The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

03.01.2019 11:48  Проект Let's Encrypt опубликовал планы на 2019 год

Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, подвёл итоги прошедшего года и рассказал о планах на 2019 год. В 2018 году доля запросов страниц по HTTPS увеличилось с 67% до 77%. Проектом Let's Encrypt выдано 87 млн сертификатов, охватывающих около 150 млн доменов (год назад было охвачено 61 млн доменов и прогнозировался рост до 120 млн к концу 2018 года). В 2019 году сервис планирует преодолеть планку в 120 млн активных сертификатов и 215 млн сайтов.

В 2019 году планируется внедрить многопозиционную систему проверки, при которой подтверждение полномочий на получение сертификата для домена производится с использованием нескольких проверок, выполняемых из территориально разнесённых подсетей, привязанных к разным автономным системам. Данная система позволит минимизировать риски получения сертификатов на чужие домены путём проведения целевых атак, перенаправляющих трафик через подстановку фиктивных марштрутов при помощи BGP. При использовании многопозиционной системы проверки атакующему потребуется одновременно добиться перенаправления маршрутов для нескольких автономных систем провайдеров с разными аплинками, что значительно сложнее, чем перенаправление единичного маршрута.

Из других планов отмечается формирование общедоступного журнала Certificate Transparency (CT), в котором будут отражены все выданные сертификаты. Публичный лог даст возможность проводить независимый аудит всех изменений и действий удостоверяющего центра. Для защиты от искажения данных задним числом при хранении в логе Certificate Transparency применяется древовидная структура "дерево Меркла" (Merkle Tree), в которой каждая ветка верифицирует все нижележащие ветки и узлы, благодаря совместному (древовидному) хешированию. Имея конечный хэш, пользователь может удостовериться в корректности всей истории операций, а также в корректности прошлых состояний БД (корневой проверочный хэш нового состояния базы вычисляется с учётом прошлого состояния).

В наступившем году также планируется ввести в эксплуатацию корневой и промежуточный сертификаты, созданные с использованием алгоритма ECDSA, более эффективного, чем ныне используемый RSA. В планах также упоминается подготовка для nginx модуля для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment). В прошлом году подобный модуль уже был включён в состав Apache httpd.

Текущая серверная инфраструктура Let's Encrypt обрабатывает примерно 5.5 миллиарда запросов в день. В 2019 году прогнозируется рост нагрузки на 40%. Оборудование размещено в двух датацентрах. Серверы, хранилища, HSM, коммутаторы и межсетевые экраны занимают 55 юнитов в стойках. Поддержанием инфраструктуры занимается команда из шести инженеров, трудоустроенных на постоянной основе. В 2019 году запланировано внедрение более быстрых систем хранения для серверов с СУБД.

Запланированный на 2019 год бюджет составит 3.6 млн долларов, что на 600 тысяч долларов больше, чем бюджет 2018 года. Средства собираются в основном за счёт финансовой помощи от крупных спонсоров, таких как Cisco, OVH, Mozilla, Google Chrome, Electronic Frontier Foundation и Internet Society.

  1. Главная ссылка к новости (https://letsencrypt.org/2018/1...)
  2. OpenNews: Доверие к Let's Encrypt обеспечено во всех списках корневых сертификатов
  3. OpenNews: Проект Let's Encrypt ввёл в строй протокол ACMEv2 и поддержку масок
  4. OpenNews: Let's Encrypt опубликовал описание атаки и план по устранению проблемы
  5. OpenNews: Инцидент с уязвимостью в сервисе Let's Encrypt
  6. OpenNews: Проект Let's Encrypt опубликовал планы на 2018 год
Лицензия: CC-BY
Тип: Обобщение
Ключевые слова: letsencrypt, tls, cert, acme
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, A.Stahl (ok), 12:17, 03/01/2019 [ответить] [показать ветку] [···]     [к модератору]
  • –22 +/
    Зашёл, увидел что никто ещё не отписался и попробовал написать какую-то злую шут... весь текст скрыт [показать]
     
     
  • 2.2, Аноним (2), 12:24, 03/01/2019 [^] [ответить]    [к модератору]  
  • +7 +/
    Заходит как то в бар по https бесконечное число математиков, а бармен им и говрит: Let's Encrypt!
    Умом не блещу, простити.
     
     
  • 3.4, Аноним (4), 12:31, 03/01/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    Это на факториал намек?
     
     
  • 4.60, Sw00p aka Jerom (?), 22:41, 03/01/2019 [^] [ответить]    [к модератору]  
  • +/
    скорее на теорему Вильсона ;)

    (n - корень из(n)) факториал, не сравним с 0 по модулю n

     
  • 3.68, Аноним (68), 23:59, 03/01/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    Заявка на и получение сертификата - тебя Д Е А Н О Н И М И З И Р У Е Т
     
  • 2.5, Аноним (5), 12:41, 03/01/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    Я тебе помогу, смотри:

    "Глобальная централизованная цензура, подконтролем небольшой уютненькой конторки) Зато с иллюзией безопасности)."

     
     
  • 3.14, Аноним (14), 13:08, 03/01/2019 [^] [ответить]    [к модератору]  
  • +5 +/
    ой. 100500 удостоверяющих центров. И даже бесплатные сертификаты много кто выдает
     
     
  • 4.27, Аноним (27), 14:55, 03/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Зловреды имеют реальные сертификаты Штыри имеют реальные сертификаты Совместны... весь текст скрыт [показать]
     
     
  • 5.99, Аноним (99), 14:15, 04/01/2019 [^] [ответить]     [к модератору]  
  • +2 +/
    А не должны Шифрование трафика не про безопасность сайта Шифрование трафика пр... весь текст скрыт [показать]
     
     
  • 6.100, Иван Семеныч (?), 14:54, 04/01/2019 [^] [ответить]     [к модератору]  
  • –1 +/
    С этим и ssh справляется, без всяких удостоверяющих центров А HTTPS ещё и подтв... весь текст скрыт [показать]
     
     
  • 7.116, Аноним (116), 19:49, 05/01/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    В ssh ты соединяешься со знакомым тебе сервером, возможно даже подконтрольным У... весь текст скрыт [показать]
     
     
  • 8.129, пох (?), 16:16, 11/01/2019 [^] [ответить]     [к модератору]  
  • +/
    алиса, это сервер, сервер - это алиса если тебя не интересует реальная безопасн... весь текст скрыт [показать]
     
  • 4.36, EHLO (?), 16:05, 03/01/2019 [^] [ответить]    [к модератору]  
  • +5 +/
    Выдаёт кто угодно, а забанить глобально может одна шарага. Максимум полторы.
     
  • 3.48, rshadow (ok), 18:09, 03/01/2019 [^] [ответить]    [к модератору]  
  • +5 +/
    Вот прилетят рептилоиды, а у вас тут всего лишь какой то сран*й https для защиты Земли.
     
  • 2.15, Аноним (-), 13:10, 03/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Сообщение от opennews ok , 03-Янв-19, 12 17 Сообщение от A Stahl ok , 03-Янв-... весь текст скрыт [показать]
     
     
  • 3.39, Аноним (39), 17:04, 03/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Сама новость датирована 03 01 2019 11 48 Время первого сообщения, это не время н... весь текст скрыт [показать]
     
  • 2.28, OpenEcho (?), 15:02, 03/01/2019 [^] [ответить]     [к модератору]  
  • –7 +/
    Сидят Цукерберг Ц с Брином Б , пиво пьют Ц- Ок, безмозглое стадо загнали в сто... весь текст скрыт [показать]
     
     
  • 3.50, rshadow (ok), 18:11, 03/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Это сработало бы, но они сами относятся либо к первому, либо ко второму типу =) Круг замкнут.
     
  • 3.102, Аноним (102), 20:06, 04/01/2019 [^] [ответить]     [к модератору]  
  • –2 +/
    Дело в том, что ssl в большинстве случае - это шапочка из фольги для скрытия нич... весь текст скрыт [показать]
     
     
  • 4.114, OpenEcho (?), 16:17, 05/01/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    Всем минусувальщикам и вам посвящается Вы очень глубоко заблуждаетесь Каждый... весь текст скрыт [показать]
     
     
  • 5.127, freehck (ok), 17:35, 09/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Ну-ну, вы думайте, какие советы даёте Выставлять это глобально -- очень плохая ... весь текст скрыт [показать]
     
     
  • 6.128, OpenEcho (?), 22:01, 10/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Да согласен 100 , просто из полезной фичи сделали каку, покупать и ходить в банк... весь текст скрыт [показать]
     
  • 2.124, Sirota (ok), 04:43, 07/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Кто-нибудь остановит эту свинью Шталя?
    Оно везде, как протечка канализации.
     
     ....нить скрыта, показать (22)

  • 1.6, Онаним (?), 12:46, 03/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –16 +/
    Выдачу сертификатов на год внедрить не планируется? Нет. Мимо.
     
     
  • 2.8, Аноним (-), 12:55, 03/01/2019 [^] [ответить]    [к модератору]  
  • +8 +/
    Не осилил автопродление?
     
     
  • 3.16, Онаним (?), 13:12, 03/01/2019 [^] [ответить]    [к модератору]  
  • –11 +/
    Не вижу смысла плясать вокруг автопродления и прибиваться гвоздями к сторонней системе, если ныне за $5-$8 можно купить сертификат на год (а на 2-3 выйдет ещё дешевле).
     
     
  • 4.18, Аноним (-), 13:17, 03/01/2019 [^] [ответить]    [к модератору]  
  • +11 +/
    Ясно, не осилил.
     
     
  • 5.20, А (??), 13:27, 03/01/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    Автопродление на вайлдкард как, умник?
     
     
  • 6.21, Аноним (-), 13:30, 03/01/2019 [^] [ответить]    [к модератору]  
  • +4 +/
    Провайдер DNS с API.
     
     
  • 7.23, Онаним (?), 13:56, 03/01/2019 [^] [ответить]    [к модератору]  
  • –5 +/
    Потом это извращение с 6 инженерами сломают, и оно наавтовыдаёт вайлдкардов на чужие домены. Нахер.
     
     
  • 8.24, Онаним (?), 14:06, 03/01/2019 [^] [ответить]    [к модератору]  
  • –3 +/
    Вообще это один из редких случаев, когда доверия к крупным корпорастам с их немеряными ресурсами сильно больше.
     
     
  • 9.38, имя (?), 16:59, 03/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Ага, как к примеру симантек которого все браузеры забанили, ибо админка была с дефолтным паролем.
     
     
  • 10.49, . (?), 18:10, 03/01/2019 [^] [ответить]    [к модератору]  
  • –7 +/
    главное - верь! симантек плахой, плахой, а вот у шести инженегров транспаренсия (попутно намертво фиксирующая кто ты и где какие сертификаты брал до того) и вообще все прекрасно.
     
     
  • 11.67, .. (?), 23:58, 03/01/2019 [^] [ответить]     [к модератору]  
  • +/
    И как оно это фиксирует А в других местах не спрашивают кто ты такой совсем Бе... весь текст скрыт [показать]
     
     
  • 12.92, . (?), 13:15, 04/01/2019 [^] [ответить]     [к модератору]  
  • –1 +/
    а других я меньше склонен подозревать в том, что ответы они сольют гуглю - был, ... весь текст скрыт [показать]
     
  • 8.44, Аноним (-), 17:30, 03/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Неплохо меняешь тему
     
  • 8.54, Аноним (54), 18:33, 03/01/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    6 инженеров занимаются серверами, там бы и одного, максимум двух хватило.
     
     
  • 9.56, _ (??), 18:42, 03/01/2019 [^] [ответить]    [к модератору]  
  • +5 +/
    Нет сынок, не хватило бы. Почитай в энторнетах про 24/7 и про 5-6-7 девяток, зачем оно и чего для него нужно ...
    🙂
     
  • 6.53, Ключевский (?), 18:29, 03/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    certbot, не поверишь. Certbot и API твоего провайдера DNS. Все прекрасно работает.
     
     
  • 7.58, хотел спросить (?), 22:06, 03/01/2019 [^] [ответить]     [к модератору]  
  • –1 +/
    Unfortunately, namecheap 8217 s API is not supported in DNS validation, which m... весь текст скрыт [показать]
     
     
  • 8.104, А (??), 21:12, 04/01/2019 [^] [ответить]     [к модератору]  
  • +/
    Нормальный днс не осилить арендовать или поднять Даже есть специальные днс-серв... весь текст скрыт [показать]
     
     
  • 9.109, хотел спросить (?), 02:27, 05/01/2019 [^] [ответить]     [к модератору]  
  • +/
    А арендовать и поднять какой-нить VPS , может тогда проще сертификат купить И ... весь текст скрыт [показать]
     
  • 4.30, . (?), 15:09, 03/01/2019 [^] [ответить]    [к модератору]  
  • +/
    э, хде, за 5-8? Или там опять какие-то перепродаваны, "вчера еше были по три, а сегодня только по 50" ?

     
     
  • 5.37, Онаним (?), 16:20, 03/01/2019 [^] [ответить]    [к модератору]  
  • +/
    gogetssl.com
    Естественно, всё когда-то кончится, но пятый год уже по $5-$8 - и это не "распродажа", а стабильный ценник.
     
     
  • 6.41, имя (?), 17:08, 03/01/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    Ну да, лучше заплатить и довериться какому-то nonamessl, чем проекту где всё прозрачно и бесплатно.
     
     
  • 7.46, . (?), 18:03, 03/01/2019 [^] [ответить]     [к модератору]  
  • –2 +/
    да, вы ж так любите все бесплатное все прозрачно, ага - кроме того, с чего это и... весь текст скрыт [показать]
     
     
  • 8.69, .. (?), 00:01, 04/01/2019 [^] [ответить]    [к модератору]  
  • –2 +/
    Шапочка из фольги не жмёт?
     
  • 7.70, Онаним (?), 00:04, 04/01/2019 [^] [ответить]    [к модератору]  
  • –2 +/
    gogetssl - реселлер, который за $5 ребрендит comodo (а "родной" такой же серт от комодо у них стоит порядка $8), всё равно куда менее ноунейм, чем летсенкрипт
     
     
  • 8.90, Э (?), 12:30, 04/01/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    В $5 вайлдкард тоже входит? Я зашел на их сайт, там какие-то $45 за вайлдкард.
     
     
  • 9.93, . (?), 13:18, 04/01/2019 [^] [ответить]     [к модератору]  
  • –2 +/
    ну то есть тебя жаба жмет даже за пятерку на сайт, ты еще дешевле хочешь ибо ва... весь текст скрыт [показать]
     
  • 6.45, . (?), 18:00, 03/01/2019 [^] [ответить]     [к модератору]  
  • –2 +/
    ну я это и подозревал - там проблема, что сертификаты они перепродают причем до... весь текст скрыт [показать]
     
     
  • 7.71, Онаним (?), 00:06, 04/01/2019 [^] [ответить]     [к модератору]  
  • –3 +/
    Thawte - это стрёмный CA По сравнению с LE Я вас понял Ну и конечно же, LE ... весь текст скрыт [показать]
     
     
  • 8.94, . (?), 13:22, 04/01/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    так нет же ж уже никакого thawte, корпорация правильных вещей зобанила вместе с ... весь текст скрыт [показать]
     
  • 7.98, Аноним (99), 13:45, 04/01/2019 [^] [ответить]     [к модератору]  
  • +2 +/
    Ого, какой петросян нашелся А как ты изначальный js передашь неизменным без наш... весь текст скрыт [показать]
     
  • 2.52, rshadow (ok), 18:12, 03/01/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    Перессылку почтовыми голубями поддерживают? Нет. Мимо.
     
     ....нить скрыта, показать (31)

  • 1.7, Аноним (7), 12:52, 03/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    интересно как скоро это дело начнет монетизироваться
     
     
  • 2.9, Аноним (5), 12:59, 03/01/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    В новом дивном коммунистическом мире успешность измеряться будет не в деньгах)
     
     
  • 3.79, Аноним (79), 05:45, 04/01/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    ... а в баллах!
     
  • 2.12, Аноним (12), 13:07, 03/01/2019 [^] [ответить]    [к модератору]  
  • –4 +/
    Не волнуйтесь, наверняка уже. Продают бигдату о серверах и используемом на них софте, а может и поинтереснее вещи. Автоматизация смены сертификата требует рут, все как на ладони.
     
     
  • 3.26, Аноним (26), 14:46, 03/01/2019 [^] [ответить]    [к модератору]  
  • +3 +/
    А чуть дальше "как все", не пробовали?
    Лови - https://github.com/diafygi/acme-tiny
     
     
  • 4.105, А (??), 21:13, 04/01/2019 [^] [ответить]    [к модератору]  
  • +/
    В чем отличие от acme.sh, не подскажете?
     
     
  • 5.115, OpenEcho (?), 16:28, 05/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > В чем отличие от acme.sh, не подскажете?

    Да в принципе - ни чем, за исключением того, что провести аудит кода легче с 200 строчками на питоне, вместо  6288 на shell-e

     
     
  • 6.122, Аноним (122), 19:38, 06/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Есть dehydrated с 1782 строчками на шелле, которые умеют больше (например, проверка доменов через DNS и создание закрытого ключа для новых/обновляемых сертификатов), чем те 200 на питоне.
     
     
  • 7.126, OpenEcho (?), 16:11, 09/01/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    > Есть dehydrated с 1782 строчками на шелле

    dehydrated написан на баше. На башизмах. Если уж нужна многофункциональность, то лучше уж acme.sh, который работает на чистом sh

     
  • 3.57, . (?), 19:23, 03/01/2019 [^] [ответить]     [к модератору]  
  • +/
    вот не надо о них такую хрень думать ocsp они продают - то есть на сайте может ... весь текст скрыт [показать]
     
     
  • 4.91, Klk (?), 12:58, 04/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Про OCSP Stapling на стороне сервера слышали, не?

    А у себя в браузере запросы OCSP сами выключайте, если на сервере настроен stapling - OK, если нет - нечего отчитываться куда ходили.

     
     
  • 5.95, . (?), 13:28, 04/01/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    слышал, но в моем сервере ресолвера и прочей опасной хрени, извините, не будет п... весь текст скрыт [показать]
     
  • 3.117, Аноним (117), 19:54, 05/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > Автоматизация смены сертификата требует рут, все как на ладони.

    Кто ж вам такую чушь сказал?

     
  • 1.10, Аноним (10), 12:59, 03/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Всего 6 инженеров для такой инфраструктуры -- это показатель.
     
     
  • 2.17, Аноним (17), 13:16, 03/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Показатель нормы прибыли
     
     
  • 3.33, _ (??), 15:56, 03/01/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    Да всё нормально, в малоизвестной лавочке Sun к примеру было правило что региональный офис мог иметь столько инженеров, сколько Лямов в год оне зарабатывают. Ещё тех баксофффф 🧐
     
  • 1.11, Аноним (14), 13:06, 03/01/2019 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Зачем добавлять глюки и тормоза nginx если webroot работает сразу и хорошо ... весь текст скрыт [показать]
     
     
  • 2.13, Аноним (12), 13:08, 03/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Чтобы получить бэкдор в нгинкс.
     
     
  • 3.40, имя (?), 17:05, 03/01/2019 [^] [ответить]    [к модератору]  
  • +4 +/
    Какой бэкдор, опенсорц же? Скорее у вас бэкдор мозга.
     
     
  • 4.80, Аноним (80), 07:28, 04/01/2019 [^] [ответить]    [к модератору]  
  • –2 +/
    >Какой бэкдор, опенсорц же?

    А ты, конечно же, перед каждым обновлением _лично_ вычитываешь весь код системы?

     
     
  • 5.82, .. (?), 09:00, 04/01/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    А давайте тогда всех подозревать в бэкдорах, и нгинкс, и линь и все остальные оп... весь текст скрыт [показать]
     
     
  • 6.83, .. (?), 09:01, 04/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    честные*
     
  • 6.103, Аноним (103), 20:31, 04/01/2019 [^] [ответить]     [к модератору]  
  • +3 +/
    Заявлять об открытости софта, о возможности проверить его на вредоносный код ... весь текст скрыт [показать]
     
  • 5.112, Atlz (?), 10:49, 05/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Зачем весь? Достаточно вычитать изменения с прошлого обновления.
     
  • 5.113, Аноним (113), 13:14, 05/01/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    Зря анона заминусили Безопасность опенсорса мнимая Из тысячи скачавших сотня з... весь текст скрыт [показать]
     
     
  • 6.123, Аноним (122), 19:57, 06/01/2019 [^] [ответить]     [к модератору]  
  • +/
    И хорошо, если из этих двоих-троих хотя бы один удосужится проверить соответстви... весь текст скрыт [показать]
     
  • 1.19, Аноним (19), 13:19, 03/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    читаю комменты, сообщество обслуживающего системы персонала нынче не то.
     
  • 1.22, Бананим (?), 13:32, 03/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +41 +/
    Ставь лайк, если прочитал это на опеннете без https :)
     
     
  • 2.25, username (??), 14:17, 03/01/2019 [^] [ответить]    [к модератору]  
  • +/
    D'oh!
     
  • 1.31, Аноним (-), 15:09, 03/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –4 +/
    Ставь лайк, если иконка HTTPS Everywhere у тебя красного цвета.
     
     
  • 2.42, Аноним (42), 17:10, 03/01/2019 [^] [ответить]    [к модератору]  
  • +/
    В кино нет иконки HTTPS Everywhere красного цвета, ставьте мою мне и минус чуваку выше.
     
  • 2.43, Аноним (42), 17:11, 03/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Попытка номер 2 :(

    У кого нет иконки HTTPS Everywhere красного цвета, ставьте плюс мне и минус чуваку выше.

     
     
  • 3.61, Аноним (61), 22:49, 03/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Т9?
     
     
  • 4.62, Аноним (62), 23:19, 03/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > Т9?

    Жестчайшее :) Да и не привык ещё, постоянно забываю после написания проверять, что он мне там наугадывал.

     
  • 3.81, Аноним (80), 07:29, 04/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Свали на ютуб. Там еще подписку можешь выклянчить.
     
  • 1.32, Это я (?), 15:26, 03/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    ECDSA же небезопасен по причине наличия бэкдора... Или тут эта уязвимость не критична?
     
     
  • 2.35, Аноним (61), 16:01, 03/01/2019 [^] [ответить]    [к модератору]  
  • +/
    А пруф будет?
     
     
  • 3.64, Аноним (64), 23:33, 03/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Пруфы, а они такое слово знают вообще? Для начала и конца.
     
     
  • 4.85, Это я (?), 09:13, 04/01/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    Dual EC DRBG
     
     
  • 5.86, Аноним (86), 10:32, 04/01/2019 [^] [ответить]    [к модератору]  
  • +3 +/
    Это алгоритм ГПСЧ. Е ECDSA у него общее лишь то, что и там и там используется математика эллиптических кривых.
     
     
  • 6.88, Это я (?), 11:16, 04/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Только этот ГПСЧ является частью стандарта для ECDSA.
     
     
  • 7.111, хотел спросить (?), 02:39, 05/01/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    Уже не является В OpenSSL реализованы все части NIST SP 800-90A, включая Dual_EC... весь текст скрыт [показать]
     
  • 3.84, Это я (?), 09:07, 04/01/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    Погуглите по этой фразе: "Dual EC: A Standardized Back Door".
     
  • 2.51, . (?), 18:12, 03/01/2019 [^] [ответить]    [к модератору]  
  • +/
    конечно некритична - пропихивают-то ее именно те, кто этот бэкдор придумали.
     
  • 1.34, Аноним (61), 15:57, 03/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    >контролируемый сообществом

    Это каким? Случайно не https://en.wikipedia.org/wiki/United_States_Intelligence_Community ?

     
  • 1.55, Alexey (??), 18:33, 03/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Хороший проект, и результаты интересные.
     
  • 1.59, Аноним (59), 22:23, 03/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    горькими слезами плачут глупые турки из comodo - их тупо заменили на shell script
     
     
  • 2.97, . (?), 13:34, 04/01/2019 [^] [ответить]    [к модератору]  
  • +/
    наоборот - им поубивали всех конкурентов.
    но они, конечно, догадываются, кто будет следующим.

     
  • 1.65, Аноним (64), 23:41, 03/01/2019 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Да тут сотрудники провайдеров все слезами заливают У них то https в каждой бочк... весь текст скрыт [показать]
     
     
  • 2.72, Онаним (?), 00:10, 04/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Конкретно мы абонентский трафик за исключением случаев диагностики никак не анализируем, и вообще за это могут по голове настучать очень больно. За РФ не скажу, может у вас это принято.
     
     
  • 3.75, ы (?), 01:07, 04/01/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    Верим-верим!
     
  • 3.96, . (?), 13:31, 04/01/2019 [^] [ответить]     [к модератору]  
  • +/
    у крупных не принято, дорого и нафиг не надо А васян-провайдер может, конечно, ... весь текст скрыт [показать]
     
  • 1.66, Аноним (68), 23:58, 03/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –4 +/
    Заявка на и получение сертификата - тебя Д Е А Н О Н И М И З И Р У Е Т
     
     
  • 2.73, Онаним (?), 00:10, 04/01/2019 [^] [ответить]    [к модератору]  
  • +/
    So what?
     
  • 2.74, Аноним (64), 01:05, 04/01/2019 [^] [ответить]    [к модератору]  
  • +3 +/
    https = анонимность ну ты это титан логики и чтения мануалов угу.
     
  • 2.78, Аноним (78), 03:03, 04/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Зашифрованный файл на твоей флешке тебя деанонимизирует.
     
  • 2.87, Аноним (86), 10:38, 04/01/2019 [^] [ответить]     [к модератору]  
  • +3 +/
    Заявка состоит из публичного ключа для его подписи, публичного ключа аккаунта и ... весь текст скрыт [показать]
     
     
  • 3.89, GG (ok), 12:25, 04/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Адрес почты используется как минимум чтобы напоминать о заканчивающихся сертификатах тем недоадминам, которые не осилили автоматизировать их обновление.
     
  • 1.101, Monster (?), 19:26, 04/01/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    тут, похоже, собрались крутые спецы по LE.. :)
    Вопросик, парни: я так и не смог победить автопродление wildcard сертификата.
    С моим паршивым знанием наглийского, читая инструкции с оффсайта LE, сделал вывод что это невозможно.
    Я правильно понял, или всё-таки можно настроить автопродление wildcard?
    Если можно - не обломайтесь ткнуть в ссылку или хотя бы в ключевые слова, мне не удалось найти способа.
     
     
  • 2.106, А (??), 21:16, 04/01/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    В acme.sh есть, к примеру, скрипты работы с днс-провайдерами, и автопродление они умеют. Вы пробовали его?
     
     
  • 3.107, Monster (?), 00:54, 05/01/2019 [^] [ответить]    [к модератору]  
  • +/
    мммм... нет.
    Они умеют автопродление именно wildcard?
    У меня в процессе сначала требуется залить в зону запись, потом организовать веб со специфическим урлом для проверки. - Я использую certbot.
    Как-то так сложилось, что первый мануал по LE был по нему. И всё практически сразу заработало. И работало, пока LE не разрешили wildcard. И теперь раз в 3 месяца у меня возникает желание от wildcard отказаться - но с кучей сертов много больше возни.
    Все варианты автоматического продления, что удалось найти в инетах - относятся к простым сертификатам.
    За наводку - спасибо, поковыряю. Я не великий (пока) спец в скриптах, опасаюсь запускать то, что не понимаю. К сожалению, понимаю пока далеко не всё.
     
  • 3.108, Monster (?), 01:43, 05/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Да, судя по описанию пакета acme.sh - Вы правы.
    и поиск по acme.sh дал ссылку на гайд. Правда, надо настроить динамическую зону на bind (ни разу ещё не пробовал), и как-то не совсем понятно там... но это из-за слабого знания языка и общей моей "не в темности". Поэксперементирую.
    Ещё раз спасибо за наводку!
     
  • 2.118, Anonim (??), 04:07, 06/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Подтверждение сертификатов на звезду на данный момент работает только через DNS авторизацию. Соотв читать как настроитиь DNS авторизацию автоматом в вашем любимом выписываетеле сертификатов для ЛЕ.
    Я не знаю настолько хорошо петон, чтобы проверить код их бота для выписки (дла еще со всеми зависимостями) и дать ему права на изменения в своем DNSе и своем Вебе, поэтому нашел давно уже dehydrated (когда он еще носил девичью фамилию letsencrypt.sh), прост как пробка, написан на шеле, зависимости только от небольшого количества достаточно стандартных Unix утилит, вся авторизация которая сложнее чем положить файл для веб авторизации, а также для дерганья вашего любимого веб (да и не обязательно веб) сервера  делается через внешние хуки. В интернете легко находятся варианты для всяких популярных DNS сервисов и веб сервсисов, амазонов итд итп. т.к. я ими не пользуюсь, по писал сам. там не сложно написать свой хук на все что угодно. (хук писать нат шеле не обязательно, внешняя программа с известными параметрами, на чем вы её напишите - ваше дело.) При этом у хука не обязательно должны быть права напрямую дергать как ДНС так и веб сервер :) что мне особенно нравится. Например сертификаты я после дополнительной проверки раскладываю папетом.
    есть также помянутый уже acme.sh, он посложнее, там тоже есть дергалки на всякие популярные DNSы итд..
     
     
  • 3.119, пох (?), 11:43, 06/01/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    "читать как настроить в dns кучу дырявого и опасного функционала, которого просто не должно быть в статичных внешних зонах, исключительно для удовлетворения шантажистов из гугля и около".

    или вы руками файл зоны переписываете? (ну, в смысле , ваш скрипт именно его редактирует, а не пользуется динамикой)

     
     
  • 4.120, Anonim (??), 13:12, 06/01/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    мой переписывает специально для него заточенный инклюд и релоадид зону.  Исключительно потому, что у меня нет динамических зон. Можно сделать и динамический апдейт. Кажется я даже примеры видел такие для бинда. Если понимать, как работает апдейт, то не вижу в чем проблема сделать через апдейт.

    Причем у меня это делает не хук, хук кладет куда надо задание, внешний скрипт его подхватывает, проверяет на "вшивость" и только по прохождении проверки делает изменения. (причем на совсем другом хосте, чем крутится выписывальщик сертификатов). Хук ждет положенное время и проверяет, что данные появидись на NSax и только по появлению нужного ответа возвращается к проверке. Если данные почемуто не появились, то шлет писмо мне и фейлится.

     
     
  • 5.121, . (?), 14:00, 06/01/2019 [^] [ответить]    [к модератору]  
  • +/
    > мой переписывает специально для него заточенный инклюд и релоадид зону.

    а, то есть вы пошли самым сложным путем.

    ну да, когда-нибудь примерно так и придется делать. Платить комоде, с ее-то "честностью", за *  просто глупо, да и они рано или поздно попадут под каток.

     
     
  • 6.125, Arch (?), 17:12, 07/01/2019 [^] [ответить]    [к модератору]  
  • +/
    Есть так-то GlobalSign и Entrust еще. Вроде помирать не собираются. В том же LeaderSSL берете (реселлер) и все.
     
  • 2.130, Subcreator (ok), 20:09, 13/01/2019 [^] [ответить]    [к модератору]  
  • +/
    "Автопродление wildcard сертификата."

    Не работает оно. certbot и acme.sh - точно!
    В acme багрепорт тупо закрыли.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor