет вполне себе такой настоящий нотариус - соответственно, еще никаких денег-паролей не сперев, ты уже вешаешь на себя статью о подделке документов, ну, или показываешь свои настоящие документы, в результате появляется невиртуальная жопа, за которую тебя могут взять.

Происходит все это небыстро и неавтоматически, поэтому велик риск вообще не встретить на свободе письмо счастья с подтверждением выдачи сертификата. Проще у того лоха отжать мобилу (вместе со всеми банками-онлайн, хехехе)

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

23. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +5 +/
Сообщение от ryoken (ok) on 07-Июл-17, 07:37 
> Эх и раздолье фишинговым сайтам будет…

let's Encrypt это про сертификат. Про защиту от фишинга не к ним. Там голова поди нужна :D.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

12. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от grsec (ok) on 07-Июл-17, 00:55 
А как с геодоменами?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от h31 (ok) on 07-Июл-17, 03:29 
Геодомены - в смысле company.ru и company.de?
Их ограниченное количество и меняются они нечасто, так что можно прописать их в subjectAltName. Я думаю, wildcard в такой ситуации вообще вряд ли поможет - было бы очень странно, если бы стандарт X.509 позволял бы указывать шаблон вида company.*.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

16. "Let's Encrypt обеспечит поддержку масок в сертификатах"  –2 +/
Сообщение от . on 07-Июл-17, 05:49 
>... можно прописать их в subjectAltName

А разве LE понимает SAN-ы?!?!? 8-о

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

19. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от Ilya Indigo (ok) on 07-Июл-17, 06:25 
Причём тут вообще LE?
Их Ваш openSSL "понимать", а точнее поддерживать должен.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

21. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +1 +/
Сообщение от Аноним (??) on 07-Июл-17, 07:09 
Внезапно https://community.letsencrypt.org/t/frequently-asked-questio...
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

43. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от _ (??) on 07-Июл-17, 17:41 
Ага, спс., проспал :)
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

17. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от Аноним (??) on 07-Июл-17, 06:18 
геодомены в смысле msk.ru, spb.ru
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

22. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от ssh (ok) on 07-Июл-17, 07:13 
> геодомены в смысле msk.ru, spb.ru

Имхо, проблемы быть не должно, так как вебсерверы обслуживающие @.msk.ru и my.msk.ru могут быть разными, а следовательно использовать разные пары ключ/сертификат.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

34. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +3 +/
Сообщение от Аноним (??) on 07-Июл-17, 11:07 
> геодомены в смысле msk.ru, spb.ru

Если владелец msk.ru подписал себе *.msk.ru, то это уже вопрос к разместившему там поддомен, зачем ему такие риски...


p.s. и да на хостинге можно из гипервизора подписать все крутящиеся на сервере домены на себя, но это уже проблема другого уровня правда?

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

18. "Let's Encrypt обеспечит поддержку масок в сертификатах"  –1 +/
Сообщение от . on 07-Июл-17, 06:20 
>... можно прописать их в subjectAltName

А разве LE понимает SAN-ы?!?!? 8-о

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

37. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от Sw00p aka Jerom on 07-Июл-17, 13:07 
> А разве LE понимает SAN-ы?!?!? 8-о

коментом выше дали ссылочку на фаг

Can I get a certificate for multiple domain names (SAN certificates)?

Yes, the same certificate can apply to up to 100 different names using the Subject Alternative Name (SAN) mechanism. The resulting certificates will be accepted by browsers for any of the domain names listed in them.


Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

14. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от Какаянахренразница (ok) on 07-Июл-17, 05:19 
И увидел б-г, что это хорошо.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +1 +/
Сообщение от Ilya Indigo (ok) on 07-Июл-17, 06:38 
Отличная новость!
Даже не смотря на то, что мне оно и не нужно.
Мне бы вот это https://community.letsencrypt.org/t/ed25519-with-poly1305-ch... пригодилось, в любом случае, уверен, что LE это реализует раньше остальных CA.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +3 +/
Сообщение от Аноним (??) on 07-Июл-17, 09:09 
мне эта хрень с форсингом хттпс не нравится тем, что серт отзывать может не только вледелец домена, но и другая сторона. в будущем, когда браузеры перестанут работать с хттп, т.н. корпорации бобра могут воспользоваться этим положением для борьбы с неугодными.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от Гость (??) on 07-Июл-17, 11:04 
Все верно, еще каких-нибудь 10-15 лет и приплыли. Как и бесконечный форсинг ipv6. Очевидно, чекистам нужен контроль за каждой вашей кофеваркой, другого применения ему нету.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

47. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от Аноним (??) on 08-Июл-17, 00:30 
Будет несколько ЦА в разных странах.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

52. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +1 +/
Сообщение от XoRe (ok) on 09-Июл-17, 21:01 
> мне эта хрень с форсингом хттпс не нравится тем, что серт отзывать
> может не только вледелец домена, но и другая сторона.

Если для вас это так важно, используйте свой CA, его никто не сможет отозвать.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

59. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от . on 11-Июл-17, 17:03 
> Если для вас это так важно, используйте свой CA, его никто не
> сможет отозвать.

к сожалению, мой тикет все еще 'INVALID'.
https://bugzilla.mozilla.org/show_bug.cgi?id=647959
- может, переоткроете? Правда, кто будет платить webtrust.org ? (очаровательной организации, неспособной настроить сайт на собственном корневом домене, но подписанной проверять профпригодность всех остальных, ага)

(надеюсь, очевидно, почему использовать self-signed - плохая, никуда не годная идея? )

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

63. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от XoRe (ok) on 17-Июл-17, 18:29 
> (надеюсь, очевидно, почему использовать self-signed - плохая, никуда не годная идея? )

Честно говоря, нет. Я про случай, когда вам одному нужно ходить на свои ресурсы.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

31. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +1 +/
Сообщение от Аноним (??) on 07-Июл-17, 10:46 
Хорошее начало, теперь подумай кому выгодно утянуть в летц энкрипт клиентов других ЦА.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от Аноним (??) on 07-Июл-17, 15:34 
Народ, кто каким альтернативным клиентом Let's Encrypt пользуется? Опишите, каким и почему именно он.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

44. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от Ergil (ok) on 07-Июл-17, 18:14 
https://github.com/hlandau/acme
Перебрал методично все альтернативные клиенты, что были представлены ссылками на сайте LE, этот понравился больше всех и удобством, и гибкостью настройки. Использую у себя и у всех клиентов.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

45. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +1 +/
Сообщение от le9i0nx on 07-Июл-17, 19:54 
https://github.com/lukas2511/dehydrated
главная фича это то что это чистый sh

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

51. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от Аноним (??) on 09-Июл-17, 08:03 
> https://github.com/lukas2511/dehydrated
> главная фича это то что это чистый sh

А что про этот скажите?
https://github.com/Neilpang/acme.sh

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

46. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от Умная Маша on 07-Июл-17, 20:11 
Это всё хорошо и радостно. Зажравшихся CA давно пора было прищемить. И скоро 90% интернетов будет работать на сертификатах Let's Encrypt. И опять все яйца будут в одной кошёлке. Когда ж это кончится, а?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

48. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от оаоатмо on 08-Июл-17, 11:52 
когда le наебнётся и все перейдут на namecoin
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

50. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от Ergil (ok) on 09-Июл-17, 01:44 
То есть никогда. Так и запишем.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

53. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +1 +/
Сообщение от Аноним (??) on 09-Июл-17, 21:22 
Моё мнение, закрытые ключи уже давно у АНБ, если вообще не они генерировали эти самые ключи. Доверия к let's encrypt ноль.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

54. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +1 +/
Сообщение от Crazy Alex (ok) on 09-Июл-17, 22:08 
Во-первых, подобное можно вообще про любой CA сказать, здесь отличие только в бесплатности и автоматизации (читай - отсутствии мороки).

Во-вторых - и что? На один случай, когда прятаться надо от спецслужб сотни тысяч - когда прятаться надо от обычного ворья.

В-третьих - если у тебя с АНБ проблемы в любом случае надо что-то покруче, чем стандартное браузерное шифрование.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

58. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от . on 11-Июл-17, 16:51 
> Во-первых, подобное можно вообще про любой CA

очевидно, про wosign - нельзя, китайские спецслужбы оказались явно достаточно компетентны, чтобы не пускать конкурентов.
(а комода, помнится, жила/живет в GB?) У US, внезапно, нет эксклюзивного права на создание CA.

> Во-вторых - и что? На один случай, когда прятаться надо от спецслужб сотни тысяч - когда
> прятаться надо от обычного ворья.

от обычного ворья очень плохо прятаться за скриптованной системой, хранящей ключи в открытом виде прямо на сервере и подтверждающей владение тупым автоматическим запросом - для обычного ворья как раз гораздо проще и понятнее получение физического доступа к серверу/взлом/кража домена, чем встраивание в магистральные каналы операторов. Угадайте, для кого как раз обычнее и доступнее - второе?

> В-третьих - если у тебя с АНБ проблемы

у тебя могут быть проблемы не с самой АНБ, а с вшивым мексом-аутсорсером в фирме-контрактере фирмы-аусторсера АНБ, по совместительству работающим на местную банду. Ну или все то же самое - с ФСБ, и не мекс, а узбек, и не аутсорсер, а бандит под "крышей" (или кто-то, оплативший его услугу).

Напоминаю, что наш друг Сноуден примерно таким и являлся (только работал не на местную банду, а на ФСБ. Ну или "и на ФСБ - тоже подрабатывал").

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

56. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от Snaut (ok) on 10-Июл-17, 15:41 
> Моё мнение, закрытые ключи уже давно у АНБ, если вообще не они
> генерировали эти самые ключи. Доверия к let's encrypt ноль.

вы процедуру выпуска сертификатов вообще знаете? закрытые ключи генерируются исключительно по время генерации запроса на выдачу сертификата и хранится он только и исключительно у владельца того, кто генерирует запрос на выпуск сертификата.

не нужно выдумать того, в чем вы не разбираетесь

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

57. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от анон on 11-Июл-17, 02:49 
Да вы похоже тоже так себе эксперт. Речь идет о ключе которым подписан корневой сертификат. Такой ключ позволяет выпустить любую цепочку.
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

60. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от Snaut (ok) on 11-Июл-17, 17:06 
> Да вы похоже тоже так себе эксперт. Речь идет о ключе которым
> подписан корневой сертификат. Такой ключ позволяет выпустить любую цепочку.

есть более простые способы, просто свой CA сертификат распространить через windows обновление (обновления доверенных корневых сертификатов). Нафиг АНБ геморрой с закрытыми ключами, доступ до чего-то получать. будьте проще.

и выписывай хоть любой сертификат

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

61. "Let's Encrypt обеспечит поддержку масок в сертификатах"  +/
Сообщение от KonstantinB (ok) on 11-Июл-17, 21:53 
У АНБ точно так же могут быть ключи и от Verisign, Thawte и прочих комод. А если нет разницы, зачем платить больше?
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру