The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

StartCom запустил сервис по автоматической выдаче SSL-сертификатов

15.06.2016 04:57

Удостоверяющий центр StartCom (торговая марка StartSSL) запустил похожий на Lets'Encrypt сервис StartEncrypt, осуществляющий автоматическую выдачу и установку SSL-сертификатов. Сертификаты выдаются бесплатно и требуют пройти уровень проверки, соответствующий их типу (в простейшем случае достаточно подтвердить владение доменом). Как и Lets'Encrypt cервис StartEncrypt поддерживает популярные веб-серверы на базе Linux и Windows (tomcat, nginx, apache httpd).

Из отличий от Lets'Encrypt можно отметить:

  • Не только автоматическое получение сертификата, но и автоматическая установка. Обратной стороной предложенной автоматизации является отсутствие контроля за сервисом со стороны администратора. В систему устанавливается проприетарное ПО, добавляемое в автозапуск и выполняемое как фоновый процесс, следящий за обновлением сертификата. Сервис поставляется только в форме уже собранного исполняемого файла, код не прилагается, т.е. предлагается запустить с правами root и оставить для постоянной работы "черный ящик", отправляющий сетевые запросы, которые проблематично проверить;
  • Не только шифрование, но и идентификация, чтобы отображать зеленую полосу (EV, Extended validation) и имя организации (OV, Organization Validation) в адресной строке;
  • Период обновления EV- и OV-сертификатов - до 39 месяцев. DV-сертификаты (Domain validation, верификация по домену) выдаются на один год (в Lets'Encrypt сертификат выдаётся на 3 месяца).
  • Cертификаты EV и OV могут содержать маски и охватывать до 120 доменов. DV-сертификаты охватывают 5 доменов (в Lets'Encrypt сертификат может охватывать до 100 доменов);
  • Сертификаты OV SSL и EV SSL выдаются бесплатно, но учётная запись в StartSSL должна пройти проверку с использованием средств идентификации 3 или 4 класса (для сертификата DV SSL, как и в в Lets'Encrypt, достаточно подтвердить владение доменом без необходимости регистрации в сервисе).


  1. Главная ссылка к новости (https://www.startssl.com/NewsD...)
  2. OpenNews: Организация EFF анонсировала новый клиент для сервиса Let's Encrypt
  3. OpenNews: Некоммерческий удостоверяющий центр Let's Encrypt вышел из стадии бета-тестирования
Автор новости: Анон
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/44603-startcom
Ключевые слова: startcom, ssl
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (51) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 09:17, 15/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +14 +/
    Вся прелесть Lets'Encrypt не в сроке и числе доменов, а в открытости, контроле в руках администратора и независимости от отдельных компаний.
     
  • 1.2, Какаянахренразница (ok), 09:25, 15/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Закопошились...
     
     
  • 2.40, rshadow (ok), 21:35, 15/06/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://mixpix.in/more/konec_zolotoy_epohi_1465986454
     

  • 1.3, Аноним (-), 09:59, 15/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Самое главное не написали - протокол ACME или нет? (Хотя по ссылке похоже, что нет)
     
     
  • 2.23, . (?), 13:01, 15/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    ну явно ж нет - иначе ж кто помешает тебе его хакнуть и избавиться от сомнительного щастья держать неуправляемый демон?
    Правда, думаетсо мне, демона хакнуть в любом случае окажется несложно.
     
     
  • 3.28, . (?), 14:35, 15/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    % gdb StartEncrypt/bin/StartEncrypt
    [skip]
    Reading symbols from /home/alx/StartEncrypt/bin/StartEncrypt...done.
    (gdb) list
    1       /home/admin/work/log/src/log.cpp: No such file or directory.
            in /home/admin/work/log/src/log.cpp

    мда. То есть оно даже нестрипленное.

     
     
  • 4.29, тоже Аноним (ok), 14:47, 15/06/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    "- Совсем худо, - заключил хозяин, - что-то, воля ваша, недоброе таится в мужчинах..."
    ... у которых даже под Линуксом пользователя зовут Администратором!
     

  • 1.4, Аноним (-), 10:00, 15/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    И, кстати, у меня в Let's Encrypt один сертификат на шесть доменов, так что про один домен ЛПП
     
     
  • 2.42, Аноним (-), 22:26, 15/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Расскажи, как, а то я не могу понять.
     

  • 1.5, xl32 (ok), 10:15, 15/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Да, у Let's Encrypt SAN до 100 доменов в сертификате. С удовольствием пользуюсь.

    > Names/Certificate is the limit on how many domain names you can include in a single certificate. This is currently limited to 100 names, or websites, per certificate issued.

     
     
  • 2.7, КЭП (?), 10:21, 15/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Wildcard нету.
     
     
  • 3.9, xl32 (ok), 10:24, 15/06/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Wildcard нету.

    Так и здесь тоже только для OV/EV. То есть после платной валидации организации.

     

  • 1.6, Аноним (-), 10:16, 15/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +14 +/
    > Сервис поставляется только в форме уже собранного исполняемого файла, код не прилагается, т.е. предлагается запустить с правами root и оставить для постоянной работы "черный ящик", отправляющий сетевые запросы

    Дальше можно не читать.

