Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, анонсировал (https://letsencrypt.org/2017/07/06/wildcard-certificates-com...) предоставление возможности использования сертификатов, охватывающих группу поддоменов по маске (например, *.example.com). Сертификаты с масками можно будет генерировать начиная с января 2018 года, в рамках ввода в эксплуатацию второй версии API ACME.Для подтверждения доменов, для которых будут запрашиваться сертификаты с маской, первое время будет допустима только верификация через DNS, подтверждающая владение базовым доменом. В дальнейшем не исключена реализация и других методов верификации. Создатели Let's Encrypt надеются, что подобная возможность, часто упоминаемая в пожеланиях пользователей и заметно упрощающая работу при задействовании на сайте нескольких поддоменов, будет способствовать достижению цели проекта - 100% охват сайтов протоколом HTTPS (сейчас доля сайтов с HTTPS составляет 58%).
URL: https://letsencrypt.org/2017/07/06/wildcard-certificates-com...
Новость: http://www.opennet.me/opennews/art.shtml?num=46817
Отлично! Даёшь шифрование в массы!
Очень нужная фича.
давно бы валидацию через днс сделали бы с оговоркой over dnssec вот и простимулировалибы и защищённый днс
> давно бы валидацию через днс сделали быЭээ?
https://serverfault.com/questions/750902/how-to-use-lets-enc...
годнота
отлично
ох лол, так что же теперь всякие комодо теперь не нужны?
Extended Validation Let's Encrypt не предоставляет (и вряд ли когда-то будет), поэтому — увы, но полностью заменить глобальные CA пока невозможно :-(.
Технически - не нужно :) А так - дураки должны платить, всё правильно.
А, кроме понта, зачем они нужны?Они держатся только на доверии к проверкам со стороны CA, а доверия уже давно нет, к тому же CA уже давно один другого скушали, осталось совсем немного, и они - уже потеряли доверие.
Т.е. выписывать серт "с зеленой полосой" можно, конечно (смотрится симпатично в браузере), но реально все понимают, что полоса эта мало к безопасности добавляет.
Реально если ваш SBOL сломали спецслужбы, то скорее всего вам лично ничего не грозит(кроме военных действий и краха экономики), а вот если это неизвестный друх из разряда высококвалифицированных воришек, ваши накопления могут прилично пострадать.
> А, кроме понта, зачем они нужны?
> Они держатся только на доверии к проверкам со стороны CA, а доверия
> уже давно нет, к тому же CA уже давно один другого
> скушали, осталось совсем немного, и они - уже потеряли доверие.
> Т.е. выписывать серт "с зеленой полосой" можно, конечно (смотрится симпатично в браузере),
> но реально все понимают, что полоса эта мало к безопасности добавляет.добавляет. при этом CA звонит доверенному лицу и спрашивает подтверждение того, что именно его организация подала запрос на генерацию сертификата
А польза-то где?
> А польза-то где?в больших организациях кто-то должен контролировать выдаваемые сертификаты, т.к. как правило сертификатов и систем очень много и сразу несколько человек имеют доступ до веб-интерфейса заказа сертификатов у CA. теоретически возможна ситуация, что кто-то из них выпустит сертификат для своих корыстных целей.
> А, кроме понта, зачем они нужны?Ты когда карточкой что-нибудь оплачиваешь, тебе не интересно знать, делаешь ты это на сайте банка или каком-то левом?
>> А, кроме понта, зачем они нужны?
> Ты когда карточкой что-нибудь оплачиваешь, тебе не интересно знать, делаешь ты это
> на сайте банка или каком-то левом?мало того, когда увольняется сотрудник, имевший доступ к закрытым ключам сертификатов - инициируется процесс перевыпуска всех сертификатов, к которым он имел доступ. Так делается у нас в банке.
Копии закрытых ключей хранятся на ноутбуке, а ноутбук лежит в сейфе. доступ к которому осуществляется через начальника управления. И этот ноутбук не включается ни в какую сеть! т.е. работа на нем исключительно без сети!
Эх и раздолье фишинговым сайтам будет…
Какая разница, фишинговый сайт или нет? Let's Encrypt просто даст возможность защищённого соединения с ним.
Всякие хромоги к таким фишингам подписывают слово «Надёжный», простые пользователи ведутся на это :(
Будут проблемы - подкрутят хромоги, делов-то.
Простые пользователи ведутся на все, что угодно.Был такой нашумевший фейковый антивирус для мака, mac defender вроде назывался. Самый обычный фейковый антивирус, только первый, кажется, для os x, и распространялся стандартыми средствами - веб-страничка с нарисованным интерфейсом ОС, вирус-алертами и большая кнопка "вылечить".
Ну так вот, первое время распространители этой разводиловки даже не стали стараться рисовать интерфейс макоси. Даже для мака показывали нарисованный ранее интерфейс винды, с проводником, диском C:, обратными слешами и кнопкой "пуск", единственное отличие - что для макоси отдавали маковый бинарь. И что думаете? Полмиллиона установок за неделю.
А вы говорите, в хроме там "надежный".
Желательно ссылку приложить к этому словесному потоку
Достаточно набрать в google: mac defender fakehttps://support.apple.com/en-us/HT202225
Страницу загрузки я думаю давно уже убили.
Есть ещё wikipedia:
> Всякие хромоги к таким фишингам подписывают слово «Надёжный», простые пользователи
> ведутся на это :(Ну это проблема 1) перевода (в английском - Secure, что немного другое значает), и 2) пользоваталей (которым надо голову включать, потому что никто за них не знает, что им надо - мало ли, может, юзер сам на online.sderbank.ru вместо online.sberbank.ru зашел?)
В общем, не надо на больную голову валить. Тем более что и сейчас никто хацкерам не мешает купить домен (и серт на него) "sderbank.ru", причем хоть обычный, хоть wildcard.
> Тем более что и сейчас никто хацкерам не мешает купить домен (и серт на него)
> "sderbank.ru", причем хоть обычный, хоть wildcard.не мешает. А вот EV - помешает то, что при этом надо предъявлять правдоподобные документы (и чаще всего - на бумаге, никаких факсов), и читать их будет вполне себе такой настоящий нотариус - соответственно, еще никаких денег-паролей не сперев, ты уже вешаешь на себя статью о подделке документов, ну, или показываешь свои настоящие документы, в результате появляется невиртуальная жопа, за которую тебя могут взять.
Происходит все это небыстро и неавтоматически, поэтому велик риск вообще не встретить на свободе письмо счастья с подтверждением выдачи сертификата. Проще у того лоха отжать мобилу (вместе со всеми банками-онлайн, хехехе)
> Эх и раздолье фишинговым сайтам будет…let's Encrypt это про сертификат. Про защиту от фишинга не к ним. Там голова поди нужна :D.
А как с геодоменами?
Геодомены - в смысле company.ru и company.de?
Их ограниченное количество и меняются они нечасто, так что можно прописать их в subjectAltName. Я думаю, wildcard в такой ситуации вообще вряд ли поможет - было бы очень странно, если бы стандарт X.509 позволял бы указывать шаблон вида company.*.
>... можно прописать их в subjectAltNameА разве LE понимает SAN-ы?!?!? 8-о
Причём тут вообще LE?
Их Ваш openSSL "понимать", а точнее поддерживать должен.
Внезапно https://community.letsencrypt.org/t/frequently-asked-questio...
Ага, спс., проспал :)
геодомены в смысле msk.ru, spb.ru
> геодомены в смысле msk.ru, spb.ruИмхо, проблемы быть не должно, так как вебсерверы обслуживающие @.msk.ru и my.msk.ru могут быть разными, а следовательно использовать разные пары ключ/сертификат.
> геодомены в смысле msk.ru, spb.ruЕсли владелец msk.ru подписал себе *.msk.ru, то это уже вопрос к разместившему там поддомен, зачем ему такие риски...
p.s. и да на хостинге можно из гипервизора подписать все крутящиеся на сервере домены на себя, но это уже проблема другого уровня правда?
>... можно прописать их в subjectAltNameА разве LE понимает SAN-ы?!?!? 8-о
> А разве LE понимает SAN-ы?!?!? 8-окоментом выше дали ссылочку на фаг
Can I get a certificate for multiple domain names (SAN certificates)?
Yes, the same certificate can apply to up to 100 different names using the Subject Alternative Name (SAN) mechanism. The resulting certificates will be accepted by browsers for any of the domain names listed in them.
И увидел б-г, что это хорошо.
Отличная новость!
Даже не смотря на то, что мне оно и не нужно.
Мне бы вот это https://community.letsencrypt.org/t/ed25519-with-poly1305-ch... пригодилось, в любом случае, уверен, что LE это реализует раньше остальных CA.
мне эта хрень с форсингом хттпс не нравится тем, что серт отзывать может не только вледелец домена, но и другая сторона. в будущем, когда браузеры перестанут работать с хттп, т.н. корпорации бобра могут воспользоваться этим положением для борьбы с неугодными.
Все верно, еще каких-нибудь 10-15 лет и приплыли. Как и бесконечный форсинг ipv6. Очевидно, чекистам нужен контроль за каждой вашей кофеваркой, другого применения ему нету.
Будет несколько ЦА в разных странах.
> мне эта хрень с форсингом хттпс не нравится тем, что серт отзывать
> может не только вледелец домена, но и другая сторона.Если для вас это так важно, используйте свой CA, его никто не сможет отозвать.
> Если для вас это так важно, используйте свой CA, его никто не
> сможет отозвать.к сожалению, мой тикет все еще 'INVALID'.
https://bugzilla.mozilla.org/show_bug.cgi?id=647959
- может, переоткроете? Правда, кто будет платить webtrust.org ? (очаровательной организации, неспособной настроить сайт на собственном корневом домене, но подписанной проверять профпригодность всех остальных, ага)(надеюсь, очевидно, почему использовать self-signed - плохая, никуда не годная идея? )
> (надеюсь, очевидно, почему использовать self-signed - плохая, никуда не годная идея? )Честно говоря, нет. Я про случай, когда вам одному нужно ходить на свои ресурсы.
Хорошее начало, теперь подумай кому выгодно утянуть в летц энкрипт клиентов других ЦА.
Народ, кто каким альтернативным клиентом Let's Encrypt пользуется? Опишите, каким и почему именно он.
https://github.com/hlandau/acme
Перебрал методично все альтернативные клиенты, что были представлены ссылками на сайте LE, этот понравился больше всех и удобством, и гибкостью настройки. Использую у себя и у всех клиентов.
https://github.com/lukas2511/dehydrated
главная фича это то что это чистый sh
> https://github.com/lukas2511/dehydrated
> главная фича это то что это чистый shА что про этот скажите?
https://github.com/Neilpang/acme.sh
Это всё хорошо и радостно. Зажравшихся CA давно пора было прищемить. И скоро 90% интернетов будет работать на сертификатах Let's Encrypt. И опять все яйца будут в одной кошёлке. Когда ж это кончится, а?
когда le наебнётся и все перейдут на namecoin
То есть никогда. Так и запишем.
Моё мнение, закрытые ключи уже давно у АНБ, если вообще не они генерировали эти самые ключи. Доверия к let's encrypt ноль.
Во-первых, подобное можно вообще про любой CA сказать, здесь отличие только в бесплатности и автоматизации (читай - отсутствии мороки).Во-вторых - и что? На один случай, когда прятаться надо от спецслужб сотни тысяч - когда прятаться надо от обычного ворья.
В-третьих - если у тебя с АНБ проблемы в любом случае надо что-то покруче, чем стандартное браузерное шифрование.
> Во-первых, подобное можно вообще про любой CAочевидно, про wosign - нельзя, китайские спецслужбы оказались явно достаточно компетентны, чтобы не пускать конкурентов.
(а комода, помнится, жила/живет в GB?) У US, внезапно, нет эксклюзивного права на создание CA.> Во-вторых - и что? На один случай, когда прятаться надо от спецслужб сотни тысяч - когда
> прятаться надо от обычного ворья.от обычного ворья очень плохо прятаться за скриптованной системой, хранящей ключи в открытом виде прямо на сервере и подтверждающей владение тупым автоматическим запросом - для обычного ворья как раз гораздо проще и понятнее получение физического доступа к серверу/взлом/кража домена, чем встраивание в магистральные каналы операторов. Угадайте, для кого как раз обычнее и доступнее - второе?
> В-третьих - если у тебя с АНБ проблемы
у тебя могут быть проблемы не с самой АНБ, а с вшивым мексом-аутсорсером в фирме-контрактере фирмы-аусторсера АНБ, по совместительству работающим на местную банду. Ну или все то же самое - с ФСБ, и не мекс, а узбек, и не аутсорсер, а бандит под "крышей" (или кто-то, оплативший его услугу).
Напоминаю, что наш друг Сноуден примерно таким и являлся (только работал не на местную банду, а на ФСБ. Ну или "и на ФСБ - тоже подрабатывал").
> Моё мнение, закрытые ключи уже давно у АНБ, если вообще не они
> генерировали эти самые ключи. Доверия к let's encrypt ноль.вы процедуру выпуска сертификатов вообще знаете? закрытые ключи генерируются исключительно по время генерации запроса на выдачу сертификата и хранится он только и исключительно у владельца того, кто генерирует запрос на выпуск сертификата.
не нужно выдумать того, в чем вы не разбираетесь
Да вы похоже тоже так себе эксперт. Речь идет о ключе которым подписан корневой сертификат. Такой ключ позволяет выпустить любую цепочку.
> Да вы похоже тоже так себе эксперт. Речь идет о ключе которым
> подписан корневой сертификат. Такой ключ позволяет выпустить любую цепочку.есть более простые способы, просто свой CA сертификат распространить через windows обновление (обновления доверенных корневых сертификатов). Нафиг АНБ геморрой с закрытыми ключами, доступ до чего-то получать. будьте проще.
и выписывай хоть любой сертификат
У АНБ точно так же могут быть ключи и от Verisign, Thawte и прочих комод. А если нет разницы, зачем платить больше?