The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Устаревание корневого сертификата IdenTrust приведёт к потере доверия к Let's Encrypt на старых устройствах

27.09.2021 14:44

30 сентября в 17:01 по московскому времени истекает время жизни корневого сертификата компании IdenTrust (DST Root CA X3), который использовался для кросс-подписи корневого сертификата удостоверяющего центра Let's Encrypt (ISRG Root X1), контролируемого сообществом и предоставляющий сертификаты безвозмездно всем желающим. Перекрёстная подпись обеспечивала доверие к сертификатам Let's Encrypt на широком спектре устройств, операционных систем и браузеров в период интеграции собственного корневого сертификата Let's Encrypt в хранилища корневых сертификатов.

Изначально планировалось, что после устаревания DST Root CA X3 проект Let's Encrypt перейдёт на формирование подписей с использованием только своего корневого сертификата, но такой шаг привёл бы к потере совместимости с большим числом старых систем, не добавивших в своих хранилища корневой сертификат Let's Encrypt. В частности, примерно 30% находящихся в обиходе Android-устройств не имеют данных о корневом сертификате Let's Encrypt, поддержка которого появилась только начиная с платформы Android 7.1.1, выпущенной в конце 2016 года.

Let's Encrypt не планировал заключать новое соглашение о кросс-подписи, так как это накладывает дополнительную ответственность на участников соглашения, лишает самостоятельности и связывает руки в плане соблюдения всех процедур и правил другого удостоверяющего центра. Но из-за возникновения потенциальных проблем на большом числе Android-устройств план был пересмотрен. С удостоверяющим центром IdenTrust было заключено новое соглашение, в рамках которого создан альтернативный кросс-подписанный промежуточный сертификат Let's Encrypt. Кросс-подпись будет действовать три года и позволит сохранить поддержку устройств Android, начиная с версии 2.3.6.

Тем не менее, новый промежуточный сертификат не охватывает многие другие устаревшие системы. Например, после устаревания сертификата DST Root CA X3 30 сентября сертификаты Let's Encrypt перестанут восприниматься в уже не поддерживаемых прошивках и операционных системах, в которых для обеспечения доверия к сертификатам Let's Encrypt потребуется ручное добавление сертификата ISRG Root X1 в хранилище корневых сертификатов. Проблемы будут проявляться в:

  • OpenSSL до ветки 1.0.2 включительно (сопровождение ветки 1.0.2 было прекращено в декабре 2019 года);
  • NSS < 3.26;
  • Java 8 < 8u141, Java 7 < 7u151;
  • Windows < XP SP3;
  • macOS < 10.12.1;
  • iOS < 10 (iPhone < 5);
  • Android < 2.3.6;
  • Mozilla Firefox < 50;
  • Ubuntu < 16.04;
  • Debian < 8.

В случае OpenSSL 1.0.2, проблема вызвана ошибкой, которая не позволяет корректно обработать перекрёстно-подписанные сертификаты, в случае устаревания одного из корневых сертификатов, задействованных при подписи, даже если сохраняются другие действующие цепочки доверия. Проблема впервые всплыла в прошлом году после устаревания сертификата AddTrust, применяемого для перекрёстной подписи в сертификатах удостоверяющего центра Sectigo (Comodo). Суть проблемы в том, что OpenSSL разбирал сертификат как линейную цепочку, в то время как в соответствии с RFC 4158 сертификат может представлять ориентированный распределённый циклический граф с несколькими якорями доверия, которые нужно учитывать.

Пользователям старых дистрибутивов, завязанных на OpenSSL 1.0.2, предлагается три обходных варианта решения проблемы:

  • Вручную удалить корневой сертификат IdenTrust DST Root CA X3 и установить обособленный (не кросс-подписанный) корневой сертификат ISRG Root X1.
  • При запуске команд openssl verify и s_client указывать опцию "--trusted_first".
  • Использовать на сервере сертификат, заверенный обособленным корневым сертификатом ISRG Root X1, не имеющим кросс-подписи (Let's Encrypt предоставляет в качестве опции возможность запросить такой сертификат). Указанный способ приведёт к потере совместимости со старыми Android-клиентами.

Дополнительно можно отметить преодоление проектом Let's Encrypt рубежа в два миллиарда сгенерированных сертификатов. Рубеж в один миллиард был достигнут в феврале прошлого года. Ежедневно генерируется 2.2-2.4 миллионов новых сертификатов. Число активных сертификатов составляет 192 млн (сертификат действует три месяца) и охватывает около 260 млн доменов (год назад было охвачено 195 млн доменов, два года назад - 150 млн, три года назад - 60 млн). По статистике сервиса Firefox Telemetry общемировая доля запросов страниц по HTTPS составляет 82% (год назад - 81%, два года назад - 77%, три года назад - 69%, четыре года назад - 58%).

  1. Главная ссылка к новости (https://scotthelme.co.uk/lets-...)
  2. OpenNews: Let's Encrypt решил проблему с продолжением работы сертификатов на старых Android-устройствах
  3. OpenNews: Сертификаты Let's Encrypt перестанут восприниматься на 33% Android-устройств
  4. OpenNews: Устаревание корневого сертификата AddTrust привело к сбоям в системах с OpenSSL и GnuTLS
  5. OpenNews: Let's Encrypt преодолел рубеж в миллиард сертификатов
  6. OpenNews: Разработанный проектом Let's Encrypt протокол ACME утверждён в качестве интернет-стандарта
Лицензия: CC-BY
Тип: Тема для размышления
Короткая ссылка: https://opennet.ru/55875-letsencrypt
Ключевые слова: letsencrypt
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (205) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (2), 15:52, 27/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Никому верить нельзя =(
     
     
  • 2.11, псевдонимус (?), 16:05, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Мне можно)
     
  • 2.17, Мюллер (?), 16:24, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Но мне можно
     
  • 2.81, Kusb (?), 18:21, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Иногда можно мне. Но когда - не всегда понятно.
     
  • 2.134, Урри (ok), 20:54, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Эти трое лгут, не верь им.
    А вот мне - можно.
     
     
  • 3.138, Аноним (138), 21:31, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я настоящий Урри, не верь самозванцу
     
  • 3.174, kusb (?), 08:29, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ты говоришь правду. Я лгу. Даже сейчас.
     
  • 2.164, Аноним (164), 04:24, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Самое главное - не верить себе
     

  • 1.3, Аноним (3), 15:54, 27/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    И тут у большей половины читалок от Onyx boox отвалится половина сервисов, особенно всякие личные облачка типа коллекции книг на собственном некстклауде
     
     
     
    Часть нити удалена модератором

  • 3.36, Аноним (3), 16:54, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Да будет тебе известно, что тот же литрес, как и питерпресс позволяют скачать многие книги. А прилага всё того же литреса не запускается на половине онихбуков же потому что там ещё 4.0.4 ведроид местами. Трунь
     
     
     
     
    Часть нити удалена модератором

  • 6.137, Аноним (137), 21:08, 27/09/2021 [ответить]  
  • +1 +/
    >>> А прилага всё того же литреса не запускается
    >>> на половине онихбуков же потому что там ещё 4.0.4 ведроид местами.
    >>> Трунь
    >> Всё, вопросов больше не имею. Ваше устаревшее железо, безусловно, полностью оправдывает
    >> воровство.
    > Местные тролли в край oxpeнeли от своей лени, какую-то лютую жирноту уже
    > набрасывают, никаких правил хорошего тона не соблюдают, будто в какие-то одноглазники
    > ввалились, а не в приличное общество, где  следовало бы хоть
    > немного напрячься, чтобы не быть таким жирным!
    > Это просто лютое неуважение к местной почтенной публике, я за бан!

    Какой бан? Это не регистрант, это неймфаг, стыдобища и позор, пытающийся примазаться к истинному и чистому Братству Анонинимов, фу таким быть!

     
  • 3.37, легальный читатель (?), 16:54, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    За себя пишите. Я напокупал цифровых книг по скидкам в таких количествах, что могу читать годами.
    Каждый год books.ru устраивает распродажу книг по цене покупателя, никогда не пропускаю и сметаю чего не было куплено ранее.
     
     
  • 4.42, Аноним (3), 17:01, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А можно узнать подробнее про этот ивент?
     
  • 4.56, Аноним (-), 17:24, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >Я напокупал цифровых книг по скидкам в таких количествах, что могу читать годами

    Ну так выложи их на рутрекер.

     
  • 3.51, кек (?), 17:11, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Большинство авторов которые я читаю уже на том свете, кому я должен донатить покупкой электронных книг?
     
     
     
    Часть нити удалена модератором

  • 5.75, кек (?), 18:10, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +11 +/
    > Ну, например, издательству, которое приняло, отредактировало, набрало, отпечатало, сшило и выпустило книгу

    Издательству которое отсканировало редакцию ещё с советских времён?

    > и организации, которая купила права

    У кого купила права, у Пушкина?)

     
  • 5.89, псевдонимус (?), 18:48, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> Большинство авторов которые я читаю уже на том свете, кому я должен
    >> донатить покупкой электронных книг?
    > Ну, например, издательству, которое приняло, отредактировало, набрало, отпечатало, сшило
    > и выпустило книгу и организации, которая купила права, отсканировала книгу, купила
    > хостинг, наняла сайтоделов и предоставила нормальным людям возможность её купить (а
    > вам - украсть).

    А что, если кто-то дал мне почитать книжку, то это кража уже?

     
     
     
    Часть нити удалена модератором

  • 7.109, псевдонимус (?), 19:17, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Без разрешения покойного фихтенгольца? Или без разрешения авторов берестяных грамот?

    А вообще, как только автор выпустил некий текст в публичный доступ он уже ему не хозяин. Кражей это бы было, если бы я похитил книгу из тиража его произведения и продал/перепродал.

     
  • 5.111, псевдонимус (?), 19:19, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Большинство авторов которые я читаю уже на том свете, кому я должен
    >> донатить покупкой электронных книг?
    > Ну, например, издательству, которое приняло, отредактировало, набрало, отпечатало, сшило
    > и выпустило книгу и организации, которая купила права, отсканировала книгу, купила
    > хостинг, наняла сайтоделов и предоставила нормальным людям возможность её купить (а
    > вам - украсть).

    Да стал я на издательство и сайтоклепов. Сайт и я запилить могу. Башлять мне или нет дело добровольное.


     
  • 3.70, Ytrewq (?), 17:58, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >>ворованных с торрентов книг

    А тейк про кражу хлеба когда будет?

     
     
  • 4.115, AKTEON (?), 19:25, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вот-вот. Они так кричали что пиратство== воровство, что теперь никому не  стыдно заниматься шопфлипингом.
     
  • 3.71, Kusb (?), 18:03, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Велика. Независимость.
     
     
     
    Часть нити удалена модератором

  • 5.110, Kusb (?), 19:17, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Велика. Независимость. От совести.
    > Поправил.

    Нет. Когда отваливается что-то во внутренней сети по внешним причинам, то это нарушение независимости. При чём здесь совесть?
    Ну и скачивание файлов с книгами с магазина после покупки - обычное дело и drm там часто нет.

     
     
  • 6.112, Kusb (?), 19:22, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и само осуждение копирования файлов - очень спорная вещь. Если руководствоваться тем, что кто-то не получает недополученную прибыль в других сферах - может получится странное.
     
  • 2.91, Аноним (91), 18:50, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Для читалки не проблема. У меня всё на SD-карте, например. rsync-нул когда надо и всё.
     
     
  • 3.124, Аноним (3), 19:53, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Очень быстро надоедает дёргать туда-сюда карточку, ещё и держать что-то с кардридером рядом в обязательном порядке
     
  • 3.125, Аноним (3), 19:54, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Если книг много, очень быстро всё упирается в размер карточки, т.к. ещё не так давно ониксбуки не видели больших карточек
     
  • 2.94, Аноним (91), 18:53, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А руками нельзя сертов докинуть?
     
     
  • 3.119, Аноним (119), 19:42, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Без рут-доступа и перепрошивки - никак. Та же беда случилась с Symbian-девайсами (у которых небыло поддержки FOTA) когда в интернете SSL-сертификаты перешли с SHA1 на SHA2 (SHA256).
     
     
  • 4.122, Аноним (91), 19:49, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Может вопрос дурацкий, в андроиде ничего не понимаю, но почему просто нельзя закинуть в /etc/ssl (ну или куда там) через пк?
     
     
  • 5.130, Аноним (130), 20:15, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вероятно, туда блокируется запись.
     
  • 5.132, pashev.me (?), 20:19, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Можно. Даже gui есть.
     
  • 5.156, Аноним (164), 00:04, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не знаю, как на других устройствах, но на всех моих самсунгах, часть из которых на андроиде, а другая ещё на престарелой баде, есть интерфейс для управления сертификатами и их можно устанавливать без всяких рутов, просто выбрав файл сертификата в файл менеджере и введя пин код устройства
     
     
  • 6.178, FSA (??), 09:47, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Не знаю, как на других устройствах, но на всех моих самсунгах, часть из которых на андроиде, а другая ещё на престарелой баде

    А там, случаем, не OpenSSL 1.0.2 или старее? Тогда может понадобиться удалить старый сертификат, как указано в статье.

     
     
  • 7.193, Аноним (164), 12:46, 29/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Без проблем. Именно удалить системные сертификаты нельзя, но можно отключить их использовании соответствующим ползунком у проблемных сертификатов. Так что, главное что бы было, откуда эти сертификаты качать, тогда проблем не будет
     
  • 2.141, Аноним (141), 22:14, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Если у тебя читалка от них, может ознакомишься? https://github.com/Hagb/decryptBooxUpdateUpx
     
     
  • 3.175, Аноним (3), 08:34, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, посмотрю
     
  • 2.145, Аноним (145), 22:38, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > отвалится половина сервисов, особенно всякие личные облачка типа коллекции книг на собственном некстклауде

    Вообще не проблема. Регаешь бесплатный аккаунт Cloudflare. Пробрасываешь через него проксирование до "личного облачная", TLS-сертификат будет от Cloudflare, подписывал его кто-то другой, проблемы нет. Делов-то...

     
  • 2.13, псевдонимус (?), 16:08, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    16.04поддерживается. то, что труп дубиана не поддерживается проблема дубина.
     
     
  • 3.120, Аноним (119), 19:44, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > 16.04 поддерживается

    GitHub уже выбросил из CI: https://github.com/actions/virtual-environments/issues/3287

     
     
  • 4.128, псевдонимус (?), 20:05, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> 16.04 поддерживается
    > GitHub уже выбросил из CI: https://github.com/actions/virtual-environments/issues/3287

    Вот это авторитет! Целый гейзаб выбросил!

     
     
  • 5.142, Аноним (141), 22:15, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как вы относитесь к латентным?
     
     
  • 6.165, псевдонимус (?), 04:38, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Как вы относитесь к латентным?

    Как к Чикатило.

     
  • 5.151, Аноним (151), 23:45, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну всяко поавторитетнее тебя и убунты вместе взятых.
     
  • 2.21, iPony129412 (?), 16:28, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > луддиты-староверы взвоют

    Да в каждой теме 🤨
    Постоянно недовольны выбрасыванием устаревших технологий.

     
     
  • 3.26, Аноним (-), 16:39, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > Да в каждой теме 🤨
    > Постоянно недовольны выбрасыванием устаревших технологий.

    Ты уже выбросил устаревшую технологию круглых колес и перешел на треугольные?

     
     
  • 4.29, Самый Лучший Гусь (?), 16:43, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • –7 +/
    В прогрессивных странах отказываются от круглых колёс в пользу магнитов и ног. Шах и мат.
     
     
  • 5.60, Аноним (-), 17:30, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > В прогрессивных странах отказываются от круглых колёс в пользу магнитов и ног.

    Рептилоиды с планеты Нибиру совсем не палятся.
    > Шах и мат.

    Скорее, смахивает на Бал и Бол.

     
  • 5.191, ммнюмнюмус (?), 00:15, 29/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На магнитах не везде можно поездить, квадро- и хексокоптеры рулят, уже скоро.
     
     
  • 6.209, rvs2016 (ok), 22:55, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > На магнитах не везде можно поездить, квадро- и хексокоптеры рулят, уже скоро.

    А в безвоздушном пространстве? На Луне там какой-нибудь.

     
  • 5.61, Аноним (-), 17:33, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Найс сравнил устаревшее, уязвимое и нефункциональное программное обеспечение с тем, без
    > чего современный мир не может существовать.

    Найс соврал про нефункциональность и заодно приплел уязвимость.

     
  • 5.92, псевдонимус (?), 18:51, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ты уже выбросил устаревшую технологию круглых колес и перешел на треугольные?
    > Найс сравнил устаревшее, уязвимое и нефункциональное программное обеспечение с тем, без
    > чего современный мир не может существовать.

    Уязвимое и нефункциональное это хттпс. К сожалению многим приходится заворачивать в это УГ нормальные протоколы.

     
  • 5.97, Нанимас (?), 18:59, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Эка тебя микрософт приучил хавать лишь самое свежее и еще не отлаженное на хомячках.
    Зойчем мне бояться незашифрованных данных и уязвимостей в моей домашней локалочке или просто в DMZ?

    Зачем мне греть воздух бесполезным, в данном случае, шифрованием? FTP реализован везде, клиенты были предустановлены. А в этих ваших самбах придумали докачку? Или только анонимный аплоад без возможности затереть однажды заапложенное? Ну и если мамкин хакир, то всегда сможешь проверить подлог с помощью контрольных сумм, которые, кстати, все равно желательно проверить, дабы убедиться что нет проблем со скачанным, в т.ч. из-за проблем с носителем.

     
     
  • 6.181, Аноним (181), 10:06, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так как это не столько протокол передачи файлов, сколько Windows-RPC с интерфейс... большой текст свёрнут, показать
     
  • 4.82, Kusb (?), 18:26, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Но для треугольных колёс нужны дороги соответствующей формы и на таких дорогах круглые колёса показывают себя плохо. Замена всех дорог на подходящие для новых колёс оставит пользователей круглых у так называемого разбитого корыта?
     
     
  • 5.90, пох. (?), 18:48, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ты как будто с гуглем не знаком - не надо ничего заменять, надо просто запретить круглые.

    Как кого поймают на таких - тачку сжечь. И никаких проблем - через пару неделек переходного периода, все будут ездить на треугольных и нахваливать.

     
  • 3.40, псевдонимус (?), 16:58, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вот странность:работающее выбрасывают в пользу..несуществующего. и как может быть кто-то недоволен?!
     
  • 2.52, кек (?), 17:12, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В Ubuntu обновление уже вышло.
    https://ubuntu.com/security/notices/USN-5089-2
     
  • 2.72, Kusb (?), 18:05, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Можно добавить сертификат, так что можно не выть.
     
  • 2.139, Аноним (138), 21:33, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот там то как раз нет проблемы поменять сертификат. Это только у проприетарщиков.
     

     ....большая нить свёрнута, показать (51)

  • 1.6, Аноним (130), 15:57, 27/09/2021 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • +4 +/
     
     
  • 2.8, Аноним (8), 16:02, 27/09/2021 Скрыто модератором
  • +1 +/
     
     
  • 3.19, Аноним (130), 16:27, 27/09/2021 Скрыто модератором
  • +1 +/
     
     
  • 4.24, Аноним (24), 16:32, 27/09/2021 Скрыто модератором
  • +1 +/
     
     
  • 5.30, _kp (ok), 16:44, 27/09/2021 Скрыто модератором
  • –2 +/
     
     
  • 6.34, Аноним (24), 16:48, 27/09/2021 Скрыто модератором
  • +/
     
     
  • 7.43, псевдонимус (?), 17:02, 27/09/2021 Скрыто модератором
  • +2 +/
     
  • 7.73, pofigist (?), 18:06, 27/09/2021 Скрыто модератором
  • +/
     
     
  • 8.83, Аноним (130), 18:26, 27/09/2021 Скрыто модератором
  • +2 +/
     
  • 8.96, псевдонимус (?), 18:57, 27/09/2021 Скрыто модератором
  • +/
     
  • 8.99, Аноним (24), 19:02, 27/09/2021 Скрыто модератором
  • +/
     
  • 3.20, Аноним (20), 16:27, 27/09/2021 Скрыто модератором
  • +1 +/
     
     
  • 4.23, Аноним (24), 16:32, 27/09/2021 Скрыто модератором
  • +/
     
     
  • 5.31, 1 (??), 16:45, 27/09/2021 Скрыто модератором
  • +/
     
     
  • 6.32, Аноним (24), 16:47, 27/09/2021 Скрыто модератором
  • +/
     
     
  • 7.74, Kusb (?), 18:09, 27/09/2021 Скрыто модератором
  • –1 +/
     
     
  • 8.88, Аноним (24), 18:45, 27/09/2021 Скрыто модератором
  • +/
     
     
  • 9.116, Kusb (?), 19:30, 27/09/2021 Скрыто модератором
  • +/
     

     ....ответы скрыты модератором (17)

  • 1.7, Аноним (8), 15:58, 27/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Опять? В прошлый раз отвалился 5 андроид, теперь отвалится ещё и 2?
     
  • 1.10, псевдонимус (?), 16:04, 27/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    К летсэндкрип впринципе мало доверия. А новость лишь подтверждение -- доверять этим ребятам не стоит.
     
     
  • 2.16, Аноним (24), 16:17, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +10 +/
    А чем это подтверждает именно эта новость? Сертификаты должны устаревать, корневые - не исключение
     
     
  • 3.147, Аноним (147), 23:00, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Что никакого у них плана б нет. Вертели они всё legacy. У Centos 7 кстати тоже проблемы были с этими сертификатами
     
     
  • 4.204, Аноним (204), 12:35, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    То legacy, которое аффектится, давно уже закопать пора.
     
  • 3.210, Аноним (210), 22:59, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да-да, всё должно устаревать и переставать работать, для того чтобы Большой Брат мог засунуть повсюду свои очень нужные ОБНОВЛЕНИЯ.
     
  • 2.152, Аноним (151), 23:47, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну так неси баблишко коммерческим УЦ, кто тебе мешает платить за воздух с тем же или меньшим уровнем доверия.
     
     
  • 3.166, псевдонимус (?), 04:47, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Можно подумать лэдсэнгрипт некоммерческое.
     

  • 1.14, Аноним (14), 16:13, 27/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я недавно столкнулся с фишинговым мошенническим сайтом под один крупный российский банк, но в домене .ru.com, подписанным сертификатом Let'sEncrypt.
     
     
  • 2.25, Аноним (24), 16:33, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вот это да, реальная проблема, а не то, что большинство аноуннов тут пишет
     
  • 2.28, Самый Лучший Гусь (?), 16:41, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Так LE и не обещает проверять все сайты, подписанные их сертификатом на наличие скама. В хромоге даже зелёный замочек  в адресной строке для https:// убирают, чтобы альтернативно одарённые перестали сливать данные кредиток каждому первому зелёненькому сайту.
     
  • 2.76, Kusb (?), 18:11, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Защита от фишинга приносит много вреда и сама по себе скам, но нужна редко, но метко. Как можно сделать нормально?
     
     
  • 3.169, lockywolf (ok), 08:08, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Залоговые аукционы -- это фишинг, или нет?
     
  • 2.168, Аноним (168), 07:08, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это лишь грит о том, что https не для доверия, а тока для шифрации.
     
     
  • 3.225, DmA (??), 09:35, 02/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Для доверия DNSSEC, но в России не очень приживается, даже в банках.
     
  • 2.184, Аноним (184), 12:49, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    letsencrypt выдал непоймикому сертификат на домен банка? или домен просто похожий? если второе то в чем проблема?

    А вот EV из адресной строки убрали - да, хреново... т.к. сейчас вариант один - на всякий случай тыкать по замочку в адресной строке и смотреть кто сертификат выдал.

     
     
  • 3.201, Аноним (201), 05:46, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    У российского банка сайт https://www.namebank.ru, мошенники зарегистрировали похожий сайт https://www.namebank.ru.com, подписали его сертификатом Let'sEncrypt и пустили рекламу ВКонтакте и Интернете, что производится выплата материальной помощи в несколько тысяч рублей клиентам этого банка. Дизайн мошеннического сайта повторял оригинальный дизайн банка. Для оформления "материальной помощи" они требовали указать телефон в Интернет-банке, пароль и сообщить смс-коды. При регистрации на этом сайте была бы произведена попытка кражи денег со счета клиентов банка.
     
     
  • 4.205, Аноним (204), 12:45, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, а раньше и сертификатов не требовалось.
    Let'sEncrypt - только реакция на истерию повсеместного перехода на https.
    Начните с претензий к регистратору доменных имён тогда уж.
    Заодно, нахлобучьте службу безопасности namebank.

    А то, как всегда, мальчик виноват...

     

  • 1.15, Аноним (24), 16:16, 27/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Ребят, я вот в своё время, в 2010, когда крутил в руках старую мобилу кнопочную, там был пункт "Корневые сертификаты". И я разглядывал эти верисайны, а у них там срок истечения - 2021, 2025, 2027. "Как далеко, почти вечность", - думал я. А вот уже и 2021.

    Вот тут говорит, мол, "доказательство, что Летс Энкрипт нельзя верить". В чём?! Сертификаты должны периодически устаревать, в т.ч. и корневые. Вы чего, ребята, в чём это подрывает-то?

     
     
  • 2.27, Аноним (8), 16:40, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Там по-моему по 50 лет серты были, вот это ближе к реальному применению. Я ещё тогда думал, что же ещё это, как если не запланированное устаревание. Старую мобилу в 2010? Айфону тогда 3 года было, и все мобилы были кнопочные до него. Полноценные браузеры наверно года с 2002 пошли. Не такие уж и старые. Совершенно нормально для телефона служить 20 лет, моему вот 15 и норм. Если бы не утопил случайно, сейчас бы может и 20 летний использовал.
     
     
  • 3.35, Аноним (24), 16:50, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Я ещё тогда думал, что же ещё это, как если не запланированное устаревание

    Криптографические ключи не могут жить вечно. Их нужно менять, и желательно почаще. Слишком часто менять, конечно, тоже не получится. Ну для корневых 20-30 лет, то много. 50 лет - это очень самоуверенно

     
     
  • 4.46, Аноним (8), 17:07, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Rsa там сколько лет, 50 уже? До сих пор самый надёжный алгоритм. А сколько уязвимых новоделок уже было. Если ключи не утекли, зачем их менять? А если утекли, то совершенно не важно, сколько лет они живут (разве что каждую неделю менять).
     
     
  • 5.57, Аноним (24), 17:25, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    По этому вопросу рекомендую читать Шнайера. Шнайер это формулирует так: "Криптографические ключи изнашиваются со временем". В фигуральном смысле, но точно подмечено. Как минимум шанс утечки растет и растёт с течением лет. И новые атаки на криптографию постоянно появляются.

    > Rsa там сколько лет, 50 уже? До сих пор самый надёжный алгоритм.

    Вы не правы. Атак на RSA много. RSA не взломан, да. Но там очень и очень много нюансов, атаки именно на всякие мелкие детали. И их не мало. Правильно сготовить RSA трудно, а длина его ключей велика.

    > А сколько уязвимых новоделок уже было.

    Ну из эллиптики, которая принималась в стандарты, вроде ничего не взломали толком

     
     
  • 6.113, n00by (ok), 19:23, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > RSA не взломан, да.

    RSA Challenge закрыто в 2007-м с забавной формулировкой. Из публичного:

    RSA-250 (это больше 768)

    The total computation time was roughly 2700 core-years, using Intel Xeon
    Gold 6130 CPUs as a reference (2.1GHz):

    https://lists.gforge.inria.fr/pipermail/cado-nfs-discuss/2020-February/001166.

     
  • 6.146, Аноним (146), 22:48, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну из эллиптики, которая принималась в стандарты, вроде ничего не взломали толком

    А где это используется в сельском хозяйстве? (С)Старый советский анекдот
    Для всяких "икспириментов" можно, конечно, и эллиптику самоподписную нагенерить и прикрутить, но, если не ошибають, для https "для широких масс" эллиптика практически не используется...

     
  • 5.153, Аноним (151), 23:52, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Rsa там сколько лет, 50 уже?

    Да уже почти.

    > Если ключи не утекли, зачем их менять?

    Во-первых, длины ключей 50 и даже 10 лет назад были совсем другие, и те длины вскрываются за вполне земные деньги и время.

    Во-вторых, таки да, износ криптоматериала.

    В третьих,

    > А если утекли, то совершенно не важно, сколько лет они живут (разве что каждую неделю менять).

    А ты не знаешь утекли они или нет. Но вероятность повышается с возрастом.

     
  • 4.140, Sw00p aka Jerom (?), 22:07, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    можно поголвно внедрить днссек подобный механизм цепочки доверия а в записях у зоны хранить хеш самоподписанного сертификата, зачем еще создавать всякие ненужные псевдо доверенные механизмы?

    почему блеатъ до сих пор браузеры не пинят сертификаты от сайтов?

     
     
  • 5.170, lockywolf (ok), 08:11, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что ссл администрируется всякими коммерческими конторами (ну, и летсенкриптом), а днс -- товарищем майором, корневые зоны.
     
  • 3.77, Kusb (?), 18:14, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Странно. Почему вы не обсуждаете главную причину - возможность или невозможность самостоятельного обновления этих сертификатов.
     
     
  • 4.85, Аноним (24), 18:37, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да, тем и славен этот топик - аноны ополчились на устаревание сертификатов как на инструмент мирового заговора, тогда как просмотрели реальную проблему, невозможность обновления (хотя в дистрах ОС-то разве низя новые черты поставить? Не прибиты же они там гвоздями). А устаревание сертификатов - обычная практика, их ещё в 2000-е, если не 90-е, выдали, да и написали 20-30 лет сроку. Ну вот уже 2021, выходят эти года, да. Время летит
     
     
  • 5.148, Аноним (147), 23:09, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Конец новости почитай где у них сертификаты привязаны к версии OpenSSL и становится весело сразу. Да сертификат добавить можешь но система его не примет. OpenSSL не обновишь так как весь дистрибутив пересобирать придётся
     
  • 3.177, Аноним (177), 09:43, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Для телефона нормально служить и сто лет, у меня где-то валяется старый советски... большой текст свёрнут, показать
     

  • 1.18, Аноним (20), 16:24, 27/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Этот самогенерируемый зонд кому-то в будущем надо будет остановить. Он ровно в 100 раз хуже системд.
     
     
  • 2.22, Аноним (24), 16:31, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В чем зондовость, вы о чем вообще?
     
     
  • 3.48, Аноним (20), 17:07, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Может быть в том что чтобы получить этот серт ты делаешь запрос на мутный сервер минимум раз в 90 дней.
     
     
  • 4.58, Аноним (24), 17:26, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну ты же не передаешь им закрытых ключей, явок, паролей
     
     
  • 5.63, Аноним (20), 17:45, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Откуда ты это знаешь? И откуда ты знаешь что не начнут передавать потом. Откуда ты знаешь что внезапно через пару лет не найдут уязвимость в приложении или в протоколе, про которую конечно же никто не знал.

    Да мало ли чего еще может быть. Ты же передаешь им почту, а они начнут по своим причинам одним давать другим не давать сертификат. Это мы даже не говорим про монетизацию, а монетизироваться они могут как все «бесплатные» сервисы сливая инфу в лучше случае рекламным компаниям.

    У бесплатных сервисов товар это ты, золотое правило.

     
     
  • 6.67, Аноним (24), 17:52, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ты в браузере/скрипте сам тыкаешь, что (файл открытого ключа) послать им. Если не тыкаешь/не проверяешь что тыкнул - кто ж виноват тебе

    > Откуда ты это знаешь? И откуда ты знаешь что не начнут передавать потом. Откуда ты знаешь что внезапно через пару лет не найдут уязвимость
    > Да мало ли чего еще может быть.

    Да вот правильно, лучше в тайгу уехать и жить в уединении, вот там точно мало что может быть. И то что-то может

    Варианты надо в голове прокручивать, конечно, но без истерики

     
     
  • 7.100, Аноним (100), 19:04, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ага, твоя философия есть любое УГ с лопаты лишь в тайгу не ехать умиляет.
     
  • 7.144, пох. (?), 22:29, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты в браузере/скрипте сам тыкаешь, что (файл открытого ключа) послать им.

    уровень впопеннета, очередное днище...

    > Если не тыкаешь/не проверяешь что тыкнул - кто ж виноват тебе

    безусловно не те милейшие люди, тщательно уничтожившие долгоживущие сертификаты, и заставившие весь мир исполнять curl|sudo su их самообновляющийся скрипт.

    > Да вот правильно, лучше в тайгу уехать и жить в уединении, вот там точно мало что может быть.

    придет хозяин тайги и даст тебе п-ды, вот что там может только и быть. Тайга вся чья-то, ничейная земля - вооон, на марсе еще осталась. Только туда полетишь с управлением на ведроидах, у которых в процессе полета прокиснет сертификат.

     
     
  • 8.150, Аноним (24), 23:23, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще не понял, к чему докапываетесь в этой фразе В Летс Энкрипт ты разве не з... большой текст свёрнут, показать
     
     
  • 9.159, пох. (?), 00:32, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    уровень впопеннета Вообще ничего непонятно, но ценное мнение имеют ... текст свёрнут, показать
     
     
  • 10.161, Аноним (24), 00:40, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Эх, досадно, я вас тут вижу давно, вы в общем-то дельный человек, хоть и с экстр... текст свёрнут, показать
     
     
  • 11.182, пох. (?), 10:19, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    По существу надо задавать вопросы, а не комментировать в режиме сам-то я не пол... текст свёрнут, показать
     
  • 6.154, Аноним (151), 00:00, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я читал код certbot, например Протокол ACME стандартизирован и очень прост Воз... большой текст свёрнут, показать
     
     
  • 7.160, пох. (?), 00:39, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Я читал код certbot, например.

    А вот это, к примеру - не читал?
    https://certbot.eff.org/lets-encrypt/leap-nginx

    поставьте снап-незнамочего-с-кучей-непоймичего, сегодня оно получает за вас сертификаты - завтра за вас и есть будет тоже.

    > Возьми реализацию которой ты доверяешь, напиши свою.

    много ты уже написал реализаций? Аааа, ты ж "читал код Certbot!" чукча читатель.

    А что он обновляется каждый день, так это пофиг.

    > Никакая чувствительная информация там не передаётся

    главное, верить.

    А по факту 90% интернета исполняет на своих серверах код неведомых васянов (по факту уже целиком операционную систему) неведомо кем контролируемый. То что у оставшихся десяти немодные сертификаты и неуловимые джошные самоделки вместо единственноверного шитбота - мало что изменит.

     
     
  • 8.172, lockywolf (ok), 08:15, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так не пользуйся сертботом Во многих дистрах по-умолчанию dehydrated ... текст свёрнут, показать
     
     
  • 9.179, пох. (?), 09:52, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Повторяю по факту 9 из 10 сайтов пользуются и могут быть затроянены по команде ... большой текст свёрнут, показать
     
     
  • 10.186, lockywolf (ok), 13:49, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Ссылку на статью кинь, я почитаю без шуток В систему... большой текст свёрнут, показать
     
     
  • 11.197, пох. (?), 14:30, 29/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    https imgbox com wF6kUQnt Ну ок, счастливо купаться в аквариуме где нет довери... текст свёрнут, показать
     
     
  • 12.200, lockywolf (ok), 04:43, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я посмотрел на те 20 результатов, что выдал поиск, но содержательной критики deh... текст свёрнут, показать
     
     
  • 13.202, пох. (?), 09:38, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    пааанятна Ну если ниасилить вторую сверху строчку, возвращаемую поиском - то я ... текст свёрнут, показать
     
     
  • 14.215, lockywolf (ok), 05:05, 01/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, мистер пох К сожалению, это вы выражаетесь крайне мутно и туманно Тем бо... текст свёрнут, показать
     

     ....большая нить свёрнута, показать (20)

  • 1.33, Аноним (33), 16:47, 27/09/2021 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –4 +/
     
     
  • 2.39, Аноним (24), 16:57, 27/09/2021 Скрыто модератором
  • +2 +/
     
     
  • 3.50, Аноним (20), 17:09, 27/09/2021 Скрыто модератором
  • –2 +/
     
     
  • 4.62, Аноним (24), 17:34, 27/09/2021 Скрыто модератором
  • +/
     
     
  • 5.65, Аноним (20), 17:48, 27/09/2021 Скрыто модератором
  • +1 +/
     
     
  • 6.69, Аноним (24), 17:53, 27/09/2021 Скрыто модератором
  • +/
     
     
  • 7.101, Аноним (100), 19:07, 27/09/2021 Скрыто модератором
  • +1 +/
     
  • 4.129, Аноним (3), 20:07, 27/09/2021 Скрыто модератором
  • +/
     
  • 4.127, Аноним (3), 20:04, 27/09/2021 Скрыто модератором
  • +/
     
  • 2.114, OpenEcho (?), 19:24, 27/09/2021 Скрыто модератором
  • +1 +/
     

     ....ответы скрыты модератором (9)

  • 1.44, Аноним (44), 17:04, 27/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Господа, а подскажите плиз, почему на сайте кремля сертификата нет?
     
     
  • 2.53, Аноним (53), 17:20, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    От госдепа шифроваться?
     
     
  • 3.59, Аноним (-), 17:26, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну чтобы жалобщиков было дегче ловить.
     
  • 2.84, Gemorroj (ok), 18:28, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    потому что удостоверяющие центры кого надо удостоверяющие центы, и отозвать могут сертификат когда надо. а свои уц в популярные браузеры поди пропихни. вы же тут сами взвоете в каментах если клятые москали пропихнут свои корневые сертификаты в "свободные" браузеры.
     
     
  • 3.102, Аноним (100), 19:08, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Уже пропихнули свой Яндекс и сертификаты пропихнут ты главное потерпи побольше.
     
  • 3.136, Аноним (44), 21:06, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Странно, во всякие там эцп пропихивают а в бравзир яндыхса не могут?
     
     
  • 4.149, Аноним (147), 23:15, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А ты уверен что его там нет?
     

  • 1.54, Аноним (54), 17:20, 27/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >  По статистике сервиса Firefox Telemetry общемировая доля ...

    Гельминтов в кале пользователей составляет ...

     
  • 1.64, Аноним (64), 17:47, 27/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >>По статистике сервиса Firefox Telemetry

    Мои запросы уже больше не составляют, ибо я избавился от Firefox Telemetry.

    А если вцелом. Что? Сертификаты сдохли? Теперь DOS 1.0 больше не погонять?

     
     
  • 2.80, Kusb (?), 18:19, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Почему не погонять?
     

  • 1.78, Лунь Ин Крипт (?), 18:15, 27/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > Дополнительно можно отметить преодоление проектом Let's Encrypt рубежа в два миллиарда сгенерированных сертификатов.

    Это ещё что. А вот если мы начнём каждый день сертификаты перегенерировать...

     
  • 1.79, Kusb (?), 18:18, 27/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Но сертификаты это же по моему просто набор данных, так что странно говорить, что что-то старое их не поддерживает. Просто они не прописаны. Пропиши и сиди дальше.
     
     
  • 2.104, Аноним (100), 19:10, 27/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Дела в том что уставшими девайсами пользуются не только программисты, но и, например, не программисты. И они ничего там прописать не смогут даже если захотят.
     
  • 2.212, Аноним (210), 23:14, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И щас все такие бросились прописывать у себя сертификаты. Всей страной, как в СССр когда штирлица крутили. Выйдешь на улицу - а кругом ни души, все сертификаты прописывают. Благодать!
    А на следующий день кубернетесы прописывают программатором на нокию 7210. И так каждый день!
     

  • 1.95, Аноним (95), 18:53, 27/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А с ZeroSSL всë ок?, acme.sh вроде по дефолту именно там получает.
     
  • 1.117, Лупидонтий (?), 19:31, 27/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Отчего нельзя выпускать неустаревающие сертификаты?
     
     
  • 2.171, aa (?), 08:13, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    можно
    но если кто-то взломает/украдет приватный ключ от корневого сертификата, то сможет выписывать себе сертификаты от любых сайтов, причем делать это неограниченно долго.
     
     
  • 3.213, Арбидонтий (?), 00:17, 01/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Одноразовые ключи?
     

  • 1.121, d (??), 19:46, 27/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > OpenSSL разбирал сертификат как линейную цепочку, в то время как в соответствии с RFC 4158 сертификат может представлять ориентированный распределённый циклический граф с несколькими якорями доверия, которые нужно учитывать.

    И сколько такого говнокода еще крутится во всем мире?

     
  • 1.123, Аноним (123), 19:52, 27/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Два миллиарда скаммеров обзавелись доверенным сертификатом. Это нужно убить незамедлительно.
     
     
  • 2.155, Аноним (151), 00:02, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Два миллиарда скаммеров обзавелись доверенным сертификатом.

    Доверенный это EV. Нет, LE не выдаёт EV.

     
  • 2.173, Аноним (3), 08:17, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Когда два миллиарда таких ламеров обзавелись устройствами способными выходить в тырнет такой вони не было, а зря
     

  • 1.131, pashev.me (?), 20:16, 27/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Поэтому важные сайты должны быть доступны и без https. И с помощью wget. Вот например.
     
     
  • 2.158, Аноним (151), 00:06, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Никакие сайты не должны быть доступны без https. И поддерживаться браузерами http не должен.
     
     
  • 3.163, Аноним (163), 03:10, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Что бы потом 127.0.0.1 открывать полько по https? Может в твоём маня-мирке есть только https, но в реальности существует ещё много других прикладных протоколов, которые вообще-то можно пускать поверх транспортных протоколов, в которых и надо решать проблемы приватности. И сделать это можно куда более элегантно, чем вся эта муть с сертификатами и сертификационными центрами.
     
  • 3.187, Аноним (187), 15:27, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А в Yggdrasil HTTPS особо не нужен.
     
     
  • 4.188, Аноним (-), 22:14, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А в Yggdrasil HTTPS особо не нужен.

    Ещё как нужен. Анонсирует хацкер маршрут через себя и твой люникс его молча примет. И потечёт весь твой http прямо через хацкера.

     
     
  • 5.195, Аноним (195), 14:03, 29/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, сеть Иггдрасиль имеет сквозное шифрование от абонента до абонента.
     

  • 1.133, Ананоним (?), 20:39, 27/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У меня есть в коллекции iPhone 2G, там похоже уже протухшие сертификаты есть. Подскажите как туда добавить новых. Доступ к файловой системе и консоли есть.
     
  • 1.143, Kuromi (ok), 22:24, 27/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что касательно Андроида, то в прошлой аполиптичной новости этого рода уже писали что можно ручками поставить корневые сертификаты и все будет работать. Это функция впервые пригодилась большинству.
     
  • 1.157, Аноним (151), 00:05, 28/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ну отлично, будет повод ещё и TLS<1.3 выключить.

    > В частности, примерно 30% находящихся в обиходе Android-устройств не имеют данных о корневом сертификате Let's Encrypt

    Нахрен пусть идут. Рабы корпораций, купившие железки на которые нельзя самому поставить свободную сборку последней версии, должны страдать.

     
     
  • 2.162, Kuromi (ok), 02:42, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да какую сборку, людям лень руками сертификат установить.
     

  • 1.167, mos87 (ok), 06:56, 28/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а по-русски это всё можно изложить?

    есть где-нибудь нормальный обзор как эта вся лабуда работает.. а то уже читаю и половина как китайская грамота

     
     
  • 2.176, Babaj (?), 09:15, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    На хабре вчера...
    https://habr.com/ru/post/580092/
     
     
  • 3.180, mos87 (ok), 10:00, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    спс гляну
    но по-русски имелось в виду понятно про всю эту разросшуюся инфраструктуру Х509 сертификатов
    лучше таки на аглицком))
     
     
  • 4.183, another_one (ok), 12:37, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > а по-русски это всё можно изложить?
    > лучше таки на аглицком))

    Ты бы определился уже.

     
     
  • 5.185, mos87 (ok), 13:28, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    фигуральное выражение тебе не знакомо
    только видимо фига. или фигвам на худой конец.
     

  • 1.189, biomassa (?), 22:56, 28/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что я делаю не так? :
    ------------------------
    # lsb_release -ds
    Ubuntu 14.04 LTS
    # grep DST_Root_CA_X3.crt /etc/ca-certificates.conf
    #
    # grep ISRG_Root_X1.crt /etc/ca-certificates.conf
    mozilla/ISRG_Root_X1.crt
    #
    # update-ca-certificates
    Updating certificates in /etc/ssl/certs... 0 added, 0 removed; done.
    Running hooks in /etc/ca-certificates/update.d....done.
    #
    # faketime -f '@2021-10-01 00:00:00' curl https://<MYDOMAIN>
    curl: (60) SSL certificate problem: unable to get local issuer certificate
    More details here: http://curl.haxx.se/docs/sslcerts.html
    ...
    #
    ------------
    Заранее спасибо.
     
     
  • 2.190, Аноним (190), 23:03, 28/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А что ты пытался сделать? Или что должно произойти по твоему мнению?
     
     
  • 3.192, biomassa (?), 00:26, 29/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я убрал упоминание DST_Root_CA_X3.crt из /etc/ca-certificates.conf
    И ожидал что проблема
    "curl: (60) SSL certificate problem: unable to get local issuer certificate"
    исчезнет согласно этой статье:
    > Вручную удалить корневой сертификат IdenTrust DST Root CA X3 и установить обособленный (не кросс-подписанный) корневой сертификат ISRG Root X1.

    Такой метод упоминается и в других источниках.

     
     
  • 4.196, пох. (?), 14:05, 29/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты из этого сделал ровно половину.
    Вероятнее всего потому, что в голове типичного впопеннетчика "удалить" - это просто и понятно, а вот дальше какие-то слова загадочные, лучше их проигнорировать, авось и так сойдет.

     
     
  • 5.198, biomassa (?), 17:46, 29/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так и вы сделали ровно половину - облили нечистотами собеседника, ведь это "просто и понятно", а вот дальше.... указать на то что именно он сделал не так, вы похоже не в состоянии. И кто после этого "типичный впопеннетчик"? :)
    Ну чтож спасибо и на том, проходите мимо.
     
  • 2.211, rantal (?), 23:00, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    а версия openssl какая?
    # openssl version
     
     
  • 3.223, biomassa (?), 23:10, 01/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    1.0.1f
     
     
  • 4.231, rantal (?), 23:21, 16/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Старый openssl слишком, на нём недостаточно удалить DST Root X3. Посмотрите хабровскую статью, я там добавил вариант обхода проблемы для таких совсем старых openssl без обновления версии..
     

  • 1.194, gde moy linux (?), 13:45, 29/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Стоп а Opennet имеет же сертификат от Let's encrypt??????
     
     
  • 2.221, DmA (??), 14:54, 01/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ну да, но если в обновлениях к твоей системе уже прилетел сертификат ISRG Root X1, то сайты продолжат работать без вопросов. Основные проблемы у тех, у кого давно без обновлений сидит!
     

  • 1.199, Аноним (199), 20:29, 29/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Android юзеры должны страдать...
     
     
  • 2.203, Microsoft Outlook (?), 11:23, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    на айфоне то же самое ;)
     
     
  • 3.206, Ghidra (?), 21:58, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Apple проснется и обновит прошивки. А другие НЕТ!
     
     
  • 4.214, Аноним (214), 01:58, 01/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Компания , специально замедляющая прошивками старые устройства , если и проснётся - только посмеяться .
     

  • 1.207, BrainFucker (ok), 22:43, 30/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Лол, у меня VLC перестал подключаться к моему серверу :(

    Всё остальное подключается норм.

     
     
  • 2.208, Ghidra (?), 22:48, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ничего добавят в новые  OpenSSL бэкдоры с белым списком устаревших CA.
     
  • 2.216, Аноним (216), 09:10, 01/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Перестал соединяться самый свежий The Bat к серверу с сертификатом LE:
    >2021.10.01, 09:06:54: IMAP  - Root: "Digital Signature Trust Co.", "DST Root CA X3" Действителен с 2000.09.30 21:12:19 до 2021.09.30 14:01:15. Срок действия этого S/MIME сертификата истек!

    А вы говорите старый Андроид.....

     
     
  • 3.222, DmA (??), 15:02, 01/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В The Bat раньше была галочка "использовать сертификаты Виндовс или свои"!
     
  • 3.228, Аноним (44), 01:37, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я благодаря Вам сейчас узнал, что оно еще живо. И что, неужели по-прежнему на пасквилле?
     

  • 1.217, DmA (??), 10:12, 01/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В старых версиях Thunderbird (38) на ХР  сертификат ISRG Root X1 нужно ещё в настройках TB добавлять!
     
  • 1.218, Аноним (218), 11:03, 01/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Как проблему т осейчас решать, у меня отвалилась одна ВМ из за этой фигни.... ЧТо обновлять что делать то?
     
  • 1.219, Аноним (219), 13:20, 01/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Подскажите, как заставеть на 7-ке браузеры открывать сайты теперь?
     
     
  • 2.220, DmA (??), 14:50, 01/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Установить сертификат ISRG Root X1 https://crt.sh/?d=9314791 в доверенные корневые!
     

  • 1.224, Аноним (3), 08:48, 02/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Pocket подписанный амазоновскими сертификатами теперь тоже недоступен на старых устройствах. Ни из браузера, ни через их прилагу
     
  • 1.226, Аноним (3), 12:50, 02/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, как это опеннет настроился так хитро, что его цепочка летэнкрипта работает на 4.0.4 андроиде, а другие сайты нет даже с учётом --preferred-chain "ISRG Root X1"
     
  • 1.227, Аноним (227), 21:25, 02/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    хромиум на винде7сп1 отказалсо казать много чего в хттпс, кроме гитхаба и тытрубы)))
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру