Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Объявлены устаревшими 11 методов верификации доменов для TLS-сертификатов"	+/–
Сообщение от opennews (??), 15-Дек-25, 19:34
Ассоциация CA/Browser Forum, выступающая площадкой для совместного принятия решений с учётом интересов производителей браузеров и удостоверяющих центров, утвердила новые требования к организациям, выдающим сертификаты для HTTPS. В новых требованиях объявлены устаревшими 11 методов проверки владения доменом, для которого выдаётся сертификат. Прекращение поддержки устаревших методов будет производиться поэтапно до марта 2028 года. В качестве причин прекращения поддержки отмечается фокусирование внимания на автоматически  выполняемых и криптографически верифицируемых методах проверки... Подробнее: https://www.opennet.me/opennews/art.shtml?num=64426
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
Сообщение от Аноним (1), 15-Дек-25, 19:34
А это чё то меняет в общем?
Ответить | Правка | Наверх | Cообщить модератору

	6. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+2 +/–
	Сообщение от Аноним (6), 15-Дек-25, 19:57
	Похоже, будет требоваться установка криптобота на сервер.
	Ответить | Правка | Наверх | Cообщить модератору

	7. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+1 +/–
	Сообщение от Аноним (1), 15-Дек-25, 19:59
	Типа certbot?
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Tty4 (?), 15-Дек-25, 21:39
	Это значит, что старые сайты с контентом теперь придется обновить или стереть знания нахрен. Почему кто-то решил, что контент требует защиты при доставке?
	Ответить | Правка | Наверх | Cообщить модератору

2. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+2 +/–
Сообщение от Анонимище (?), 15-Дек-25, 19:36
Не увидел в списке подтверждение по телеграфу
Ответить | Правка | Наверх | Cообщить модератору

	3. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+2 +/–
	Сообщение от Dzen Python (ok), 15-Дек-25, 19:39
	Телетайпу!
	Ответить | Правка | Наверх | Cообщить модератору

	15. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+1 +/–
	Сообщение от specter (ok), 15-Дек-25, 20:16
	Почтовыми голубями
	Ответить | Правка | Наверх | Cообщить модератору

4. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+4 +/–
Сообщение от Аноним (4), 15-Дек-25, 19:40
Как же теперь в Японии без факсов будут сертификаты обновлять? Бида-бида.
Ответить | Правка | Наверх | Cообщить модератору

	8. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	–2 +/–
	Сообщение от Аноним (6), 15-Дек-25, 19:59
	> Как же теперь в Японии Зачем им интернет вообще? Они всё в бумажном виде делают. Иногда на дискетах было, но те кончились.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+1 +/–
	Сообщение от Аноним (18), 15-Дек-25, 20:22
	Ну например со скоростью интернета у них вполне нормально: https://en.wikipedia.org/wiki/List_of_countries_by_Internet_...
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

5. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	–1 +/–
Сообщение от Аноним (-), 15-Дек-25, 19:43
А почтовых голубей дропнули в предыдущий раз? Или все еще в ходу? Это ж рабочие столы потом отмывать приходится...
Ответить | Правка | Наверх | Cообщить модератору

	30. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+1 +/–
	Сообщение от Аноним (18), 15-Дек-25, 21:08
	Голубь не пройдёт проверку: https://www.cloudflare.com/ru-ru/ssl/encrypted-sni/
	Ответить | Правка | Наверх | Cообщить модератору

10. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+5 +/–
Сообщение от Аноним (10), 15-Дек-25, 20:08
Цифровой гулаг он такой. Главное что LetsEncrypt от товарища из АНБ со времянем жизни в пол наноскунды все так же моден и молодёжен. Большой брат уже изготовил... ну это certbot, для каждого "свободного" гражданина. Интересно когда они начнут требовать установку скажем виндоус-дефендера на каждый сервер для еще лучшей верификации того, что получатель это "добропорядочный" ра... пользователь?
Ответить | Правка | Наверх | Cообщить модератору

	23. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (18), 15-Дек-25, 20:35
	>Главное что LetsEncrypt от товарища из АНБ Ну ставь от нашего товарища: - https://opennet.ru/56830-tls - https://habr.com/ru/articles/968218/
	Ответить | Правка | Наверх | Cообщить модератору

	36. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (36), 15-Дек-25, 21:33
	Ставишь самоподписной сертификат и тебе никто не указ.
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	50. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от aname (ok), 15-Дек-25, 23:04
	Ты узнаешь об этом из новостей Опеннета
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

11. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+4 +/–
Сообщение от Аноним (11), 15-Дек-25, 20:09
Контактные данные, которые получены с проверкой DNSSEC, всё ещё оставят валидными методами связи? Или этот CA картель помимо акции "обновляй свой сертификат каждый день, а то нам тебя отзывать неудобно если ты нам не понравился" решили ещё и методы обновления заколотить до "вот тебе curl certbot | sudo bash -, других способов получить сертификат мы тебе не дадим"?
Ответить | Правка | Наверх | Cообщить модератору

	25. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+1 +/–
	Сообщение от нах. (?), 15-Дек-25, 20:44
	Ну похоже что именно в этом и цель. Уничтожить все методы, которые _действительно_ подтверждали владение доменом и которые не получится использовать перехватив твой траффик на пару секунд. Возможность проверки сертификата (а не слепой веры в CA) уже успешно уничтожили. И все под видом заботки о безопастносте, видидити, видити - оно целый один раз сломалось в никому ненужном домене! Запритить! (что LE не один раз выдавала сертификаты кому попало - разумеется этодругое)
	Ответить | Правка | Наверх | Cообщить модератору

	52. Скрыто модератором	+/–
	Сообщение от nebularia (ok), 15-Дек-25, 23:26
	> вот тебе curl certbot | sudo bash - И не забудь дать доступ на запись к DNS
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

12. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+1 +/–
Сообщение от 12yoexpert (ok), 15-Дек-25, 20:11
цифровой гулаг всё ближе. подумываю о переходе на http
Ответить | Правка | Наверх | Cообщить модератору

	14. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+1 +/–
	Сообщение от Аноним (11), 15-Дек-25, 20:13
	Скорее на https с самоподписанным сертом. Последний можно хоть в DNS запись добавить для удобства.
	Ответить | Правка | Наверх | Cообщить модератору

	16. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+2 +/–
	Сообщение от Аноним (16), 15-Дек-25, 20:18
	А как?
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (11), 15-Дек-25, 20:26
	> А как? Ну, самый тупой вариант, просто потому-что я не изучил вопрос - в TXT запись в base64 закодировать. Почти так же, как cloudflare свой ECH ключик распространяет.
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от нах. (?), 15-Дек-25, 20:49
	она его криптографически-надежно распространяет. Минусы этого решения - отсутствие хотя бы одного днс-сервера без историй уязвимостей в криптографической части и при этом пригодного в качестве собственно сервера.
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (11), 15-Дек-25, 21:11
	Хз в плане проблем с криптой, мне кажется подписывающую часть можно вообще вынести в отдельный скрипт который openssl дёргать будет, всё равно эти записи кэшируются и обновляются довольно редко. А в плане удобства... это да, настроить BIND так, чтобы потом ещё был уверен, что всё правильно, достаточно тяжело.
	Ответить | Правка | Наверх | Cообщить модератору

	43. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от нах. (?), 15-Дек-25, 22:04
	настроить bind, если умеешь - несложно. Сложно успеть его поапгрейдить до того как поломают. Причем ВСЕ последние серьезные проблемы - именно в его крипточасти. Если ты не пихаешь в днс ненужно-шифрование - все они обошли бы тебя стороной. К сожалению, даже с более замороченными в настройке и якобы-надежными authoritative - все тоже так себе именно вот в месте где они контактируют с криптой. (В том числе еще и потому что это, конечно же, openssl)
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+1 +/–
	Сообщение от нах. (?), 15-Дек-25, 20:46
	> Скорее на https с самоподписанным сертом. замумукаешься обновлять каждые 25 минут. А сертификаты сроком жизни 30 - запритить как небезопастные. Так что я тоже уже за http без s.
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

	34. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (11), 15-Дек-25, 21:15
	> замумукаешься обновлять каждые 25 минут. А сертификаты сроком жизни 30 - запритить как небезопастные. Адекватные браузеры всё ещё позволяют нажать "запомни этот серт для этого домена". Всё остальное, что не позволяет пользователю разрешить вручную/ перенастроить разрешённые серты - это и так уже потерянная история.
	Ответить | Правка | Наверх | Cообщить модератору

	44. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от нах. (?), 15-Дек-25, 22:08
	> Адекватные браузеры всё ещё позволяют нажать "запомни этот серт для этого домена" А чего толку-то если он каждый день новый будет? (А что даже адекватные смогут и захотят бороться с запретом долгоживущих сертификатов - это вряд ли. Да и его быстренько запихнут в код непосредственно openssl/nss/кто там еще так что хрен и обойдешь.)
	Ответить | Правка | Наверх | Cообщить модератору

	46. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (11), 15-Дек-25, 22:13
	С чего бы мой самоподписанный сертификат будет обновляться чаще, чем раз в год или два? Мне самого себя подтверждать и автоматически протухать не нужно. А другого нормального способа сделать безопасный канал (который может мне понадобится не только для публичной информации, но и той, для которой хочетелось бы хоть какой-то аутентификации, даже по Basic Auth) в браузере нету, только TLS.
	Ответить | Правка | Наверх | Cообщить модератору

	48. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+1 +/–
	Сообщение от нах. (?), 15-Дек-25, 22:37
	> С чего бы мой самоподписанный сертификат будет обновляться чаще, чем раз в год или два? ERR_CERT_VALIDITY_TOO_LONG без кнопки продолжить.
	Ответить | Правка | Наверх | Cообщить модератору

	49. Скрыто модератором	+/–
	Сообщение от Аноним (11), 15-Дек-25, 22:54
	А, о как. Вот уроды
	Ответить | Правка | Наверх | Cообщить модератору

	39. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от 12yoexpert (ok), 15-Дек-25, 21:47
	домашние странички вполне себе лепят без https http://xahlee.info/w/why_no_https.html я последнее время на таких старых добрых блогах и провожу
	Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

	33. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (33), 15-Дек-25, 21:13
	хромог http уже не открывает вроде, не?
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	38. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+3 +/–
	Сообщение от 12yoexpert (ok), 15-Дек-25, 21:39
	а не пофиг, что там не открывает браузер без uBO?
	Ответить | Правка | Наверх | Cообщить модератору

	45. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+1 +/–
	Сообщение от нах. (?), 15-Дек-25, 22:12
	Открывает, при многих если. Включая но не ограничиваясь - отсутствием на том же хосте на том же адресе ДРУГОГО сайта с поддержкой https. Ну, собственно, если хост твой, то этой проблемы у тебя и не будет. А вот вставить картинку выложенную у себя, на сайт с https - опа, уже не получится. Это небебебебезопастно и овцы не должны сами решать какие картиночки им можно видеть а какие нет.
	Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

	42. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (42), 15-Дек-25, 21:55
	Переходи на гипертекстовый фидонет.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

22. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+2 +/–
Сообщение от Аноним (22), 15-Дек-25, 20:31
>была продемонстрирована возможность получения TLS-сертификатов для чужих доменов в зоне ".mobi" путём захвата устаревшего WHOIS-сервиса регистратора данной доменной зоны. Может, все таки, проблема не в процедуре верификации, а в захвате WHOIS-сервиса
Ответить | Правка | Наверх | Cообщить модератору

51. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
Сообщение от nebularia (ok), 15-Дек-25, 23:22
По классике, убрали всё самое простое и полезное. Технологии всё больше идут по пути усложнения и пригодности для использования только большими корпами. Как это у вас до сих пор нет кластера кубернетес со 100500 нужными сервисами? Хрен вам, а не сертификат.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема