Некоммерческий удостоверяющий центр Let’s Encrypt (https://letsencrypt.org), контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, опубликовал (https://letsencrypt.org/2017/12/07/looking-forward-to-2018.h... сообщение, обобщающее итоги 2017 года и рассказывающее о планах на следующий год. В 2017 году доля запросов страниц по HTTPS увеличилось с 46% до 67%. Проектом Let's Encrypt выдано (https://letsencrypt.org/stats/) 46 млн сертификатов, охватывающих около 61 млн доменов, что составляет (https://nettrack.info/ssl_certificate_issuers.html) примерно 37% от всех выданных сертификатов. В следующем году Let’s Encrypt намерен удвоить показатели и довести число выданных сертификатов до 90 млн, а число охваченных доменов до 120 млн.
В 2018 году также планируется представить вторую версию протокола ACME и обеспечить возможность использования сертификатов, охватывающих группу поддоменов по маске (например, *.example.com). Сертификаты с масками можно будет генерировать начиная с 4 января 2018 года, в рамках начала тестирования API ACMEv2. Полноценный запуск нового API и масок запланирован на 27 февраля. Позднее в 2018 году планируется ввод в эксплуатацию корневого и промежуточных сертификатов, созданных с использованием алгоритма ECDSA (https://ru.wikipedia.org/wiki/ECDSA), более эффективного, чем ныне используемый RSA.
Текущая серверная инфраструктура Let's Encrypt обрабатывает примерно 2 миллиарда запросов в день. Оборудование размещено в двух датацентрах и все используемые серверы, хранилища, HSM, коммутаторы и межсетевые экраны занимают 70 юнитов в стойках. В следующем году для увеличения производительности и экономии энергии планируется заменить 10 серверов, занимающих по 2 юнита (2u), на 20 одноюнитовых серверов (1u).
Работу сервиса обеспечивают 5 постоянно трудоустроенных сотрудников, в 2018 году планируется нанять ещё одного человека. Запланированный бюджет на 2018 год составит 3 млн долларов, что всего на 13% больше, чем бюджет 2017 года. Средства собираются в основном за счёт финансовой помощи от крупных спонсоров, таких как Mozilla, Akamai, OVH, Cisco, Google, Electronic Frontier Foundation и Ford Foundation.URL: https://letsencrypt.org/2017/12/07/looking-forward-to-2018.html
Новость: http://www.opennet.me/opennews/art.shtml?num=47713
Они её будут делать только через валидацию по dns. :-(
> Они её будут делать только через валидацию по dns. :-(А как ещё-то проверить, что у тебя есть права на домен?
По http.
Или по наличию доступа к базовому домену (да знаю, бывают случаи, когда базовый домен под www, и при этом тем кому доступен этот домен не должны иметь возможность зарегистрировать wildcard).
Или по разрешающей записи, по аналогии с CAA-записью, которая будет позволяет владельцу указанного домена или поддомена регистрировать wildcard.
> По http.Это чтобы АНБ могло официально выписывать себе сертификаты на все что угодно, сделав MITM на транзитной циске?
АНБ и так может выкатывать себе все что угодно. Не забываем, в чем состоит суть самой модели CA.
И правильно. Другие способы валидации зло.
> Они её будут делать только через валидацию по dns. :-(а почему это вас расстраивает?
с этим есть хоть какие-то проблемы?
Тем что мне охота специально для этого держать bind, на том же самом сервере, на которому меня web/mail сервера.
DNS-сервер должен находится не то что на отдельном сервере, а вообще в другом месте земного шара, это же система валидации, как я понял, предлагает прописать в настройках домена DNS-сервера самого себя, и возложить на локальный бинд ответственность за этот домен.
В это схеме перехватчик получит контроль сразу и над сервером, и над доменом сразу с одного перехваченного узла.
А сделать какое-то ограниченное управление к тому самому днс-серверу на краю земли - не судьба? Ну ладно, и без тебя сделают, если оно хоть кому-то надо
> А сделать какое-то ограниченное управление к тому самому днс-серверу на краю земли
> - не судьба? Ну ладно, и без тебя сделают, если оно
> хоть кому-то надоРегистраторам доменов, бесплатно предоставляющих свои DNS-сервера, предоставлять мне ещё интерфейс для DNS-валидации, точно будет не судьба. :-(
С Yandex DNS / ПДД через API полностью автоматизируется, например в getssl
Ну будешь выбирать регистратора (или провайдера DNS) который это умеет. Если уж тебе нужны вайлдкард-сернтификаты это в любом случае подразумевает некие объёмы и разборчивость, а чаще - вообще свои DNS. Да и они зачешутся, куда денутся. Или на худой конец будешь жить так, как живёш сейчас, никто у тебя ничего не забирает.
> Ну будешь выбирать регистратора (или провайдера DNS) который это умеет. Если уж
> тебе нужны вайлдкард-сернтификаты это в любом случае подразумевает некие объёмы и
> разборчивость, а чаще - вообще свои DNS. Да и они зачешутся,
> куда денутся. Или на худой конец будешь жить так, как живёш
> сейчас, никто у тебя ничего не забирает.Если они подтянутся, то будет здорово.
Да, я и сейчас нормально живу, только вместо нескольких десятков файлов на каждом сервере может быть только 3, а так сам вайлдкард мне и впрямь не нужен.
И что с того? Всё равно можно будет автоматизировать
А когда там у них в планах снова обновить лицензию. чтобы снова к чертям слетела вся автоматизация обновления на всех серверах?
Ты о чём?
> Ты о чём?Каждый раз при обращении по протоколу ACME нужно передавать url текущей лицензии, как знак твоего согласия с этой лицензией.
Я по началу ничего подозрительного не заподозрил, ну надо, значит надо.
И вот вчера я заметил, что на моих серверах не обновляются сертификаты и обращение завершается 400-какой-то ошибкой и выводом url-ей лицензий, на которые я не обратил внимания, подумал это просто шапка.
Думал что возможно что-то связанное с недавним переходом на openssl 1.1.0g.
А оказалось, он буквально хочет, чтобы я при авторизации передавал ему url свежайшей лицензии, то есть https://letsencrypt.org/documents/LE-SA-v1.2-November-15-201... без которого сервис отказывает мне в обслуживании!
Гениально!?
Последние 6 месяцев такая проблема, я подумал, что LE решили устроить страдание таким образом.
Ну а что, оригинальная у них антибот-капча.
Не знаю, certbot из репы как работал, так и работает. Последний раз обновлялся в июле.
Ключ --agree-tos не спасёт отца русской демократии?
> А оказалось, он буквально хочет, чтобы я при авторизации передавал ему url
> свежайшей лицензии, то есть https://letsencrypt.org/documents/LE-SA-v1.2-November-15-201...
> без которого сервис отказывает мне в обслуживании!dehydrated ничего такого не просил и не просит
> Гениально!?а то!
Не забывайте регулярно обновлять ваши скрипты, делающие хз что, из нашего единственно-верного репо.
Иначе есть риск, что ваши сертификаты внезапно превратятся в тыкву, а http-то вы уже героически победили.
Там комментарием выше перед тобой, как минимум, кроме единственно-верного ещё dehidrated помянули как вполне работающий
> Там комментарием выше перед тобой, как минимум, кроме единственно-верного ещё dehidrated
> помянули как вполне работающийесли дурацкая лицензия действительно часть апи - то, значит, либо тоже "не забывайте обновлять, из другого репо", либо он там сам к чему-то делает запрос, что подсказывает ему, какая нынче лицензия правильная.
в общем, так себе идеология.
> Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществомЭто прямое враньё, Let’s Encrypt контролируется корпорациями.
А можно пруфы?
Легко, смотри последнее предложение в новости: "Средства собираются в основном за счёт финансовой помощи от крупных спонсоров, таких как Mozilla, Akamai, OVH, Cisco, Google, Electronic Frontier Foundation, IdenTrust, Ford Foundation и Internet Society.". Хотя ты можешь продолжать наивно верить, что те, кто платят, не заказывают музыку.
Это не делает ее не некоммерческой организацией. Знаешь кто лучше чем они? Напиши
Думаешь, некоммерческая орг-я, - значит "хиппи-чудачки, работающие за идею"?"Некоммерческая" у них только схема ухода от налогов (и проверки от государства на предмет характера выполняемых сотрудниками работ). С механизмом управления тип учреждения не связан от слова "никак". Можно создать PR-организацию, которая за твои деньги будет поливать твоих конкурентов г-ном (Microsoft, например, так и делает), и она тоже сможет гордо называть себя "некоммерческой": доходов нет, дивиденты никому не выплачиваются.
До тех пор, пока от компании нет прямой прибыли, некоммерческим может быть что-угодно, лишь бы удалось убедить отвечающих за присвоение ярлычка бюрократов.
всё правильно - на самом деле Let’s Encrypt распространяет не сертификаты, а ... трояны; причём эти трояны используют технологию 25-го кадра, зомбируя тех, кто их использует; судя по отчёту, зомби-бот уже превысил 40 млн
> Думаешь, некоммерческая орг-я, - значит "хиппи-чудачки, работающие за идею"?А ты именно так представляешь себе "сообщество"? Ну так у меня для тебя плохие новости…
Ты не поверишь, но Free Software Foundation тоже существует за счёт финансовой помощи от крупных спонсоров, таких как IBM, HP, Nec, Alibaba и др. https://www.fsf.org/patrons Значит ли это, что он тоже "контролируется корпорациями"?
Безусловно, значит. Вопрос только в степени этого контроля.
Управляется сообществом корпораций.
> Проектом Let's Encrypt выдано (https://letsencrypt.org/stats/) 46 млн сертификатов
> Текущая серверная инфраструктура Let's Encrypt обрабатывает примерно 2 миллиарда запросов в день.Очень интересно, что же составляет большую часть этих запросов. Судя по цифрам, это не выдача и обновление сертификатов.
OCSP?
Это Mozilla виноваты, что Firefox до сих пор дёргает OCSP-серверы на каждый полученный сертификат. Chrome вместо этой фигни давно использует централизованный чёрный список (и правильно делает).Сама идея OCSP (заставить клиента перед отзывом сертификата организации вежливо интересоваться у CA этой организации) — полный швах, не выдерживающий столкновения с реальностью.
Освойте уже Stapling и прекратите ныть.
Выраженный синдром утенка: "все говорят: делай stapling, значит и мне надо".Stapling, как и OCSP – бесмысленная трата трафика. Ок, мой сервер сломали. Или ещё лучше – сервер моего CA. Первый запрашивает у второго OCSP и отправляет ответ пользователю. Стоп, что???
Или ещё лучше – абстрактная компроментация ключа в вакууме. Чтобы OCSP-ответ о ней сообщил нужно чтобы о ней узнал CA. Внимание вопрос: в чём здесь профит OCSP? С задержкой сообщить пользователю то, про что он и так должен от меня узнать? Так к этому моменту я уже должен выкатить новый сертификат.
Нет и не может быть сценария, когда OCSP приносит реальную пользу.
> Stapling, как и OCSP – бесмысленная трата трафика. Ок, мой сервер сломали.
> Или ещё лучше – сервер моего CA. Первый запрашивает у второгоне читал, но осуждаю?
То есть ни область применимости, ни механизм работы - ни разу не поняты, но мнение - имеешь?> Или ещё лучше – абстрактная компроментация ключа в вакууме. Чтобы OCSP-ответ о
неабстрактная - ломанули твой сервер, и ключики тютю.
> ней сообщил нужно чтобы о ней узнал CA. Внимание вопрос: в
ну вот узнал, пометил как невалидный, и дальше что? Пользователь ничего об этих отметках не знает, списки revoked certs не грузятся уже сто лет. И если попадает, внезапно, не к тебе, а к тому самому, которому достались ключики (dns poisoning там, или к твоему апстриму кто-то присосался) - наивно верит, что у него защищенная сессия с твоим сайтом.
ocsp эту проблему решает. stapling решает проблему досужего любопытства CA, что у тебя там за юзеры и откуда взялись.
Ещё раз – чтобы OCSP-ответ сообщил пользователю, что "дело швах" *владелец сертификата* должен сообщить об этом CA.Т.е. использование OCSP позволит клиенту узнать о проблеме только если о ней и так известно основным заинтересованным лицам (а не заинтересованный в чёрном пиаре админ просто забьёт на ревокацию).
Если о проблеме известно, а злоумышленник вволю "подсасывается к апстриму" и "отравляет DNS", то владельцу сайта нужно делать публичное заявление о взломе, а пользователю – искать политического убежища где-нибудь в Уганде.
А то ведь такой злоумышленник может и от управления сертификатом отлучит (и продолжать "подсосавшись к апстриму" получать новые сертификаты через HTTP -challenge CA). И через DNS перенаправить пользователя на свой сервак, для которого у него есть *валидный* сертификат.
И OCSP при этом поможет как мёртвому припарка.
Если ваш сайт интересен таким злоумышленникам, самый надёжный способ — раструбить про взлом и исправить причины. А OCSP — удобное оправдание для не желающих это делать, не более.
Кто боится давления со стороны Lets по блокировке неугодных сайтов или МИТМ атакам, то это же tcp/ip -всегда можно сделать некую автономную структуру внутри определённой территории (дома,села, города или района) без всякой цензуры!
> всегда можно сделать некую автономную структуру внутри определённой территории (дома,села, города или района) без всякой цензуры!и как её сделать?
> и как её сделать?Очевидно, на пауэр шелле.
46 миллионов сертификатов, 3 млн долларов...
Это 6,5 центов за сертификат себестоимость получается.
ну вот примерно из-за этого всякие коммерческие торговцы и бесят
Кстати, стартссл всё :)
С разморозкой!
не удивлюсь, если все закрытые ключи давно у америкосов в папочке лежат. шифровать этими ключами что-то важное с точки зрения американца нельзя.
Закрытые ключи корневых сертификатов? Если имел в виду тех, что выдаются пользователям, то LE твои закрытые ключи не видит и не получает, ты генерируешь их у себя сам, LE только подписывает открытые ключи своим закрытым.
А ему все-равно, ведь комментарий бы не технический, а националистский.
> не удивлюсь, если все закрытые ключи давно у америкосов в папочке лежатУ жидомасонов же.
> не удивлюсь, если все закрытые ключи давно у америкосов в папочке лежат.В мамочке же, вендодятел!