30 сентября в 17:01 по московскому времени истекает время жизни корневого сертификата компании IdenTrust (DST Root CA X3), который использовался для кросс-подписи корневого сертификата удостоверяющего центра Let's Encrypt (ISRG Root X1), контролируемого сообществом и предоставляющий сертификаты безвозмездно всем желающим. Перекрёстная подпись обеспечивала доверие к сертификатам Let's Encrypt на широком спектре устройств, операционных систем и браузеров в период интеграции собственного корневого сертификата Let's Encrypt в хранилища корневых сертификатов...Подробнее: https://www.opennet.me/opennews/art.shtml?num=55875
Никому верить нельзя =(
Мне можно)
Но мне можно
Иногда можно мне. Но когда - не всегда понятно.
Эти трое лгут, не верь им.
А вот мне - можно.
Я настоящий Урри, не верь самозванцу
Ты говоришь правду. Я лгу. Даже сейчас.
Самое главное - не верить себе
И тут у большей половины читалок от Onyx boox отвалится половина сервисов, особенно всякие личные облачка типа коллекции книг на собственном некстклауде
Да будет тебе известно, что тот же литрес, как и питерпресс позволяют скачать многие книги. А прилага всё того же литреса не запускается на половине онихбуков же потому что там ещё 4.0.4 ведроид местами. Трунь
>>> А прилага всё того же литреса не запускается
>>> на половине онихбуков же потому что там ещё 4.0.4 ведроид местами.
>>> Трунь
>> Всё, вопросов больше не имею. Ваше устаревшее железо, безусловно, полностью оправдывает
>> воровство.
> Местные тролли в край oxpeнeли от своей лени, какую-то лютую жирноту уже
> набрасывают, никаких правил хорошего тона не соблюдают, будто в какие-то одноглазники
> ввалились, а не в приличное общество, где следовало бы хоть
> немного напрячься, чтобы не быть таким жирным!
> Это просто лютое неуважение к местной почтенной публике, я за бан!Какой бан? Это не регистрант, это неймфаг, стыдобища и позор, пытающийся примазаться к истинному и чистому Братству Анонинимов, фу таким быть!
За себя пишите. Я напокупал цифровых книг по скидкам в таких количествах, что могу читать годами.
Каждый год books.ru устраивает распродажу книг по цене покупателя, никогда не пропускаю и сметаю чего не было куплено ранее.
А можно узнать подробнее про этот ивент?
>Я напокупал цифровых книг по скидкам в таких количествах, что могу читать годамиНу так выложи их на рутрекер.
Большинство авторов которые я читаю уже на том свете, кому я должен донатить покупкой электронных книг?
> Ну, например, издательству, которое приняло, отредактировало, набрало, отпечатало, сшило и выпустило книгуИздательству которое отсканировало редакцию ещё с советских времён?
> и организации, которая купила права
У кого купила права, у Пушкина?)
>> Большинство авторов которые я читаю уже на том свете, кому я должен
>> донатить покупкой электронных книг?
> Ну, например, издательству, которое приняло, отредактировало, набрало, отпечатало, сшило
> и выпустило книгу и организации, которая купила права, отсканировала книгу, купила
> хостинг, наняла сайтоделов и предоставила нормальным людям возможность её купить (а
> вам - украсть).А что, если кто-то дал мне почитать книжку, то это кража уже?
Без разрешения покойного фихтенгольца? Или без разрешения авторов берестяных грамот?А вообще, как только автор выпустил некий текст в публичный доступ он уже ему не хозяин. Кражей это бы было, если бы я похитил книгу из тиража его произведения и продал/перепродал.
>> Большинство авторов которые я читаю уже на том свете, кому я должен
>> донатить покупкой электронных книг?
> Ну, например, издательству, которое приняло, отредактировало, набрало, отпечатало, сшило
> и выпустило книгу и организации, которая купила права, отсканировала книгу, купила
> хостинг, наняла сайтоделов и предоставила нормальным людям возможность её купить (а
> вам - украсть).Да стал я на издательство и сайтоклепов. Сайт и я запилить могу. Башлять мне или нет дело добровольное.
>>ворованных с торрентов книгА тейк про кражу хлеба когда будет?
Вот-вот. Они так кричали что пиратство== воровство, что теперь никому не стыдно заниматься шопфлипингом.
Велика. Независимость.
> Велика. Независимость. От совести.
> Поправил.Нет. Когда отваливается что-то во внутренней сети по внешним причинам, то это нарушение независимости. При чём здесь совесть?
Ну и скачивание файлов с книгами с магазина после покупки - обычное дело и drm там часто нет.
Ну и само осуждение копирования файлов - очень спорная вещь. Если руководствоваться тем, что кто-то не получает недополученную прибыль в других сферах - может получится странное.
Для читалки не проблема. У меня всё на SD-карте, например. rsync-нул когда надо и всё.
Очень быстро надоедает дёргать туда-сюда карточку, ещё и держать что-то с кардридером рядом в обязательном порядке
Если книг много, очень быстро всё упирается в размер карточки, т.к. ещё не так давно ониксбуки не видели больших карточек
А руками нельзя сертов докинуть?
Без рут-доступа и перепрошивки - никак. Та же беда случилась с Symbian-девайсами (у которых небыло поддержки FOTA) когда в интернете SSL-сертификаты перешли с SHA1 на SHA2 (SHA256).
Может вопрос дурацкий, в андроиде ничего не понимаю, но почему просто нельзя закинуть в /etc/ssl (ну или куда там) через пк?
Вероятно, туда блокируется запись.
Можно. Даже gui есть.
Не знаю, как на других устройствах, но на всех моих самсунгах, часть из которых на андроиде, а другая ещё на престарелой баде, есть интерфейс для управления сертификатами и их можно устанавливать без всяких рутов, просто выбрав файл сертификата в файл менеджере и введя пин код устройства
> Не знаю, как на других устройствах, но на всех моих самсунгах, часть из которых на андроиде, а другая ещё на престарелой бадеА там, случаем, не OpenSSL 1.0.2 или старее? Тогда может понадобиться удалить старый сертификат, как указано в статье.
Без проблем. Именно удалить системные сертификаты нельзя, но можно отключить их использовании соответствующим ползунком у проблемных сертификатов. Так что, главное что бы было, откуда эти сертификаты качать, тогда проблем не будет
Если у тебя читалка от них, может ознакомишься? https://github.com/Hagb/decryptBooxUpdateUpx
Спасибо, посмотрю
> отвалится половина сервисов, особенно всякие личные облачка типа коллекции книг на собственном некстклаудеВообще не проблема. Регаешь бесплатный аккаунт Cloudflare. Пробрасываешь через него проксирование до "личного облачная", TLS-сертификат будет от Cloudflare, подписывал его кто-то другой, проблемы нет. Делов-то...
16.04поддерживается. то, что труп дубиана не поддерживается проблема дубина.
> 16.04 поддерживаетсяGitHub уже выбросил из CI: https://github.com/actions/virtual-environments/issues/3287
>> 16.04 поддерживается
> GitHub уже выбросил из CI: https://github.com/actions/virtual-environments/issues/3287Вот это авторитет! Целый гейзаб выбросил!
Как вы относитесь к латентным?
> Как вы относитесь к латентным?Как к Чикатило.
Ну всяко поавторитетнее тебя и убунты вместе взятых.
> луддиты-староверы взвоютДа в каждой теме 🤨
Постоянно недовольны выбрасыванием устаревших технологий.
> Да в каждой теме 🤨
> Постоянно недовольны выбрасыванием устаревших технологий.Ты уже выбросил устаревшую технологию круглых колес и перешел на треугольные?
В прогрессивных странах отказываются от круглых колёс в пользу магнитов и ног. Шах и мат.
> В прогрессивных странах отказываются от круглых колёс в пользу магнитов и ног.Рептилоиды с планеты Нибиру совсем не палятся.
> Шах и мат.Скорее, смахивает на Бал и Бол.
На магнитах не везде можно поездить, квадро- и хексокоптеры рулят, уже скоро.
> На магнитах не везде можно поездить, квадро- и хексокоптеры рулят, уже скоро.А в безвоздушном пространстве? На Луне там какой-нибудь.
> Найс сравнил устаревшее, уязвимое и нефункциональное программное обеспечение с тем, без
> чего современный мир не может существовать.Найс соврал про нефункциональность и заодно приплел уязвимость.
>> Ты уже выбросил устаревшую технологию круглых колес и перешел на треугольные?
> Найс сравнил устаревшее, уязвимое и нефункциональное программное обеспечение с тем, без
> чего современный мир не может существовать.Уязвимое и нефункциональное это хттпс. К сожалению многим приходится заворачивать в это УГ нормальные протоколы.
Эка тебя микрософт приучил хавать лишь самое свежее и еще не отлаженное на хомячках.
Зойчем мне бояться незашифрованных данных и уязвимостей в моей домашней локалочке или просто в DMZ?Зачем мне греть воздух бесполезным, в данном случае, шифрованием? FTP реализован везде, клиенты были предустановлены. А в этих ваших самбах придумали докачку? Или только анонимный аплоад без возможности затереть однажды заапложенное? Ну и если мамкин хакир, то всегда сможешь проверить подлог с помощью контрольных сумм, которые, кстати, все равно желательно проверить, дабы убедиться что нет проблем со скачанным, в т.ч. из-за проблем с носителем.
>А в этих ваших самбах придумали докачку?Так как это не столько протокол передачи файлов, сколько Windows-RPC с интерфейсом доступа к NTFS, то да, возможность прочитать и записать произвольный байт в файле там как бы есть с первых версий. Как то так: tail -c `du /dest/file/name` /source/file/name >> /dest/file/name
>Зачем мне греть воздух бесполезным, в данном случае, шифрованием?Вообще шифрование в самбе нужно уже потому, что винда это решение для корпораций. Для них любые взаимодействия с сервером желательно шифровать ибо от крокодильчика на Ethernet кабеле и снифера знающего пароль от Wi-Fi не застрахован никто. К тому же семёрка уже была рассчитана на IPv6 и удалённый доступ к домашней сети без специальных туннелей. И никто не может заранее сказать насколько для Вас эти данные конфиденциальны. Может там не фото котиков, а неопубликованный годовой отчёт корпорации за получение которого трейдеры готовы пойти на преступление. Поэтому проще зашифровать всё, а не доверять дилетантам самим решать судьбу безопасности своих данных.
Но для треугольных колёс нужны дороги соответствующей формы и на таких дорогах круглые колёса показывают себя плохо. Замена всех дорог на подходящие для новых колёс оставит пользователей круглых у так называемого разбитого корыта?
ты как будто с гуглем не знаком - не надо ничего заменять, надо просто запретить круглые.Как кого поймают на таких - тачку сжечь. И никаких проблем - через пару неделек переходного периода, все будут ездить на треугольных и нахваливать.
Вот странность:работающее выбрасывают в пользу..несуществующего. и как может быть кто-то недоволен?!
В Ubuntu обновление уже вышло.
https://ubuntu.com/security/notices/USN-5089-2
Можно добавить сертификат, так что можно не выть.
Вот там то как раз нет проблемы поменять сертификат. Это только у проприетарщиков.
Ну и зачем эти сертификаты? Неоднократно компрометированы. Только деньги с лохов собирают - в этом вся суть.
Они нужны, чтобы защищаться от провайдера и криминальных элементов на подсосе у барыг. Кроме того, при отсутствии шифрования, в твой трафик можно пихнуть любые данные. Суть только в этом. Для большинства при этом хватает бесплатных сертификатов.
Ну так провайдеры и так пихают, особенно мобильные. Какая защита? Главная вещь - шекели.
В https не пихают
Пихали и в https!
Там надо или МитМ проводить или браузер ругаться будет, что не тот сертификат и подсовывают дичь. Так что просто так в хттпс не воткнешь
А можно занести акционерам сраузера деньжат. Я подозревал, что гугль и гомояблоко пойдут на сговор с роскомпозором ради хрустящих. И что же? Так и случилось.
Отлично! У тебя есть выбор:
1. Установить левый сертификат от провайдера, чтоб браузер не ругался, но по факту - иметь скомпрометированный канал.
2. Не иметь вообще никакого канала, ибо наружу https может выходить только через DPI+MITM...Твой выбор? Сидет без интернета или согласиться на компрометации 4анала?
Так и так все скомпрометировано - ловили на выдаче левых сертификатов какие-то центры. Весь механизм скомпрометирован. (Это не вспоминая о спецслужбах.)
> Отлично! У тебя есть выбор:
> 1. Установить левый сертификат от провайдера, чтоб браузер не ругался, но по
> факту - иметь скомпрометированный канал.
> 2. Не иметь вообще никакого канала, ибо наружу https может выходить только
> через DPI+MITM...
> Твой выбор? Сидет без интернета или согласиться на компрометации 4анала?Только пешком придти к доверенному провайдеру. Симметричное шифрование, шифр Вернама..)
Ещё можно постоянно менять провайдеров, использовать стеганографию.
Тут самое главное то, что ты об этом узнал. А если бы все открытым текстом ходило, то ты бы и не догадывался, что что-то могло произойти.Ну а так - ну да, от перерезанного провода криптография, к сожалению, не спасает
Как перестать орать? Он нужны чтобы за расшифровку платили денежки им, а не налево, так как все серты рано или поздно будут под летсэнкриптом. А бизнес модель ту биг ту фейл.
Закрытые ключи на подпись не передаются. Тот, кто выдает сертификаты, не может расшифровывать траыик
да вроде и шифруется https-трафик не ssl-сертификатом, а сеансовым ключом.
Шифруется сеансовым ключом. Сеансовый ключ посылается с помощью закрытого ключа. А сертификат подтверждает **ОТКРЫТЫЙ** ключ. Так что никакой помощи в расшифровке он не даёт
Выдать ещё сертификат и можно смотреть. Или как там?
Вроде как есть серьёзная уязвимость в самой основе этой системы и если ты доверенное лицо выдающее сертификаты, то ты можешь многое.
Никак. Если тебе не спалили закрытый ключ, ты не прочитаешь. Можно выдать фальшивый сертификаты, устраивать всякие MitM атаки, если взломать корневник. Но предыдущие коммуникации ты точно не прочитаешь. Да и для нынешних придется попотеть
> Никак. Если тебе не спалили закрытый ключ, ты не прочитаешь. Можно выдать
> фальшивый сертификаты, устраивать всякие MitM атаки, если взломать корневник. Но предыдущие
> коммуникации ты точно не прочитаешь. Да и для нынешних придется попотетьЯ об этом и говорил, что если ты избранный и выдаёшь главные сертификаты - ты можешь устраивать. Это уязвимость по сути, в самой основе, она даже "ожидаемо запланирована" и исходит от самой логики работы этой системы.
Опять? В прошлый раз отвалился 5 андроид, теперь отвалится ещё и 2?
К летсэндкрип впринципе мало доверия. А новость лишь подтверждение -- доверять этим ребятам не стоит.
А чем это подтверждает именно эта новость? Сертификаты должны устаревать, корневые - не исключение
Что никакого у них плана б нет. Вертели они всё legacy. У Centos 7 кстати тоже проблемы были с этими сертификатами
То legacy, которое аффектится, давно уже закопать пора.
Да-да, всё должно устаревать и переставать работать, для того чтобы Большой Брат мог засунуть повсюду свои очень нужные ОБНОВЛЕНИЯ.
Ну так неси баблишко коммерческим УЦ, кто тебе мешает платить за воздух с тем же или меньшим уровнем доверия.
Можно подумать лэдсэнгрипт некоммерческое.
Я недавно столкнулся с фишинговым мошенническим сайтом под один крупный российский банк, но в домене .ru.com, подписанным сертификатом Let'sEncrypt.
Вот это да, реальная проблема, а не то, что большинство аноуннов тут пишет
Так LE и не обещает проверять все сайты, подписанные их сертификатом на наличие скама. В хромоге даже зелёный замочек в адресной строке для https:// убирают, чтобы альтернативно одарённые перестали сливать данные кредиток каждому первому зелёненькому сайту.
Защита от фишинга приносит много вреда и сама по себе скам, но нужна редко, но метко. Как можно сделать нормально?
Залоговые аукционы -- это фишинг, или нет?
Это лишь грит о том, что https не для доверия, а тока для шифрации.
Для доверия DNSSEC, но в России не очень приживается, даже в банках.
letsencrypt выдал непоймикому сертификат на домен банка? или домен просто похожий? если второе то в чем проблема?А вот EV из адресной строки убрали - да, хреново... т.к. сейчас вариант один - на всякий случай тыкать по замочку в адресной строке и смотреть кто сертификат выдал.
У российского банка сайт https://www.namebank.ru, мошенники зарегистрировали похожий сайт https://www.namebank.ru.com, подписали его сертификатом Let'sEncrypt и пустили рекламу ВКонтакте и Интернете, что производится выплата материальной помощи в несколько тысяч рублей клиентам этого банка. Дизайн мошеннического сайта повторял оригинальный дизайн банка. Для оформления "материальной помощи" они требовали указать телефон в Интернет-банке, пароль и сообщить смс-коды. При регистрации на этом сайте была бы произведена попытка кражи денег со счета клиентов банка.
Ну, а раньше и сертификатов не требовалось.
Let'sEncrypt - только реакция на истерию повсеместного перехода на https.
Начните с претензий к регистратору доменных имён тогда уж.
Заодно, нахлобучьте службу безопасности namebank.А то, как всегда, мальчик виноват...
Ребят, я вот в своё время, в 2010, когда крутил в руках старую мобилу кнопочную, там был пункт "Корневые сертификаты". И я разглядывал эти верисайны, а у них там срок истечения - 2021, 2025, 2027. "Как далеко, почти вечность", - думал я. А вот уже и 2021.Вот тут говорит, мол, "доказательство, что Летс Энкрипт нельзя верить". В чём?! Сертификаты должны периодически устаревать, в т.ч. и корневые. Вы чего, ребята, в чём это подрывает-то?
Там по-моему по 50 лет серты были, вот это ближе к реальному применению. Я ещё тогда думал, что же ещё это, как если не запланированное устаревание. Старую мобилу в 2010? Айфону тогда 3 года было, и все мобилы были кнопочные до него. Полноценные браузеры наверно года с 2002 пошли. Не такие уж и старые. Совершенно нормально для телефона служить 20 лет, моему вот 15 и норм. Если бы не утопил случайно, сейчас бы может и 20 летний использовал.
> Я ещё тогда думал, что же ещё это, как если не запланированное устареваниеКриптографические ключи не могут жить вечно. Их нужно менять, и желательно почаще. Слишком часто менять, конечно, тоже не получится. Ну для корневых 20-30 лет, то много. 50 лет - это очень самоуверенно
Rsa там сколько лет, 50 уже? До сих пор самый надёжный алгоритм. А сколько уязвимых новоделок уже было. Если ключи не утекли, зачем их менять? А если утекли, то совершенно не важно, сколько лет они живут (разве что каждую неделю менять).
По этому вопросу рекомендую читать Шнайера. Шнайер это формулирует так: "Криптографические ключи изнашиваются со временем". В фигуральном смысле, но точно подмечено. Как минимум шанс утечки растет и растёт с течением лет. И новые атаки на криптографию постоянно появляются.> Rsa там сколько лет, 50 уже? До сих пор самый надёжный алгоритм.
Вы не правы. Атак на RSA много. RSA не взломан, да. Но там очень и очень много нюансов, атаки именно на всякие мелкие детали. И их не мало. Правильно сготовить RSA трудно, а длина его ключей велика.
> А сколько уязвимых новоделок уже было.
Ну из эллиптики, которая принималась в стандарты, вроде ничего не взломали толком
> RSA не взломан, да.RSA Challenge закрыто в 2007-м с забавной формулировкой. Из публичного:
RSA-250 (это больше 768)
The total computation time was roughly 2700 core-years, using Intel Xeon
Gold 6130 CPUs as a reference (2.1GHz):https://lists.gforge.inria.fr/pipermail/cado-nfs-discuss/202...
> Ну из эллиптики, которая принималась в стандарты, вроде ничего не взломали толкомА где это используется в сельском хозяйстве? (С)Старый советский анекдот
Для всяких "икспириментов" можно, конечно, и эллиптику самоподписную нагенерить и прикрутить, но, если не ошибають, для https "для широких масс" эллиптика практически не используется...
> Rsa там сколько лет, 50 уже?Да уже почти.
> Если ключи не утекли, зачем их менять?
Во-первых, длины ключей 50 и даже 10 лет назад были совсем другие, и те длины вскрываются за вполне земные деньги и время.
Во-вторых, таки да, износ криптоматериала.
В третьих,
> А если утекли, то совершенно не важно, сколько лет они живут (разве что каждую неделю менять).
А ты не знаешь утекли они или нет. Но вероятность повышается с возрастом.
можно поголвно внедрить днссек подобный механизм цепочки доверия а в записях у зоны хранить хеш самоподписанного сертификата, зачем еще создавать всякие ненужные псевдо доверенные механизмы?почему блеатъ до сих пор браузеры не пинят сертификаты от сайтов?
Потому что ссл администрируется всякими коммерческими конторами (ну, и летсенкриптом), а днс -- товарищем майором, корневые зоны.
Странно. Почему вы не обсуждаете главную причину - возможность или невозможность самостоятельного обновления этих сертификатов.
Да, тем и славен этот топик - аноны ополчились на устаревание сертификатов как на инструмент мирового заговора, тогда как просмотрели реальную проблему, невозможность обновления (хотя в дистрах ОС-то разве низя новые черты поставить? Не прибиты же они там гвоздями). А устаревание сертификатов - обычная практика, их ещё в 2000-е, если не 90-е, выдали, да и написали 20-30 лет сроку. Ну вот уже 2021, выходят эти года, да. Время летит
Конец новости почитай где у них сертификаты привязаны к версии OpenSSL и становится весело сразу. Да сертификат добавить можешь но система его не примет. OpenSSL не обновишь так как весь дистрибутив пересобирать придётся
Для телефона нормально служить и сто лет, у меня где-то валяется старый советский с дисковым номеронабирателем, который до сих пор работает, только трубку надо потрясти. :)А вот криптографические ключи должны устаревать, потому что никто не знает, когда найдут уязвимости в каком из алгоритмов. Скажем, тот же SHA-1 казался супернадежным еще совсем недавно, когда появился git, не так уж и много времени прошло. А про MD5 вообще все уже забыли и никто его не воспринимает всерьез, хотя году в 2003-м это был стандарт индустрии.
Потому и корневые сертификаты должны устаревать. Не так быстро, чтобы это создавало массовые проблемы, но и не так медленно, чтобы при условии, что будет найдена уязвимость, вычислительные мощности не успели по закону Мура (или что там сейчас вместо него) вырасти настолько, что эту уязвимость сможет эксплуатировать не Google, а школьник с мамкиным ноутбуком. Лет 10-15 - вполне разумно выглядят.
Этот самогенерируемый зонд кому-то в будущем надо будет остановить. Он ровно в 100 раз хуже системд.
В чем зондовость, вы о чем вообще?
Может быть в том что чтобы получить этот серт ты делаешь запрос на мутный сервер минимум раз в 90 дней.
Ну ты же не передаешь им закрытых ключей, явок, паролей
Откуда ты это знаешь? И откуда ты знаешь что не начнут передавать потом. Откуда ты знаешь что внезапно через пару лет не найдут уязвимость в приложении или в протоколе, про которую конечно же никто не знал.Да мало ли чего еще может быть. Ты же передаешь им почту, а они начнут по своим причинам одним давать другим не давать сертификат. Это мы даже не говорим про монетизацию, а монетизироваться они могут как все «бесплатные» сервисы сливая инфу в лучше случае рекламным компаниям.
У бесплатных сервисов товар это ты, золотое правило.
Ты в браузере/скрипте сам тыкаешь, что (файл открытого ключа) послать им. Если не тыкаешь/не проверяешь что тыкнул - кто ж виноват тебе> Откуда ты это знаешь? И откуда ты знаешь что не начнут передавать потом. Откуда ты знаешь что внезапно через пару лет не найдут уязвимость
> Да мало ли чего еще может быть.Да вот правильно, лучше в тайгу уехать и жить в уединении, вот там точно мало что может быть. И то что-то может
Варианты надо в голове прокручивать, конечно, но без истерики
Ага, твоя философия есть любое УГ с лопаты лишь в тайгу не ехать умиляет.
> Ты в браузере/скрипте сам тыкаешь, что (файл открытого ключа) послать им.уровень впопеннета, очередное днище...
> Если не тыкаешь/не проверяешь что тыкнул - кто ж виноват тебе
безусловно не те милейшие люди, тщательно уничтожившие долгоживущие сертификаты, и заставившие весь мир исполнять curl|sudo su их самообновляющийся скрипт.
> Да вот правильно, лучше в тайгу уехать и жить в уединении, вот там точно мало что может быть.
придет хозяин тайги и даст тебе п-ды, вот что там может только и быть. Тайга вся чья-то, ничейная земля - вооон, на марсе еще осталась. Только туда полетишь с управлением на ведроидах, у которых в процессе полета прокиснет сертификат.
> > Ты в браузере/скрипте сам тыкаешь, что (файл открытого ключа) послать им.
> уровень впопеннета, очередное днище...Вообще не понял, к чему докапываетесь в этой фразе. В Летс Энкрипт ты разве не загружаешь открытый ключ на их сайт, чтобы сертификат получить? Я просто сам никогда не использовал. Вообще не пойму, причем здесь какой-то уровень, лишь бы покритиковать что ли?
> безусловно не те милейшие люди, тщательно уничтожившие долгоживущие сертификаты, и заставившие весь мир исполнять curl|sudo su их самообновляющийся скрипт.
Долгоживущие были и есть, за деньги, у верисайн и ко
> придет хозяин тайги и даст тебе п-ды, вот что там может только и быть. Тайга вся чья-то, ничейная земля - вооон, на марсе еще осталась. Только туда полетишь с управлением на ведроидах, у которых в процессе полета прокиснет сертификат.
Тут да. Но это если хозяину вообще будет дело, а то кому такие нужны?
> Вообще не понял, к чему докапываетесь в этой фразе.уровень впопеннета.
Вообще ничего непонятно, но ценное мнение имеют.
Эх, досадно, я вас тут вижу давно, вы в общем-то дельный человек, хоть и с экстравагантными взглядами, но интересно вас читать, а тут что-то всё-таки целяетесь за не понятно что. Хочется ж всё-таки по существу вопроса, а вы вот что-то сегодня на меня как-то свысока смотрите. Печально
По существу надо задавать вопросы, а не комментировать в режиме "сам-то я не пользуюсь, но мнение имею".Мне обычно лень отвечать на вопросы, ответ на которые есть в гугле, но кто-нибудь, безусловно, вас просветит.
Поинтересуйтесь что есть acme, в чем его принципиальная разница с даже той же самой digital validation (нет, ее не летсшиткрипт придумал, он ее захватил и изгадил) и как это на самом деле работает.
> Печально
печально что уровень опеннета вот такой.
Собственно, он отражает уровень пользователей сертбота в том числе. Т.е. ситуация еще более катастрофична чем кажется на первый взгляд. curl| sudo su - не нужно знать, что там происходит, вон, все работаитсофтастрое!
> Откуда ты это знаешь?Я читал код certbot, например.
> И откуда ты знаешь что не начнут передавать потом.
Протокол ACME стандартизирован и очень прост. Возьми реализацию которой ты доверяешь, напиши свою. certbot как референсная реализация используется настолько широко что дырку в нём найдёт гораздо раньше чем ты соизволишь обновить его у себя на сервере.
> Откуда ты знаешь что внезапно через пару лет не найдут уязвимость в приложении или в протоколе, про которую конечно же никто не знал.
Никакая чувствительная информация там не передаётся - отправляется открытый ключ, возвращается подписанный. Сломать приложение, так что оно отправило закрытый ключ кому-то или сгенерирует уязвимый по команде с сервера, ну такая себе вероятность, учитывая простоту реализации намного ниже чем remote root у тебя в системе, через который можно сделать вообще что угодно.
> Я читал код certbot, например.А вот это, к примеру - не читал?
https://certbot.eff.org/lets-encrypt/leap-nginxпоставьте снап-незнамочего-с-кучей-непоймичего, сегодня оно получает за вас сертификаты - завтра за вас и есть будет тоже.
> Возьми реализацию которой ты доверяешь, напиши свою.
много ты уже написал реализаций? Аааа, ты ж "читал код Certbot!" чукча читатель.
А что он обновляется каждый день, так это пофиг.
> Никакая чувствительная информация там не передаётся
главное, верить.
А по факту 90% интернета исполняет на своих серверах код неведомых васянов (по факту уже целиком операционную систему) неведомо кем контролируемый. То что у оставшихся десяти немодные сертификаты и неуловимые джошные самоделки вместо единственноверного шитбота - мало что изменит.
Так не пользуйся сертботом. Во многих дистрах по-умолчанию dehydrated.
Повторяю: по факту 9 из 10 сайтов пользуются и могут быть затроянены по команде извне в любой момент.Попутно открывая безграничные возможности и для левых васянов-кульхацкеров с образованием чуть ниже неполного среднего. Вся система (основывавшаяся на доверии и защите ключей, а не на быстро-быстро-перевыпустить, авось никто не заметил) разрушена и скомпроментирована - начиная с браузеров скрывающих митм и подмену сертификатов (о, разумеется только правильный митм правильными пацанами и правильную подмену) и заканчивая вредительским софтом на серверах с инструкциями с curl | sudo
Ну разумеется это получилось чисто случайно, просто одновременно с разных сторон уничтожена вся эффективно работавшая и надежная система, замененная имитацией.
P.S. про то почему dehydrated пользоваться вообще нельзя - я тебе целую статью тут написал. Но ты ее, конечно, не прочитал, поскольку она давно утонула среди перлов "сетевые принтеры можно кормить дерьмом с netcat'а" и "я вчера узнал про e4crypt".
>[оверквотинг удален]
> ключей, а не на быстро-быстро-перевыпустить, авось никто не заметил) разрушена и
> скомпроментирована - начиная с браузеров скрывающих митм и подмену сертификатов (о,
> разумеется только правильный митм правильными пацанами и правильную подмену) и заканчивая
> вредительским софтом на серверах с инструкциями с curl | sudo
> Ну разумеется это получилось чисто случайно, просто одновременно с разных сторон уничтожена
> вся эффективно работавшая и надежная система, замененная имитацией.
> P.S. про то почему dehydrated пользоваться вообще нельзя - я тебе целую
> статью тут написал. Но ты ее, конечно, не прочитал, поскольку она
> давно утонула среди перлов "сетевые принтеры можно кормить дерьмом с netcat'а"
> и "я вчера узнал про e4crypt".Ссылку на статью кинь, я почитаю (без шуток).
В систему "основанную на доверии" и защите ключей" я почему-то не очень верю. Можешь изложить в чём отличие и почему она сломалась?
> Ссылку на статью кинь> В систему "основанную на доверии" и защите ключей" я почему-то не очень верю.
Ну ок, счастливо купаться в аквариуме где нет доверия, а "защита" заключается в том что сертификат каждые две недели новый и хз чьим ключом подписан.
>> Ссылку на статью кинь
> https://imgbox.com/wF6kUQntЯ посмотрел на те 20 результатов, что выдал поиск, но содержательной критики dehydrated не нашёл. Ну 1700 строк shell, ну и что?
>> В систему "основанную на доверии" и защите ключей" я почему-то не очень верю.
> Ну ок, счастливо купаться в аквариуме где нет доверия, а "защита" заключается
> в том что сертификат каждые две недели новый и хз чьим
> ключом подписан.Я не понимаю, чем "долгие сертификаты по паспорту" лучше "коротких сертификатов по email". Потерять "долгий" ключ, и обнаружить, что кто-то читает твой трафик пару лет спустя, по-моему, довольно неприятно.
В чём фатальный недостаток "коротких сертификатов", я не очень понимаю.
пааанятна. Ну если ниасилить вторую сверху строчку, возвращаемую поиском - то я развожу руки.Человек, вероятно, необучаем.
> пааанятна. Ну если ниасилить вторую сверху строчку, возвращаемую поиском - то я
> развожу руки.
> Человек, вероятно, необучаем.Нет, мистер пох. К сожалению, это вы выражаетесь крайне мутно и туманно. Тем более, что второй строчкой в поиске вылезает (теперь) этот, наш с вами, диалог.
Ну что думали? Хотели корпорации нагнуть, стали раздавать эту шнягу на халяву. В итоге остались у разбитого корыта.
А в чем у разбитого? Обновил корневой и дальше работаешь
Ты просто радуешься что тебя в чан с фекалиями не очень сильно окунули. Сегодня требованя по возрасту железу, а завтра они стандарт поменяют на свой и пляши под их дудку.
Ну а кто виноват, если ваше железо не предусматривало смену сертификата через 20-30-50 лет?Не менять сертификат нельзя, устаревание нужно
Вот-вот, а кто виноват что правительство %Любая_страна% запретило вам давать сертификат, не надо быть из этой страны.Вы сами виноваты что компания Хуавейбин теперь не обслуживается, надо было покупать Правильноэпл. И так далее до бесконечности. И чем будет больше пользователей тем быстрее наступят эти времена.
К устареванию сертификатов это не имеет отношения
Это первый шаг, гуглить Окно Овертона.Ты ведь раньше не думал что будут блокировать сайты, которые пишут что в селе нет еды. А сейчас это норма.
Чудак, то что производитель конкретного железа забил на тебя и поддержку твоего железа болт - это вообще-то намёк тебе, что не нужно с таким производителем одноразового решета связываться. Если тебе мерещится софтовый заговор там, где рукожопит твой конкретный вендор - ты уже пляшешь под дудку, на дудке и с дудкой
Против угорелого бреда седативы - это норма. Можно ещё от общества оградить, а то вдруг дети смотрят, а тут этот эксББционист
> Хотели корпорации нагнутьЧего, чего ?!!
Вы-б посмотрели сперва, кто их главные спонсоры с самого начала.
Гугле и Попакниге нужны графы коннектов индивидумов, а так как практически любой девайс уже идентифицирован, то это изанчально был проект для профита, - на какие сайты большего всего ходят, кто ходит и т.д. и т.п (если не знали, то ваш браусер стучит по OSCP на каждом коннекте, какой домен вы посетили, а гугля тщятельно исключительно изза заботы за смертных хранит все сертификаты у себя), плюс полный контроль над интернетом (Казахстан вон попробовал поднять голову, но быстро обломался, так же как и многие интернет провайдеры), так что безплатный сыр как был в мышеловках, так и остался
Господа, а подскажите плиз, почему на сайте кремля сертификата нет?
От госдепа шифроваться?
Ну чтобы жалобщиков было дегче ловить.
потому что удостоверяющие центры кого надо удостоверяющие центы, и отозвать могут сертификат когда надо. а свои уц в популярные браузеры поди пропихни. вы же тут сами взвоете в каментах если клятые москали пропихнут свои корневые сертификаты в "свободные" браузеры.
Уже пропихнули свой Яндекс и сертификаты пропихнут ты главное потерпи побольше.
Странно, во всякие там эцп пропихивают а в бравзир яндыхса не могут?
А ты уверен что его там нет?
> По статистике сервиса Firefox Telemetry общемировая доля ...Гельминтов в кале пользователей составляет ...
>>По статистике сервиса Firefox TelemetryМои запросы уже больше не составляют, ибо я избавился от Firefox Telemetry.
А если вцелом. Что? Сертификаты сдохли? Теперь DOS 1.0 больше не погонять?
Почему не погонять?
> Дополнительно можно отметить преодоление проектом Let's Encrypt рубежа в два миллиарда сгенерированных сертификатов.Это ещё что. А вот если мы начнём каждый день сертификаты перегенерировать...
Но сертификаты это же по моему просто набор данных, так что странно говорить, что что-то старое их не поддерживает. Просто они не прописаны. Пропиши и сиди дальше.
Дела в том что уставшими девайсами пользуются не только программисты, но и, например, не программисты. И они ничего там прописать не смогут даже если захотят.
И щас все такие бросились прописывать у себя сертификаты. Всей страной, как в СССр когда штирлица крутили. Выйдешь на улицу - а кругом ни души, все сертификаты прописывают. Благодать!
А на следующий день кубернетесы прописывают программатором на нокию 7210. И так каждый день!
А с ZeroSSL всë ок?, acme.sh вроде по дефолту именно там получает.
Отчего нельзя выпускать неустаревающие сертификаты?
можно
но если кто-то взломает/украдет приватный ключ от корневого сертификата, то сможет выписывать себе сертификаты от любых сайтов, причем делать это неограниченно долго.
Одноразовые ключи?
> OpenSSL разбирал сертификат как линейную цепочку, в то время как в соответствии с RFC 4158 сертификат может представлять ориентированный распределённый циклический граф с несколькими якорями доверия, которые нужно учитывать.И сколько такого говнокода еще крутится во всем мире?
Два миллиарда скаммеров обзавелись доверенным сертификатом. Это нужно убить незамедлительно.
> Два миллиарда скаммеров обзавелись доверенным сертификатом.Доверенный это EV. Нет, LE не выдаёт EV.
Когда два миллиарда таких ламеров обзавелись устройствами способными выходить в тырнет такой вони не было, а зря
Поэтому важные сайты должны быть доступны и без https. И с помощью wget. Вот например.
Никакие сайты не должны быть доступны без https. И поддерживаться браузерами http не должен.
Что бы потом 127.0.0.1 открывать полько по https? Может в твоём маня-мирке есть только https, но в реальности существует ещё много других прикладных протоколов, которые вообще-то можно пускать поверх транспортных протоколов, в которых и надо решать проблемы приватности. И сделать это можно куда более элегантно, чем вся эта муть с сертификатами и сертификационными центрами.
А в Yggdrasil HTTPS особо не нужен.
> А в Yggdrasil HTTPS особо не нужен.Ещё как нужен. Анонсирует хацкер маршрут через себя и твой люникс его молча примет. И потечёт весь твой http прямо через хацкера.
Нет, сеть Иггдрасиль имеет сквозное шифрование от абонента до абонента.
У меня есть в коллекции iPhone 2G, там похоже уже протухшие сертификаты есть. Подскажите как туда добавить новых. Доступ к файловой системе и консоли есть.
Что касательно Андроида, то в прошлой аполиптичной новости этого рода уже писали что можно ручками поставить корневые сертификаты и все будет работать. Это функция впервые пригодилась большинству.
Ну отлично, будет повод ещё и TLS<1.3 выключить.> В частности, примерно 30% находящихся в обиходе Android-устройств не имеют данных о корневом сертификате Let's Encrypt
Нахрен пусть идут. Рабы корпораций, купившие железки на которые нельзя самому поставить свободную сборку последней версии, должны страдать.
Да какую сборку, людям лень руками сертификат установить.
а по-русски это всё можно изложить?есть где-нибудь нормальный обзор как эта вся лабуда работает.. а то уже читаю и половина как китайская грамота
На хабре вчера...
https://habr.com/ru/post/580092/
спс гляну
но по-русски имелось в виду понятно про всю эту разросшуюся инфраструктуру Х509 сертификатов
лучше таки на аглицком))
> а по-русски это всё можно изложить?
> лучше таки на аглицком))Ты бы определился уже.
фигуральное выражение тебе не знакомо
только видимо фига. или фигвам на худой конец.
Что я делаю не так? :
------------------------
# lsb_release -ds
Ubuntu 14.04 LTS
# grep DST_Root_CA_X3.crt /etc/ca-certificates.conf
#
# grep ISRG_Root_X1.crt /etc/ca-certificates.conf
mozilla/ISRG_Root_X1.crt
#
# update-ca-certificates
Updating certificates in /etc/ssl/certs... 0 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d....done.
#
# faketime -f '@2021-10-01 00:00:00' curl https://<MYDOMAIN>
curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: http://curl.haxx.se/docs/sslcerts.html
...
#
------------
Заранее спасибо.
А что ты пытался сделать? Или что должно произойти по твоему мнению?
Я убрал упоминание DST_Root_CA_X3.crt из /etc/ca-certificates.conf
И ожидал что проблема
"curl: (60) SSL certificate problem: unable to get local issuer certificate"
исчезнет согласно этой статье:
> Вручную удалить корневой сертификат IdenTrust DST Root CA X3 и установить обособленный (не кросс-подписанный) корневой сертификат ISRG Root X1.Такой метод упоминается и в других источниках.
Ты из этого сделал ровно половину.
Вероятнее всего потому, что в голове типичного впопеннетчика "удалить" - это просто и понятно, а вот дальше какие-то слова загадочные, лучше их проигнорировать, авось и так сойдет.
Так и вы сделали ровно половину - облили нечистотами собеседника, ведь это "просто и понятно", а вот дальше.... указать на то что именно он сделал не так, вы похоже не в состоянии. И кто после этого "типичный впопеннетчик"? :)
Ну чтож спасибо и на том, проходите мимо.
а версия openssl какая?
# openssl version
1.0.1f
Старый openssl слишком, на нём недостаточно удалить DST Root X3. Посмотрите хабровскую статью, я там добавил вариант обхода проблемы для таких совсем старых openssl без обновления версии..
Стоп а Opennet имеет же сертификат от Let's encrypt??????
ну да, но если в обновлениях к твоей системе уже прилетел сертификат ISRG Root X1, то сайты продолжат работать без вопросов. Основные проблемы у тех, у кого давно без обновлений сидит!
Android юзеры должны страдать...
на айфоне то же самое ;)
Apple проснется и обновит прошивки. А другие НЕТ!
Компания , специально замедляющая прошивками старые устройства , если и проснётся - только посмеяться .
Лол, у меня VLC перестал подключаться к моему серверу :(Всё остальное подключается норм.
Ничего добавят в новые OpenSSL бэкдоры с белым списком устаревших CA.
Перестал соединяться самый свежий The Bat к серверу с сертификатом LE:
>2021.10.01, 09:06:54: IMAP - Root: "Digital Signature Trust Co.", "DST Root CA X3" Действителен с 2000.09.30 21:12:19 до 2021.09.30 14:01:15. Срок действия этого S/MIME сертификата истек!А вы говорите старый Андроид.....
В The Bat раньше была галочка "использовать сертификаты Виндовс или свои"!
Я благодаря Вам сейчас узнал, что оно еще живо. И что, неужели по-прежнему на пасквилле?
В старых версиях Thunderbird (38) на ХР сертификат ISRG Root X1 нужно ещё в настройках TB добавлять!
Как проблему т осейчас решать, у меня отвалилась одна ВМ из за этой фигни.... ЧТо обновлять что делать то?
Подскажите, как заставеть на 7-ке браузеры открывать сайты теперь?
Установить сертификат ISRG Root X1 https://crt.sh/?d=9314791 в доверенные корневые!
Pocket подписанный амазоновскими сертификатами теперь тоже недоступен на старых устройствах. Ни из браузера, ни через их прилагу
Интересно, как это опеннет настроился так хитро, что его цепочка летэнкрипта работает на 4.0.4 андроиде, а другие сайты нет даже с учётом --preferred-chain "ISRG Root X1"
хромиум на винде7сп1 отказалсо казать много чего в хттпс, кроме гитхаба и тытрубы)))