     
  • 1.10, Аноним (-), 10:31, 15/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    > В систему устанавливается проприетарное ПО, добавляемое в автозапуск и выполняемое как фоновый процесс, следящий за обновлением сертификата. Сервис поставляется только в форме уже собранного исполняемого файла, код не прилагается, т.е. предлагается запустить с правами root и оставить для постоянной работы "черный ящик", отправляющий сетевые запросы, которые проблематично проверить;

    И зачем такие сложности то?
    Нужно было просто просить рутовый пароль на сервер и со своей стороны скриптами закачивать/обновлять сертификаты и релоадить сервисы.
    Прям как дети малые.

     
  • 1.11, Александр (??), 10:40, 15/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    клевая штука, ты им доступ полный, а они тебе сертификат. вот же евреи хитрые.
     
     
  • 2.12, Орк (?), 11:03, 15/06/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    А что, нормальный бэкдор для лоха, который никогда не вымрет.
     
  • 2.14, Ананимас (ok), 11:22, 15/06/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    запустить в jail/аналог
    получить/обновить серт
    остановить jail/аналог
    выгода
     
     
  • 3.19, grsec (ok), 12:14, 15/06/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    выгода+извращение
     

  • 1.13, анон (?), 11:14, 15/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Маркетинг, такой маркетинг. API у них уже много лет как есть.
     
  • 1.16, Аноним (-), 11:40, 15/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Уже то, что LetsEncrypt тянет на сервер компиллятор и dev пакеты - это ДЫРИЩА, а это ... у меня слов нет .
     
     
  • 2.17, Аноним (-), 11:51, 15/06/2016 [^] [^^] [^^^] [ответить]  
  • +8 +/
    руки из задницы, а леценкрипт виноват, очевидно же
     
     
  • 3.44, MPEG LA (ok), 23:10, 15/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    на wheezy например требует установки backports. вопрос - нафейхоа вообще все эти извращения со скриптами и бинарниками?
     
     
  • 4.51, имя (?), 10:52, 16/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    этот вопрос задай тому, что тебе wheezy на сервер зачем-то поставил.
     
     
  • 5.54, MPEG LA (ok), 15:10, 16/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > этот вопрос задай тому, что тебе wheezy на сервер зачем-то поставил.

    а что из дебианоподобных надо было ставить на сервер в 2013-м? и чем вам не нравится wheezy?

     
  • 2.20, grsec (ok), 12:16, 15/06/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Уже то, что LetsEncrypt тянет на сервер компиллятор и dev пакеты -
    > это ДЫРИЩА, а это ... у меня слов нет .

    Можно неловкий вопрос? В каком месте ты увидел дырищу?

     
     
  • 3.32, Кармер (?), 15:51, 15/06/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Есть компиллятор,- есть возможность собрать и запустить эксплоит для повышения привелегий, например ..
     
     
  • 4.33, ram_scan (?), 16:05, 15/06/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    1) Если у тебя есть шелл кто запрещает стянуть вместе с сорцами эксплоита компилятор ?
    2) Если у тебя есть шелл, кто запрещает собрать сорец кросскомпилятором под нужный таргет в другом месте и стянуть на шелл готовый эксплоит ?

    Тут может последовать возражение что все разделы доступные на запись смонтированы как noexec. Так тогда и готовый эксплоит запустить будет неможливо. А если можливо то и все остальное запустится.

     
  • 4.36, grsec (ok), 19:17, 15/06/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Компилять зловредов на атакуемой системе это из теории что-ли? Но если этот момент так волнует, можно запретить запуск компилятора.
     
  • 4.38, Аноним (-), 20:32, 15/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем его компилять? Если есть доступ в шелл, то можно уже собранный запустить.
     
  • 4.43, Аноним (-), 22:30, 15/06/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Есть компиллятор,- есть возможность собрать и запустить эксплоит для повышения привелегий,
    > например ..

    Cool story bro. А ещё эксплоит можно сделать на bash+nc/perl/python/ruby/tcl/чем угодно без компилятора.

     
  • 2.31, Наркоман (?), 15:12, 15/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Только конкретный жирный клиент на питоне.
     
  • 2.49, Аноним (-), 06:15, 16/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Не нравится стандартный клиент certbot, пользуйся другими или напиши свой, протокол то открыт. Мне например lego нравится, прав рута не требует, можно скомпилить и закидывать бинарник куда надо.
     
  • 2.50, Гентушник (ok), 08:39, 16/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Протокол открыт, дефолтным клиентом никто не заставляет пользоваться.
    Я например использую acme.sh , он очень простой и написан на баше, допилил под свои нужды.
     

  • 1.18, Аноним (-), 12:05, 15/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Надеюсь это начало конкуренции. Сначала бесплатные сертификаты, потом, условия использования, потом и цены могут упасть.
     
     
  • 2.30, Аноним (-), 15:03, 15/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Надеюсь это начало конкуренции. Сначала бесплатные сертификаты, потом, условия использования,
    > потом и цены могут упасть.

    Не будет тут конкуренции, центров выдающих не так много, и цены достуные, если не говорить о субдоменнха и прочих плюшках. Кому эти плюшки нужны имеют деьги

     

  • 1.21, th3m3 (ok), 12:38, 15/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что делает эта голимая поприетарщина на опеннете?
     
     
  • 2.24, тоже Аноним (ok), 13:09, 15/06/2016 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Предупреждает об опасности вляпаться. Имхо, все логично.
     

  • 1.25, Аноним (-), 14:04, 15/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А сертификаты SHA-1 ?
     
  • 1.27, Аноним (-), 14:28, 15/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Жажда бесплатного мешает купить обычный сертификат и не ставить ничего сомнительного
     
     
  • 2.34, Аноним (-), 17:44, 15/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Соболезную
     
  • 2.35, Аноним (-), 18:30, 15/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Покаж, где купить сертификат автоматически?
     
  • 2.39, Сиромант (?), 21:27, 15/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >Жажда бесплатного мешает купить обычный сертификат

    В новости сказано «автоматически», а не «бесплатно».

     
     
  • 3.56, . (?), 13:32, 17/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    в новости при этом не сказано, но _покупать_ (и не сертификат а факт валидации посерьезней DV) еще и придется вручную. (_каждый_ раз, валидация не вечна)
    На этом фоне автоматическая установка посетителям данного ресурса явно уже низачем не нужна.

    Ну так оно, надо полагать, и не для них вовсе. А для тех, кому собрать все бумажки и заслать по факсу с правильными подписями - задача понятная и решаемая, а вот генерить какие-то ключи, где-то что-то "электронно подписывать" - нет.
    И им таким, кстати, пофиг, что оно бинарное и без исходника - в общем-то у произвольно взятого директора рогоу&копытс куда больше поводов доверять startssl чем найденному на помойке индусскому (или русскому) админу.

     

  • 1.37, dr Equivalent (ok), 19:56, 15/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    О, здравствуй, альтернатива.

    > В систему устанавливается проприетарное ПО

    До свидания, альтенрнатива.

     
  • 1.41, Омский линуксоид (ok), 22:25, 15/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Омские линуксоиды избегают непонятных проприетарных поделок... Хорошая попытка, но нет. Извините.
     
  • 1.45, xm (ok), 00:28, 16/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Сертификаты OV SSL и EV SSL выдаются бесплатно, но учётная запись в StartSSL должна пройти проверку с использованием средств идентификации 3 или 4 класса

    Ага. 69 или 199 USD. Сертификат в подарок. :-)

     
  • 1.46, Онаним (?), 00:34, 16/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В систему устанавливается проприетарное ПО, добавляемое в автозапуск и выполняемое как фоновый процесс, следящий за обновлением сертификата. Сервис поставляется только в форме уже собранного исполняемого файла, код не прилагается, т.е. предлагается запустить с правами root

    Нахрен такое счастье...

    Если нет альтернативного варианта с настройкой своего сервера вручную то такой сервис не нужен в принципе.

    > в Lets'Encrypt сертификат выдаётся на 3 месяца

    Тоже жесть.

     
     
  • 2.48, Аноним (-), 06:11, 16/06/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Почему жесть? Ставишь по крону проверку на необходимость автопродления раз в неделю или раз в день и забываешь про сертификат вообще.
     

  • 1.47, dlazerka (ok), 03:09, 16/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    LetsEncrypt проверяет владение не доменом, а сервером, который отвечает по этому домену. Т.к. он проверяет файлик по урлу /.well-known/acme-challenge. Домен он бы проверял если бы проверял TXT запись в DNS.
     
     
  • 2.55, . (?), 23:55, 16/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > LetsEncrypt проверяет владение не доменом, а сервером, который отвечает по этому домену.

    что в общем эквивалентно - если у тебя угнали сервер, у тебя гораздо более серьезные проблемы, чем то что кто-то может изготовить свой сертификат для него.
    И сертификат выдается - серверу, а не домену (опустим для простоты, что почтовому, к примеру, тоже нужен сертификат, причем неплохо бы - с другим ключом даже при том же самом домене).

    > Домен он бы проверял если бы проверял TXT запись в DNS.

    разумеется, нет - он бы при этом проверял владение (контроль над) _сервером_. Сервером dns, ага. А его (контроля) у владельца домена, кстати, вполне может не быть вовсе (dns у хостера, заполняется автоматическим шаблоном, управление юзером не предусмотрено вовсе - у меня, кстати, так)

    В этом плане подход startssl, проверяющего таки именно владение доменом (анализом whois и проверкой живым человеком, если не получилось или что-то показалось подозрительным), мне нравился гораздо больше. К сожалению, конкуренция в подобных вещах не всегда благо - сейчас явно под влиянием летсэнкрипта они сделали альтернативную валидацию через сайт.

     

  • 1.57, Antonhef (?), 10:09, 08/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Обходились как-то раньше без всяких сертификатов, сейчас приходится бегать по всяким Хострадарам закинув язык за плечи, искать хостинг с дешёвым или бесплатным c-c-л.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру