Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, предупредил о предстоящем отзыве многих ранее выданных TLS/SSL сертификатов. Из 116 млн ныне действующих сертификатов Let's Encrypt будет отозвано чуть больше 3 млн (2.6%), из которых примерно 1 млн являются дубликатами, привязанными к одному домену (ошибка в основном затронула очень часто обновляемые сертификаты, поэтому так много дубликатов). Отзыв запланирован на 4 марта (точное время пока не определено, но отзыв будет произведён не раньше 3 ночи MSK)...Подробнее: https://www.opennet.me/opennews/art.shtml?num=52472
А я ведь предупреждал!
Предупреждай, не предупреждай. Но современные программисты знают 100500 "правильных шаблонов программирования" и не знают чем результат операции в цикле отличается от такового у операции вне цикла.
https://www.youtube.com/watch?v=F7FbguvJSgs
Просвяти нас, чем она отличается?
Ну если результат - она, то объяснить тяжело. Но выше есть песенка - она объясняет.
Немного офтопик, но может тянуть на серьезную новость:Swiss neutrality ‘shattered’ as leading cryptologic firm revealed to be CIA front
https://intelnews.org/2020/02/17/01-2721/
https://3dnews.ru/1005094интересно что скажут нечегоскрыватели
Это вы поздновато уже вспомнили. Но суть-то ясна. Многие удивлялись "шпиономании" СССР/России и Китая, как мол можно не доверять надежнейшим машинам из замечательной нейтральной Швейцарии. А оказалось это было правильноБыло бы странно ожидать другого, что живя в окружении западных стран, Швейцария не будет с ними сотрудничать
> Было бы странно ожидать другого, что живя в окружении западных стран, Швейцария
> не будет с ними сотрудничать
> Swiss neutrality ‘shattered’Было бы странно ожидать от анонимов не только повторения заголовков желтой прессы.
Там же:
> Crypto AG
> was a front company owned by the United States Central Intelligence Agency.
> confirmed rumors that had been circulating since the early 1980s, that Crypto AG had made a secret deal with the US government
> Boris Hagelin, the Norwegian-born founder and owner of Crypto AG.
> the secret CIA/BND partnership with Crypto AG was known to senior British and Israeli officials,
> a Swiss federal judge has opened an investigation into the revelations, as the Swiss parlament is preparing to launch an official inquiryТ.е. если акционерное общество, зарегистрированное в Швейцарии норвежцем (которому на момент переезда в Швейцарию было ~50 лет), оказалось подстановочной конторой CIA, то налицо явное сотрудничество государства? Ясно.
Т.е. анонимы могут гарантировать, что ни одно АО в РФ не сотрудничает с китайской/британской/израильской/американской разведками (и не являются подставными - что вообще-то стандартная практика разведок)?
И то, что несколько лет до этого США, угрозой суда и репрессий вынудили собраться швейцарский парламент и протолкнуть поправку закона о невыдаче банковских данных (вместо их тихой передачи) - было исключительно хитрой маскировкой? o_O
> И то, что несколько лет до этого США, угрозой суда и репрессий вынудили собраться швейцарский парламент и протолкнуть поправку закона о невыдаче банковских данных (вместо их тихой передачи) - было исключительно хитрой маскировкой?Теперь США не только получает банковские данные по-тихому, но и может шантажировать этим швейцарцев.
А ещё дядя Сэм спит спокойно — ведь он единственный, кто может нагнуть Швейцарию. Больше никому они данные не отдадут.
>Т.е. если акционерное общество, зарегистрированное в Швейцарии норвежцем (которому на момент переезда в Швейцарию было ~50 лет), оказалось подстановочной конторой CIA, то налицо явное сотрудничество государства? Ясно.Без сотрудничества государства нельзя зарегестрировать фирму-однодневку на бомжа или подставное лицо без гражданства
>>Т.е. если акционерное общество, зарегистрированное в Швейцарии норвежцем (которому на момент переезда в Швейцарию было ~50 лет), оказалось подстановочной конторой CIA, то налицо явное сотрудничество государства? Ясно.
> Без сотрудничества государства нельзя зарегестрировать фирму-однодневку на бомжа или подставное лицо без гражданстваВсе так, Кэп.
Но причем тут CryptoAG (1952 - 2018) и Boris Hagelin, который "продолжил" деятельность фирмы A.B. Cryptoteknik (A.B. == AG == AO) , основанной еще в 1932 году в Швеции (в которой после ВОВ запретили экспорт "шифровальщиков")?Кстати, я тут посмотрел - в статье-то похоже насчет "norwegian-born" соврамши:
https://www.cryptomuseum.com/people/hagelin/boris.htm
> Boris Casear Wilhelm Hagelin (2 July 1892 - 7 September 1983) was a Russian-born Swedish engineer, inventor of cipher machines and businessman. He developed his first cipher machine in 1922, whilst working for A.B. Cryptograph of Arvid Gerhard Damm in Stockholm (Sweden), of which his father, Karl Wilhelm Hagelin, and the Nobel family were investors.
>> бомжа
> He was the son of a wealthy Swedish industrialist – Karl Wilhelm Hagelin – who managed the Baku oil fields for the Nobel family.
Швейцарское правительство все знало. И бездействовало. Бездействие тоже может быть содействием
> в окружении западных странполитическая география :)
Moar: https://3dnews.ru/1003494
Ты здоров?
Ты это семантеку расскажи.
так то вредные семантики, а тут - кого надо нога! Надо ж, товарищ, партийное чутье иметь, Ну выдали пару миллионов сертификатов, которых не должны были выдавать - ну ничего ж страшного, бывают ошибки, мы их исправляем (опа, твой сайт оказался с невалидным сертификатом? Ну так надо было обновляться чаще, чаще, еще чаще - раз в пять минут самое то!), работа кипит!
Ошибка затронула очень часто обновляемые сертификаты - их и отзовут. Надо ж, товарищ, партийное чутье иметь, нога, то, отвалиться может ежли каждые пять минут вальс плясать.
у LE раз в пять минут нельзя, раз в месяц вроде, не чаще. В крон или таймеры системД записать правило обновления и всего делов.
> у LE раз в пять минут нельзя, раз в месяц вроде, не чаще.тебе ж по-рюйске написали, для неграмотных - налетели именно те кто чаще раза в месяц. Правильные пацаны не пострадали.
Раз в пять минут это я, конечно, издеваюсь, там throttle для взбесившихся кроноскриптов на "не больше пяти в одни руки за неделю", но тоже норм, обновляйся, беги в ногу со временем!
А то вдруг предыдущий твой сертификат попал в руки врагов?!
>А то вдруг предыдущий твой сертификат попал в руки врагов?!Какие там враги? Я глянул по диагонали - одни фишеры (а их не жалко).
Хорошо хоть за этот серт денег не берут. Так что могут косячить сколько влезет.
да, так-то пришлось бы штрафы оплачивать, а то и что похуже (типа страховок на несколько лямов, как у некоторых еще недобитых принято)
Косвенно берут..
> Косвенно берут.."здесь товар - это ты"
>> Косвенно берут..
> "здесь товар - это ты"*лениво зевая и, не менее лениво, ударяя ладонь о ладонь*
Оу. Как гениально и тонко.п.с: хотя, где-то в глубине души, все-таки надеялся, что уж в 2020г, Дед Мороз исполнил-таки мое желание и люди, придумывающие на удивление нелепые и дурацкие по своей сути формулировки( и уж тем более, просто повторяющие их за другими ), изображая из себя умников, таки передохли.
К сожалению, похоже, Деда Мороза все-таки не существует и чудес не бывает :(
Ну да, пусть сайт нерабочим будет. Зато будет нерабочим бесплатно.
C какого пересёру он нерабочим-то будет?
Отзывают только те сертификаты, от которых владельцы доменов и так заранее отказались явным образом.
Не понятно зачем и как их выпустили, но не должны были и потому и отзывают.
Отзывают сертификаты для которых не делалась проверка. Возможно проверка была бы успешной, но т.к. гарантировать это нельзя - надо отозвать сертификат.
/dev/null лишнее
Правильный запрос:echo | openssl s_client -showcerts -servername example.com -connect example.com:443 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial\ Number | tr -d :
Ещё более правильный:echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
|& - bash'ism
Да, будем одноразовые скрипты писать без башизмов, потому что не труъ
Ещё можно вот так проверять:<pre>
curl -XPOST -d 'fqdn=aboveops.com' https://checkhost.unboundtest.com/checkhost
</pre>Вроде бы попроще предложенного выше метода
А говорят что интернет независим
Кто говорит?
Извините, г-н Майор (или в вашем ведомстве - Commander? Извините, еще раз) - у вас фигня какая-то в поле для звания написалась!
Слон!
Отозвали, репорт сделали, выводы, видимо, тоже. Лучше, чем вендоры, которые сперва два года скрывают, что облажались, а потом всячески стараются историю замять.
>>(размещён на IP-адресе, заблокированном в РФ Роскомнадзором)Нормально зашёл, проверил свой сертификат.
короче система слишком сложная и непрозрачная.
куча всяких "должен", "ожидается", "на самом деле" и т.д.
вряд ли она может выполнять функции обеспечения безопасности
> вряд ли она может выполнять функции обеспечения безопасностиэто смотря чьей и от кого. Безопасность от вредных и нежелательных элементов - может! Еще как может.
Есть пример домена который попал в отзыв?
есть полный список подлежащих отзыву.
https://d4twhgtvn0ff5.cloudfront.net/caa-rechecking-incident... Судя по всему сегодня к 6 утра по Москве все они были отозваны...
3м сертификатов, на 10м уникальных имен.
Поискать кто из них не удосужился перевыпустить сертификат, предлагается самостоятельно...на самом деле, многие из забывших вообще и не заметят, что им чтото отозвали. Наиболее массовый браузер кладет болт на проверку списков отзыва (да у летсенкрипта его и нет по понятным причинам), так же он кладет болт на проверку OSCP который у ЛЕ есть и который позволил бы заметить что сертификат отозван... ну а посетителей со всякими мозилами и прочими палемунами, которые таки проверяют ОCSP, у них может и не оказаться вовсе. а уж если сертификат стоит не на вебе, а, например, на MXе... факт отзыва останется неведом никому.