Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, объявил о решении поэтапно сократить срок действия выдаваемых TLS-сертификатов с 90 до 45 дней. 10 февраля 2027 года срок действия сертификатов будет сокращён до 64 дней, а 16 февраля 2028 года - до 45 дней. Опциональная возможность получения сертификатов, действующих 45 дней, появится 13 мая 2026 года...Подробнее: https://www.opennet.me/opennews/art.shtml?num=64363
Давайте уже тогда сразу сделаем чтобы на каждый новый запрос был свой сертификат. И так к этому всё и идёт.
Главное чтобы твой сервер постоянно ходил и в ножки кланялся уважаемым людям. А они уже знают как тебя "посчитать".
Ну, получи вайлдкард сертификат. И что там тогда считать будут? Через ДНС и то больше инфы.
> Ну, получи вайлдкард сертификат. И что там тогда считать будут?Про DNS Zone Walking не слышали? А оно есть... и все субдомены будут посчитаны... если конечно вы не отключили ДНССЕК
Готов ходить и "кланятся" в Let's Encrypt чтобы получить сертификат. Самое главное, это не надо ставить сертификат Минцифры РФ, и прочие российские сертификаты.
Раб не ищет свободы, раб ищет милосердного хозяина.
> Минцифры РФ
> свободыИнтересные у вас игры
> Интересные у вас игрыПожалуйста, скажите, что притворяетесь. Не отнимайте у меня остатки веры в человечество.
А где я могу получить ОТЕЧЕСТВЕННЫЙ сертификат для своего домашнего Web-сервера без необходимости платить кучу денег за него? Я готов, укажите где. Нужно очень, не потому, что там что-то шибко секретное, а потому что на сайты без HTTPS браузеры уже ругаться начали.Хы... А на HTTPS с отечественным сертификатом браузеры всё равно ругаются... Ну, кроме Яндекс браузера...
Да и плевать, что они начали ругаться. Ты хочешь прогибаться под стандартизаторов, которых продавил Google, желая залесть в каждый ПК пользователя?
> Да и плевать, что они начали ругаться. Ты хочешь прогибаться под стандартизаторов,
> которых продавил Google, желая залесть в каждый ПК пользователя?Загляни внутрь своего компьютера - чей там процессор, память, видео, диски... Операционка чья... Прогнулся?
Разве всё перечисленное не находится в вашей собственности? Речь ведь идёт о навязанной услуге.
> Разве всё перечисленное не находится в вашей собственности? Речь ведь идёт о
> навязанной услуге.Почитай лицензионное соглашение с фирмой Microsoft, чья операционка, наверняка, у тебя стоит.
>лицензионное соглашение с фирмой MicrosoftХм... Вы наверное, как-то случайно на этом сайте оказались. Ну ничего, бывает...
> сертификат для своего домашнего Web-сервераДля домашнего сервера, достаточно создать свой СА, подписать им серверный сертификат а публичный ключ СА добавить во все домашние ПК
>> сертификат для своего домашнего Web-сервера
> ...добавить во все домашние ПКА не домашние? На мой домашний сервер ходят не только из дома. Он доступен из Интернета. Специально доплачиваю провайдеру за статический IP и держу доменную зону у регистратора.
Да там у этого персонажа всё наоборот.
Для домашнего сервера достаточно лэтсэнкрипта.
А вот создавать свою инфраструтуру подписи сертификатов, потом распихивать по всем девайсам. Кто-то пришел в гости... захотел другой браузер попробовать... Короче, столько гемора. Это какая-то параллельная зеркальная реальность у него.
> На мой домашний сервер ходят не только из дома.Ну тогда надо называть вещи своими именами, т.к. это уже по определению, - публичный, а не домашний сервер
Нет юридически значимого определения "домашний сервер". Вот вольное определение из Вики. Домашний сервер — это вычислительный сервер, расположенный в частном вычислительном доме и предоставляющий услуги другим устройствам внутри или за пределами домохозяйства через домашнюю сеть или Интернет.И с этим я согласен, ибо мои домашние устройства не всегда находятся дома. И даже мои домашние живут не в нём. Они могут быть и в какой-нибудь Австралии, где я грею пузо на пляже и не теряю связь со своей домашней сетью.
> Вот вольное определение из Вики.Вы конечно же можете верить вики от неизвестных авторов, но факт остаётся фактов, - если комп вылупился открытыми портами в публичный интернет, то он стал публично доступен.
Домашний сервер, это приватный, доступный только определенным юзерам, ограниченный домашней сетью, в предeлах RFC1918
> ибо мои домашние устройства не всегда находятся дома. И даже мои домашние живут не в нём. Они могут быть и в какой-нибудь Австралии, где я грею пузо на пляже и не теряю связь со своей домашней сетью.
А вот для этого существуют ВПН или меш-сети, tinc, tailscale, nebula, hamachi... когда доступ к **домашней** сети предоставляется через секюрный, НЕ ПУБЛИЧНЫЙ канал
> Домашний сервер, это приватный, доступный только определенным юзерам, ограниченный домашней сетью, в предeлах RFC1918Перечитайте сей RFC ещё раз. Там нет такого понятия, как "домашний (home)" вообще. "Приватный/частный (private)" - есть и это не обязательно дом. Все внутренние сети предприятий и организаций сидят на адресах из этого RFC.
Вы ещё домашний халат или тапочки ограничьте RFC, типа я в них за сигаретами в ближайший ларёк сбегать не смогу, потому что они публичными станут.
Хорошо, назовём его не "домашний", а "мой любимый сервер"... И вернёмся к исходному вопросу - должен ли я отказаться от использования сертификатов Let's Encrypt в угоду отечественным, или вообще обойтись без оных? Или генерировать свои и потом бегать по своей многочисленной родне и впихивать им во все их гаджеты? А заодно и приятелям и коллегам по работе, которым я иногда говорю, что, типа, рецепт моего вкусненького тортика выложен на моей Web страничке...
Главное, что без сертификата или с отечественным сертификатом от Минцыфры, браузер у них заругается, типа небезопасное подключение!... вы уверены?... и прочими нехорошими словами и красными замочками...
А с Let's Encrypt не заругается, обновляются они в автоматическом режиме по Cron-у, без моего участия. Возможность обновления там включается, по-моему, за 10 дней до окончания срока его действия, после обновления хуки перезагружают все зависящие от него службы.
Так что более удобной и дешёвой альтернативы пока нет. В том числе и отечественной.
> Там нет такого понятия, как "домашний (home)" вообще.Домашний - подразумевается ограниченный домом, в пределах дома, организации...
Если же вы открыли сервер всему интернету, то его могут поиметь все, от того он и становится публичным, несмотря что стоит дома "под кроватью"
А давал совет изходя от понятие домашнего сервера, но как оказалось, у нас они, понятия разные, отсуда следует, что если вы будете продолжать сервать интернет, то определенно, свои сертификаты не катаят
> Или генерировать свои и потом бегать по своей многочисленной родне и впихивать им во все их гаджеты?
Вот! Видите, родня оказывается вне предела вашего дома, отсюда называть его домашним - не катит.
И к вашему вопросу, - еще раз, если вы не хотите чтоб все кому не лень тыкались в сервак, закройте его позади меш сети.
> Так что более удобной и дешёвой альтернативы пока нет.
Цифровое рабовладельческое кольцо сжимается, чего вы хотели? Все сконцетрирoванно в руках нескольких больших корпораций, рулящих интернетом. Или у вас есть предложения поменять мир? Пока есть халявщики, толпой руководить еще будут столетия... ИМХО
На госуслугах
> На госуслугахБесплатно и в режиме автоматического обновления?
Бесплатно точно. А вот второе не предусмотрено.
Значит неконкурентноспособно.
https://habr.com/ru/articles/968218/
https://www.opennet.me/opennews/art.shtml?num=56830
на швабре как всегда толпа розовых хомячков, идентифицирующих себя пони бгг. я конечно не в восторге от закручивания гаек, но истина дороже: там чувак сравнивает ужасное фсб, которому закон не писан с добрым-пушистым анб, которое ну никак не будет устраивать точно такой же митм, имея все средства и полномочия. ну лол же, кринж, да?
И, что анб тебе сделает ?
Ишь какой нашёлся весельчак про швабры тут шутит.
АНБ написали Ghidra, которой я пользуюсь, полезные люди.А ФСБ эм...
Написали СОРМ... Которым ты пользуешься. Полезные люди.
Ну знаешь, как говорится "по делам судят".
У немцев были шпийоны, и у янки были, и у советов.
Но после некоторых событий немцев за людей перестали считать.
От так.
Let's Encrypt могут закрыться когда угодно, если захотят.
И зачем бы им этого захотелось?
Вот цену выставить - это годная мысль! А куда вы денетесь :)
Уже были проекты по внедрению постоянно заменяемых сертификатов, действующих считанные часы https://opennet.ru/51797-tls
> сокращения времени внедрения новых криптоалгоритмов в случае выявления уязвимостей в ныне действующих^^^ вот это самое главное. Вскоре алгоритмы начнут обновляться чаще, чем грибы после дождя.
а следом за ними - библиотеки, сервера...
ИБД всместо жизни. Самый цимес нонешнего оЙтИ :(
А не будет проблем с разными часовыми поясами и с неправильно настроенным временем? Из того что я видел - по всему миру разные специалисты и у большинства руки растут не из того места, откуда должны. Мне кажется что и с 45 днями будет немало проблем - кто-то что-то недопоймет, кто-то не так сделает, кто-то еле настроил то что работало годами и не захочет или с большими проблемами будет решать эту.
смотреть по UTC?)вот от "криволапок" и делают защиту - мелкий отвал это таки не взлом и подмена
кого-то заменят более сообразительными)
"настроил и работало годами" - это в оффлайне на обочине прогресса. в онлане надо оперативно патчить и переделывать - уязвимостей полно, а ИИ ботов - ещё больше.
Тяп, ляп, и в продакшен, ага. Разработчики разучились планировать дальше окончания спринта, называют это прогрессом.
- - - - а ИИ ботов - ещё больше.Некоторые из них когда-то программистами назывались....
Поначалу, может, и будет...
Штош, они просто не вписались в дивный новый безопасный мир.Они просто умрут.
Если кто-то не может добавить в crontab одну строчку с автопродлением через certbot - тогда ему нечего делать в админах.
Как я понимаю, сертификат принято обновлять на 2/3 его жизни. Поэтому, ИМХО, немного нестандартная цифра - 45 дней. То есть, чтобы серт в нормальных условиях обновлялся каждый месяц. Плюс еще треть срока - 15 дней в запасе. Ну, кто в последний день обновляет... Тут в комментах ниже нашлись люди, у которых подгорает от этого... ну, то есть они руками обновляют... и еще и в последний день... когда и так работы завались... xD
токены уже есть
Так это не let's encrypt. Это все.
Интересно, как быстро они взвоют, что их инфраструктура не справляется с возросшей нагрузкой?
Биллинг сгладит боль от повышенных запросов
Есть подозрение, что никакой возросшей нагрузки не будет. Как ходили к ним certbot’ы раз во сколько-то часов/дней, так и будут с точу же частотой.
У адекватных людей по рекомендациям от LE она настроена за 30 дней до истечения сертификата, то есть раз в 2 месяца.
Если настройки так и останутся, то обновление сертификата будет выполнятся раз в пол месяца, то есть возрастёт в 4 раза!P.S. Я изменять настройки НЕ намерен!
Мне нужен сертификат действующий больше месяца.
Не за 30 дней, а на 2/3 от времени действия. Так что ССЗБ.
> P.S. Я изменять настройки НЕ намерен!
> Мне нужен сертификат действующий больше месяца.Тогда бесплатный LE не для тебя. Ищи CA с другими условиями.
Да какая разница, хоть до недели.
Кто-то их руками тягает что ли?
До сих пор есть динозаврусы, которые лапами меняют cert.crt и priv.key, а потом service nginx reload, как диды завещали.
В любом обществе есть люди с девиантным поведением. Только как это относится к этой новости? Мне надо их пожалеть? Они сами добровольно выбрали этот путь. Более того, у них есть масса альтернатив, так что эта ситуация не из разряда - "делаю руками, а што еще можно поделать, такова жизнь!"
Если тебе понадобится убрать критический риск MITM, будешь и руками сертификаты обновлять, и скрипты писать для этого сам. Правда, тебе уже не светит заниматься ничем серьезным, в принципе никогда. Криптоэнтузиастом на старости лет тоже вряд ли станешь с таким отношением.
Ну так по факту он говорил, а ты можешь хоть ссш ключи руками гонять, и называть себя спецлп нбца каким.
ТОлько все системы автоматической настройки систем придумали деды, как ты их называешь.
Когда требуется верификация через DNS. Например, для доменных имён корпоративного интранета.
> Когда требуется верификация через DNS.Расскажи подробнее.
Да не вопрос: сервера только с rdp/vnc, asterisk без веб морды. И наружу торчат только непосредственно рабочие порты 3389, 5349, 5060, 5900...
Тут либо через dns, либо автоматизировать включение и отключение портов на шлюзе с временными цертботовскими вебами на серверах, либо запрашивать-получать со шлюза и распространять по серверам.
Последние варианты - это локальное хранение реквизитов доступа.
У тебя целых 3 готовых варианта для автоматизации, сам же и выдал...
За два из которых будет а-тата от безопасников...
> для доменных имён корпоративного интранетаКорпоративный интранет есть, а корпоративного CA нет? Дай угадаю, корпорация -- это ты, бабушка и кот, а интранет -- две мобилы, десктоп и подкроватный сервер. Угадал?
Таки внутрисетевой поднять не проблема, в отличии от автоматизации доверия ему зоопарком подключающихся к сети систем.
А приобретение полноценного subordinate ca весьма не бюджетно.
Ой ППЦ гдеж вас таких делают? :(Для самых маленьких - да в любом AD уже есть CA, для интранета - самое то!
> Ой ППЦ гдеж вас таких делают? :(
> Для самых маленьких - да в любом AD уже есть CA, для
> интранета - самое то!Явно не там, где вас больших, ибо:
1. CA - отдельная роль. Ее можно поднять, а можно и не использовать - это опционально, а не "в любом AD уже есть CA".
2. Если это не интранет яжадмина из нескольких форточек, то в сети еще могут быть android, ios, linux, macos, bsd... И без наличия серьезной дорогой mdm им всем придется прописывать доверие самодельному CA вручную, на что и было указано выше.
3. Изначально шла речь про "доменные имена корпоративного интранета" в рамках lets encrypt, что подразумевает высокую вероятность необходимости доверия некоторым из них не только из lan, но и из wan, что, в свою очередь, может потребовать приобретения доверенного sub-ca, о чем тоже было указано выше.
если это не интранет яжадмина - там И ТАК должен быть mdm. (И CA там ДОЛЖЕН быть, иначе ничего работать кроме локалхоста не будет)ну а если нет - значит юзверьки хорошо дрессированы и просто добавишь им еще один пункт в инструкцию. (Кстати, кто-нибудь может мне объяснить, как, с-ко, связано добавление сертов вручную и...ТАДАМ - заshita ведроида отпечатком или мордой? )
Хинт: до ужосов ковидлы таких инструкций в корпоративных сетях было у каждого первого. (если бы ты не был админом локалхоста, то знал бы для чего и почему)
> может потребовать приобретения доверенного sub-ca
вам-с - не продадут-с.
Ну если ты чуток поменьше чем какой-нибудь сименс, то вообще не светит.
> если это не интранет яжадмина - там И ТАК должен быть mdm.
> (И CA там ДОЛЖЕН быть, иначе ничего работать кроме локалхоста
> не будет)Не умеете и не будет - не одно и то же.
Куча сетей и доменов как-то успешно до вас справлялись без поднятия AD CS. Равно как и без дорогих навесных MDM, довольствуясь конфигурацией встроенного функционала и допиливанием недостающего скриптами.> им еще один пункт в инструкцию.
Автоматизация ИТ-процессов посредством ручных действий пользователями по инструкции - это пять :)
Вы, наверное и кронами-шедуллерами всякими богомерзкими не пользуетесь: отдельно назначенный сотрудник сидит и кликает на ярлычки по таймеру.
> кронами-шедуллерами всякими богомерзкими не пользуетесьЗачем нужен крон в 2025 году, если везде есть божественный системд?
Явно там дидовские протухшие башпартянки развешаны. Это и есть вся ваша "Автоматизация ИТ-процессов". Зато как звучит!
>> если это не интранет яжадмина - там И ТАК должен быть mdm.
> Не умеете и не будет - не одно и то же.
> Куча сетей и доменов как-то успешно до вас справлялись без поднятия ADвот досюда правильно. Зачем тебе какой-то ад на локалхосте. Успешно справлялись. В каком-нибудь 94м году. Откуда тебя с твоими навыками к нам зачем-то и телепортировало.
> CS. Равно как и без дорогих навесных MDM, довольствуясь конфигурацией встроенного
> функционала и допиливанием недостающего скриптами.о, этот неповторимый запах старого носка забившегося в вентиляторы подкроватной стойки.
> Автоматизация ИТ-процессов посредством ручных действий пользователями по инструкции
пользователь, не желающий ручных действий - не сможет пользоваться собственными устройствами. Вон корпоративный терминал, дождись своей очереди и садись. Заболел - оформляй как положено больничный и получай свою 1/3 зарплаты минус премия, никаких тебе работ из дома. И с телефона тоже не положено. допиливание недостающего скриптами на телефонах пары тыщ пользователей, это так мило.
Зато никаких ручных действий, там на терминале проброс на vdi, в ней все сертификаты настроены и инструкции выполнены без твоего участия. И после логаута она уничтожается. Вместе с твоими настройками, даже теми немногими что тебе разрешены. Будь как все, не выделывайся.
> - это пять :)
> Вы, наверное и кронами-шедуллерами всякими богомерзкими не пользуетесь: отдельноэто действительно пять. Запах тех самых носков.
А теперь с небес (точнее из подвальчика) на землю - попробуй подключиться к корпоративному rdp серверу. Ой?! Ну да, ой.
Потому что ms'овский rdp внезапно не (совсем не!) умеет подключаться к гейту с неизвестно кем подписанным сертификатом. И никакой кнопки "продолжить". Можешь на него посмотреть. (экспортировать - не можешь, почему-то оно не умеет в экспорт всей цепочки, а тебе-то нужен на самом деле корневой)И вот как, помог тебе твой крон?
Нет, на выдаваемом менеджеру среднего звена ноуте конечно будут сертификаты, ноут-то в ad заведен, а если протухнут - просто сдаст его в службу поддержки и через день заберет новый. Но там ничего кроме работы и делать нельзя, менеджеры тоже такие ноуты не любят.
P.S. правда этому клиенту бесполезно объяснять - у него ад без pki развернут. Какие там еще rdp гейты.
> А теперь с небес (точнее из подвальчика) на землю - попробуй подключиться
> к корпоративному rdp серверу. Ой?! Ну да, ой.Ни разу не ой, ибо на шлюзе автоматически обновляющейся LE с предустановленным доверием на современных ОС. И все это без AD CS.
> И вот как, помог тебе твой крон?
Естественно, один раз настроил на шлюзе и он обновляет сам себя автоматом. Разве что, в зависимости от используемого ПО получения/обновления сертификата, может потребоваться после применять скриптом к iis и tsg, но это, опять же, делается один раз при задаче автоматизации.
> Ни разу не ой, ибо на шлюзе автоматически обновляющейся LEв общем все как у подвальных принято.
> автоматически обновляющейся LE с предустановленным доверием на современных ОСэто так мило - защитная защита непонятно кем выданным сертификатом...
>> автоматически обновляющейся LE с предустановленным доверием на современных ОС
> это так мило - защитная защита непонятно кем выданным сертификатом...Таки выданные CA от LE ключи не сильно отличаются от дешевых платных, выданных startssl, sectigo, globalsign и тп. И кем выдан тоже вопросов не вызывает.
Соответственно, со стороны клиентов - сниженное доверие лишь из-за отсутствия OV-EV.
Если же конкретизировано "непонятно кем выданным", то ранее уже упоминалось: либо дорогой subca, который не всем по карману, либо MDM для автоматизации обслуживания зоопарка платформ своих устройств и смиряться с проблемами гостевых/сторонних.
>> Кто-то их руками тягает что ли?
> Когда требуется верификация через DNS.И зачем это делать вручную когда это элементарно автоматизируется?
Не ручками, но есть что-то закрытых контуров. Не секретных, а просто изолированных от мира(типа внутреннего nextcloud и т.д.). Открываешь доступ, сертификат обновляентся на 3 месяца, закрываешь доступ. Да, таких "закрытых контуров" мало, но когда у тебя "жопа в мыле", очень занят, а прилетает алерт, что пора обновлять сертификат, это дико бесит. Теперь это будет бесить в 3 раза чаще.
> Открываешь доступ, сертификат обновляентся на 3 месяца, закрываешь доступ.А не проще верификацию через ДНС сделать и автоматизировать чем ручками или туды/сюды открывать?
> А не проще верификацию через ДНС сделать и автоматизировать чем ручками или
> туды/сюды открывать?Таки не все dns-сервера и не все dns-хостинги поддерживают легкое удаленное создание/обновление записей.
А технологию постоянных dns-записей авторизации LE планируют начать внедрять, судя по последним новостям, только в следующем году.
>Таки не все dns-сервера и не все dns-хостинги поддерживаютЯ б просто поменял регистрара и/или ДНС сервер в таком случае чем в ручную
>>Таки не все dns-сервера и не все dns-хостинги поддерживают
> Я б просто поменял регистрара и/или ДНС сервер в таком случае чем
> в ручнуюЗачем торопиться?
Урезание запланировано на 27й год, а в 26-м планируют внедрить constant-dns: один раз вручную задал dns-запись авторизации и хоть ежедневно обновляй без публикаций.
> Зачем торопиться?Жизнь к сожалению очень короткая штука, а время = жизнь. Не вижу смысла терять жизнь, если это можно избежать прост поменяв провайдера или софт
Может надо просто настроить нормально, тогда и бесить не будет?
Если что, у меня такой же локальный зоопарк, скрытый от внешнего мира. И все работает без моего участия.
ППЦ ... и ведь он - серьёзно :(Получай обновы на вне закрытого контура и всовывай во внутрь. Получай на сертификат на вилдкард, он на всё внутри подходит.
Сесть, написать, отладить - даже если ты туповат за неделю управишься, а если нет - за вечер.
"теперь у нас ДВЕ проблемы"(c)
> "теперь у нас ДВЕ проблемы"(c)три проблемы, у нас еще вне защищенного контура образовалась пы0мэрзкая поделка с доступом из интернетов, причем ответственность за ее надежность и безопасность традиционно переложена на никого.
А при внимательном рассмотрении еще и окажется что она не настолько "вне" как все думают, и при проломе допустим виртуализатора - получает вообще все доступы ко всему.
Главное не ставить собственную pki, и гордиться своими криворуками.
> типа внутреннего nextcloud и т.д.).если контур закрытый- то сертификты тоже закрытые, скорее всего доменные...
Если ты видишь, что проблема именно в "тягании" или автоматизации данного процесса, то вообще ничего не понимаешь в этом.
"Ты ничего не понимаешь" - отличный прием, но немного устарел. Зачастую означает "у меня не хватает квалификации объяснить, поэтому просто надую щёки".
Лягушку варят медленно(С) Ындейцы
Кто-то тягает, когда нужен wildcard сертификат, а он выдаётся только через dns challenge. А у каждого регистратора свой api для управления зоной (а у некоторых и вовсе, только веб-интерфейс). И готового решения для интеграции с certbot'ом в таком случае нет. Либо самому костыли писать, либо руками обновлять.
Я. т к хостинг не может их получать для субдомена сам
А я может пропустил что-то, но были ли какие-нибудь реальные ситуации, когда сертификат был украден и кто-то у кого-то трафик перехватывал? Я смог вспомить только ситуацию с jabber.ru, но им никакое сокращение сроков не помогло бы, так как там была операция со стороны каких-то органов и хостер был в сговоре. Им бы там даже однодневные сертификаты не помогли в таком случае.
> Им бы там даже однодневные сертификаты не помогли в таком случае.Скорее всего помогли бы. Выше шанс заметить, что у тебя сервак в оффлайн вываливается на несколько секунд каждый день.
А что за ситуация с jabber.ru?
https://opennet.ru/59965-mitm
Подозреваю, что перехват не прекратили, а просто добавили в инфраструктуру хостера софт, дамп памяти машины делающий и ключ извлекающий. TEE-аттестация не поможет - Intel как надо подпишет системный анклав.
честно говоря, по опыту совсем недавнего общения с этим самым хостером (тов.майор - я нечаянно! И хвост не мой!) - это могли быть просто руки из того самого места.В общем, не так давно получил я с того хостера стопиццот уведомлений что превышен лимит трафика.
Пошел разбираться.
Выясняется, что криворукие мартышки запихнули в порт моего сервера всю /25 или сколько у них там (при том что там штатно ip protection и куча других ограничительных фич на свитчах включены, чтоб клиенты не особо резвились). То ли оно так ими и было задумано, то ли у свитча кончилась память и он превратился в хаб - в общем, прет на меня трафик, адресованный совсем не мне.... но есть нюанс. На этой коробке сложная система виртуалок и впнов и включена маршрутизация. Ну и внешний порт естественно в promisc по этому же поводу. Угадай что она делает, получив пакетик, адресованный не ей?
Праааавильна - отвечает иди нахрен. Ну с неплохим таким рейтом отвечает (могла бы и отфорвардить, но на их несчастье там фильтры).Я, конечно, человек добрый. Добавил правило drop для таких входящих. Но будь я человеком не настолько добрым, и окажись там какой-нить жабервру - что, скажи, помешало бы мне эти пакетики аккуратно перехватывать и отдавать обратно...нетольколишьвсе (причем отданные - свичтехаб же ж доставит небось и настоящему адресату - так что тот не особо чего и спалит)?
И да, общение с м@к@ками заняло пол-дня, у них там перерывы на обед. После чего они... правильна, уронили мне сервер так что с трудом сумели обратно поднять. Нет, я не знаю зачем они физически к нему полезли когда дело в настройках сети. Но в общем это же подтверждает их "квалификацию", а не товарищмайора за спиной. Тот был бы аккуратней.
Траффик правда на пару недель пропал, но надысь вот - снова появился. Как ты понимаешь, второй раз я этих мак@к беспокоить не стал, а то штука хрупкая, снова можно уже и не оживить.Виликие немецкие спициалисты, спешите видеть. (А тебе, Ваня с незавершаемым делом о предоставлении уежища...э...убежища? Не, все правильно! - мы предложим должность мойщика сортиров и еще вот оператора на телефоне. Ой, ты со своим B2 кажется не проходишь. Сиди дальше в шелтере с арабскими бешенцами, следующий прием через два года.)
> Виликие немецкие спициалистыГде они еще остались? Германия уже давно маленькая Турция... хотя сейчас уже может быть Сирия... или еще какая страна. Набрали по объявлению...
> Где они еще остались?последний раз чувак с явно турецкой фамилией отвечал мне там лет десять, наверное, назад.
И один раз был индус. Который,кстати, кое-как но починил таки то что до него очередной Ганс развалил. Но тоже давно.Ни Артур, ни Ричард отвечавшие мне в той переписке про сломанную маршрутизацию на свитчах - на турецкие имена совершенно непохожи. Маскируются, наверное.
Давно пора выдавать сертификаты через госуслуги обновление раз в неделю. Кто не отметился в МФЦ на нары.
Ну почти:
- https://habr.com/ru/articles/968218/
- https://opennet.ru/56830-tls
Ну это годится только для нацианальных сертификатов.
https://www.gosuslugi.ru/landing/tls
Как вы обновляете сертификаты для нескольких субдоменов? Сам LE такие сертификаты обновлять автоматически отказывается, требуя выполнения "DNS challenge" — всовывания заданой строки в TXT record. Дёргать bind9 из под портянки запущеной от рута не хочется, но выбора скоро не будет...
> Как вы обновляете сертификаты для нескольких субдоменов?Да так и обновлял. Пока их не накопилось большое количество. Тогда при переезде и первом запуске, Caddy побежал радостно получать все их по новой, тогда и попал под ограничение.
Так что если их много, просто надо по времени разнести первое получение.Если скрипт тупенький и рвется их обновить в одно и то же время, то будет тот же результат.
У меня проблема другого плана, используется один сертификат для кучи субдоменов(git.tld.com, chat.tld.com...). Их нельзя просто так обновить без добавления TXT record в zone-file, сам certbot отказывается.
После каждого такого челленджа ту TXT запись удалял, а теперь подумал, а не стал бы бот обновлять сертификаты будь она там? Хотя предположуч что строка генерируется для каждого реквеста, а не для каждого сертификата.
> используется один сертификат для кучи субдоменов(git.tld.com, chat.tld.com...)То есть у тебя сейчас вайлдкард сертификат, который выдается на *.tld.com?
Могу только рассказать, как у меня сделано.
Сам решай, подходит тебе это или нет.Стоит Caddy, который на 90% работает в качестве реверс прокси и получает один сертификат *.tld.com на всё.
Для Caddy есть плагины для разных провайдеров DNS, которые автоматизируют процесс прописывания TXT записи.
Для моего регистратора не было подходящего, переводить управление всем доменом к другому не хотелось. Но, на сколько я помню, в dns-challenge TXT запись не обязательно должна прописываться для _acme-challenge.tld.com. Можно на _acme-challenge.tld.com повесить CNAME, например, на _acme.something.tld.com. В NS записи для something.tld.com прописать NS сервера DNS провайдера для которого есть плагины для Caddy. И в настройках Caddy есть параметр "dns_challenge_override_domain" в который можно прописать _acme.something.tld.com.
В итоге сторонний сервис у меня рулит только ненужным поддоменом something.tld.com, Caddy через API этого сервиса подпихивает нужную TXT запись и получает вайлдкард сертификал *.tld.com. А дальше с этим сертификатом проксирует условные git.tld.com, chat.tld.com.
сделай API key у твоего регистрара и создавай DNS записи, жди потом запускай certbotя написал в конце концов этот баш скрипт с помощью ботов
а есть регистрары у которых плагины есть для certbot
Там у человека свой авторитативный DNS сервер.
PowerDNS в помощь у которого есть API, а для BIND копать в сторону --dns-rfc2136в общем все то же самое, как и написал
если у него свом собственный неймсервер, то как бы должен уметь с ним справиться
а TXT записи придется создать ))
> то как бы должен уметь с ним справитьсяНу, может, у него своя сеть на 3 компа. На чём-то надо учиться.
К чему этот лишний пафос...
>> то как бы должен уметь с ним справиться
> Ну, может, у него своя сеть на 3 компа. На чём-то надо
> учиться.
> К чему этот лишний пафос...я абсолютно без пафоса, просто кейс описываю
certbot certonly --preferred-challenges dns --issuance-timeout 200 --email <email> --manual -d '*.<domain>' -d '<domain>'и да, для этого он просит DNS challenge, но разве это какая-то проблема?
Доменов и поддоменов что-то сильно больше сотни (у каждого свой сертификат).На реверс-прокси с nginx'ом стоит acme.sh который и делает всю работу автоматом (при необходимости выкладывая в http://<имя домена>/.well-known код авторизации для получения очередного сертификата)
В хуках у сертификата прописана (если нужна) раздача сертификата через rsync после обновления на другие компы (если, например, бэкенд принципиально не хочет работать через http, а только через https с валидными сертификатами). Обновился сертификат на реверс-прокси - тут же улетел на другие машины.
За папкой с сертификатами приглядывает systemd-вотчер (стандартно на bla-bla.path), если какой сертификат обновился - релоад nginx'а.
Почему acme.sh? Работает без рута и конфиги nginx'а своей самодеятельностью не гадит. Но это всё вкусовщина.
ЕСТЬ
МЕХАНИЗМ
УЖЕ 100 лет
https://wiki.archlinux.org/title/Certbot#Configure_BIND_for_...Единственное - после этого надо делать rndc freeze и thaw, по хорошему, если лежишь файл зоны ковырять.
Купите или скачайте уже книгу "Dns и Bind", от O'Really, и прочтите хотя бы оглавление, чтобы понимать возможности.
Домен _acme-challenge делегируешь. Да, так нельзя (в стандарте ничего не сказано что в имени ns допустимы подчеркивания) но можно, потому что никто кроме уродов из летшита, за этим доменом и не придет, а у них ничего не проверяется.На том сервере который у тебя занимается сертификатами - поднимаешь отдельный нэймсервер с НОРМАЛЬНЫМ интерфейсом управления. (уж точно не bind с его бесконечными дырами в любом месте связанном с криптографией. Впрочем, для этой задачи годится любой мусор, хоть сам на awk пиши, если еще никто не)
В нем - единственная зона с единственной txt.Ничего кроме этого неймсервера и собственно acme-долборобота разумеется на этом сервере не держишь. Неплохой вариант - что он вообще у тебя выключен 23 часа в сутки.
Синхронизация с него полученных сертификатов с тем сервером которому они на самом деле нужны - на твое усмотрение, и используй запрос с того сервера а не наоборот.
Так удается хотя бы свести поверхность атаки к околонулевой. Разумеется, со всеми прочими "прелестями" навязанных летшиткриптой одноразовых сертификатов ничего сделать не получится, но это уже угроза для клиентов а не твоей инфраструктуры.
Для умных клиентов можно на досуге развернуть параллельные интерфейсы с собственным CA которому они и ты доверяешь. (умные клиенты не используют макось и ее клоны, учти)
Зависит от количества.
В пределах десятка у меня через http-challenge и certbot-nginx обновлял все vhosts, и одновременно запускаемые из одной внешней подсети обновления/выдачи через standalone временный работали без всяких блоков.
А разве CA/Browser Forum не убьёт этим всю отрасль удостоверяющих центров? В коммерческих CA весь смысл был, что можно было сертификат на три года взять.
Туда им и дорога
> что можно было сертификат на три года взятьЧтобы их распечатать и на стену повесить?
3 года давно нельзя, давно уже 13 мес ограничение.
если можно настроить автоматическое обновление, то какая разница? будет серт на 3 года с автопродлением каждые 45 днейпричино называли:
>генерация короткодействующих сертификатов позволит быстрее внедрять новые криптоалгоритмы в случае выявления уязвимостей в ныне действующих, а также сократит угрозы безопасности. Например, в случае незаметной утечки сертификата в результате взлома короткоживущие сертификаты помешают злоумышленникам длительное время контролировать трафик жертвы или использовать сертификаты для фишинга. Более частая валидация и сокращение сроков действия сертификатов также уменьшат вероятность того, что сертификат продолжит действовать после потери актуальности содержащейся в нем информации и снизят риск распространения неправильно выпущенных сертификатов.
другая ж причина то- можно отключить неугодных
Нельзя, коммерсы за автообновление деньги берут.
> А разве CA/Browser Forum не убьёт этим всю отрасль удостоверяющих центров?Так именно для этого и делается, власть она такая штука, что всегда хочет монополию :)
> В связи с сокращением срока действия сертификатов Let's Encrypt рекомендовал пользователями не обновлять сертификаты в ручном режиме, а перейти на автоматические системы управления сертификатами.Ай-яй-яй?
Self signed наше всё!
Сарказм, если что.
В каждой шутке есть доля шутки
ну ты понскорее всего будем опять скоро друг дружке серты подписывать
https://www.opennet.me/opennews/art.shtml?num=56830
Если клиентские приложения на подконтрольной тебе инфре, это действительно наше всё.Только не Self signed, а собственные CA. Делаешь Root CA свое. Генеришь интермедиаты. Подписываешь ими сертификаты для серверного использования. Обслуживаешь CRL.
И даже для такого есть решения с ACME из коробки.
А что будете делать, когда браузеры откажутся работать с сертификатами, у которых срок больше 45 дней?
Они не откажутся, они будут выдавать ошибку сертификата. Что сейчас с self-signed и так происходит. Надо нажать "да, я хочу туда зайти". Одной ошибкой больше, одной меньше, без разницы.
> они будут выдавать ошибку ... Надо нажатьГде-то останется кнопка, а где-то (особенно на смартах) её уже нету, и на self-signed не зайти никак.
В подавляющем большинстве браузеров все эти кнопки есть, на смарте тоже
В самом же посте "ERR_CERT_VALIDITY_TOO_LONG". И это как с устаревшими шифрами - идёшь лесом без всяких кнопок.
В плане - сначала будет "продолжить", а потом уже не будет. А могут и сразу обломать.
> новые требования ассоциации CA/Browser Forum, которым должны следовать производители браузеров и удостоверяющие центры.Как так получилось, что есть целая ассоциация, указывающая как жить производителям браузеров и УЦ? А если их нах послать и не выполнять их требования?
Вероятно, это ассоциация делает предложения от которых невозможно отказаться. Новый мировой порядок.
> А если их нах послать и не выполнять их требования?Кто и кого будет посылать?
Некий CA всех остальных? Ну, пущай посылает. Браузеры будет всё равно с 2029 года выдавать ошибку "ERR_CERT_VALIDITY_TOO_LONG".
Некий Браузер всех остальных? Ну, пущай посылает, ничего не поменяется. Будет принимать сертификаты с большим сроком, но всё равно никто не будет к нему с ними приходить, потому что никто не будет их выдавать.
ЦА (НЕ CA) будет посылать? Смешно, каким образом...Тут для успешного посыла, а не пуканья в лужу, надо, чтобы какая-то CA объединилась с каким-нибудь Браузером... Тогда один может выдавать длинные сертификаты, а другой на них не ругаться. И для успешности сего действа, еще основать CA/Browser Forum 2.0 (blackjack edition with sluts)... Короче, хорошая хахашечка.
полагаю, в этой ассоциации все те же "уважаемые" люди из гуглов и прочих клаудфларей, которые думают о твоей "безопасности".
Да
https://www.opennet.me/opennews/art.shtml?num=54284
Так в этой организации кто в совете директоров? Уважаемые люди в совете: Google, Microsoft,...
>> Так в этой организации кто в совете директоров? Уважаемые люди в совете: Google, Microsoft,...Судя по этой логике, если они занимаются безопасностью, то это организации двойного назначения, т.е. по сути военные. Верно?
> The Certification Authority Browser Forum (CA/Browser Forum) is a voluntary gathering of Certificate Issuers and suppliers of Internet browser software and other applications that use certificates (Certificate Consumers).Так сами её и организовали. Это скорее к автору новости вопрос по поводу - кто, кому и чего должен.
>целая ассоциация, указывающая как жить производителям браузеров и УЦкоторая из них же и состоит! Хоть бы по ссылкакам в статье перейти и глянуть, но зачем? Ведь можно просто пёрнуть в лужу)
эт их ответ на лигу онторнета
Тут есть ещё какой приятный и даже основной эффект, помимо безопасности. Новые правила в том числе нацелены сделать ручное обновление сертификатов максимально неудобным. Настолько неудобным, чтоб иного пути, кроме как автоматизации (даже с адской жопоболью) не осталось. Вообще.И это даже не скрывается особо, в рассылках так точно.
> помимо безопасностиУбрать человеческий фактор = повысить безопасность.
>Убрать человеческий фактор = повысить безопасность.Особенно когда автоматизация выглядит как curl http://certuri?host=myhost | sudo sh
Дураков хватает, что теперь, ничего не делать?
Или ты за то, чтобы усложнить процесс выдачи, чтобы большинство самописных отвалилось?ИМХО, сейчас нормальный баланс. Можно для себя и на коленке какую-то лапшу накидать, но тут и требования к безопасности минимальные. А там где нужна безопасность, там тебе не дадут этого сделать. Во всяком случае есть все условия для этого.
> ИМХО, сейчас нормальный баланс. Можно для себя и на коленке какую-то лапшу
> накидать, но тут и требования к безопасности минимальные. А там где
> нужна безопасность, там тебе не дадут этого сделать. Во всяком случае
> есть все условия для этого.Там где есть обращения к чужим серверам, всегда есть человеческий фактор. Вы думаете сервера Let's Encrypt сами себя обслуживают и охраняются парой автоматчиков? Я за то, чтобы выкинуть X.509 со всеми этими левыми "доверенными" конторами и повсеместно использовать получение ключей через DNS. А для лучшей безопасности можно ещё и проверять ключи через обратный DNS, но это уже имеет смысл делать только если ключи изменились. Даже если владелец root зоны захочет подменить ключи у opennet.ru, то ему надо будет изменить ключи для .ru, а это палевно. Если владелец .ru захочет подменить ключи то получение ключа по IP спалит подделку. И только если владельцы .ru и RIPE договорятся, то ключ можно будет подделать. Но вероятность этого ничтожно мала. А эти инициативы по автоматизации только снижают безопасность.
По сути нынче так и ИИ может, но тут есть нюанс - ИИ может быть локальным
Да что за бред-то. Злоумышленники и за 5 минут уложатся, зато всем остальным страдать.
Да просто гебня попросила, сказала "Злые преступники пользуются вашей этой PKI, либо оказывайте содействие в перехвате - либо сядете все как соучастники". При такой постоянной смене сертификатов и не узнаешь, что гебня выпустила свой через LE.
И что изменится?
Если будет доступ к инфраструктуре, то злоумышленники также раз в 45 дней будут перевыпускать сертификат.
Если криптоалгоритм окажется уязвимым, то для этого есть отзыв сертификата (уже делали в том числе и LE).
Проблем прибавляется, а вот очевидной пользы примерно никакой.
Если делают, значит кому-то это выгодно с той или иной точки зрения. Думай кому.
Через несколько лет:
> Let's Encrypt уменьшит срок действия сертификатов до 45 днейи введёт плату за продление.
Плата за продление это ещё не самое плохое, что может случиться. Гораздо хуже если сертификаты будут выдаваться выборочно, в зависимости от желания выдающего.Ещё хуже, если выяснится что сертификаты от Гугла сгенерированы таким образом, что их значительно легче взломать, если знать этот их секрет.
Любительстим сайтам не нужны HTTPS. Переключайтесь на HTTP.
Для поделок действительно несложно организовать передачу криптованных данных под http.
Крипта и веб? У тебя все нормально?
> Крипта и веб?Бро, я даже не знаю, что тебе ответить... Попробуй найти в словаре слово "cryptographic", и вот это прочитать: "OpenSSL implements basic cryptographic functions". Это для начала понимания.
>> Любительстим сайтам не нужны HTTPS. Переключайтесь на HTTP.Проблема в браузерах. Нынче ставят палки в колеса с этим https, что влияет на даже само желание любительские создавать
На gopher, чо уж.
> Переключайтесь на HTTP.Да, это отличное решение!
Чтобы пользователю любой захолустный провайдер (если такие еще остались) мог в вашу страничку рекламу вставлять. Или произвольные скрипты. Или еще какую-то бяку.
Сразу вернемся во времена IE5
Тут все больше как-то по теориям заговоров. Простые мелкие корыстные цели манагеров среднего звена для них пустяк.
> Тут все больше как-то по теориям заговоров. Простые мелкие корыстные цели манагеров
> среднего звена для них пустяк.потому что манагерам среднего звена - кто-то платит не такие уж маленькие зарплаты.
И у этого кого-то если есть корыстная цель, то она - большая. Но никакой большой корысти от летшиткрипта и единогласного голосования "комитетов", старательно уничтожающих саму возможность хотя бы относительного контроля за тем, какой и откуда сертификат используется твоим сервером - не просматривается даже в очень мощные микроскопы.
Так что остается, увы, теория заговоров.
> Любительстим сайтам не нужны HTTPS. Переключайтесь на HTTP.Многие API работают только в Secure Contexts - то есть через HTTPS. При использовании HTTP всё это не заработает:
developer.mozilla.org/en-US/docs/Web/Security/Defenses/Secure_Contexts/features_restricted_to_secure_contexts
>> Любительстим сайтам не нужны HTTPS. Переключайтесь на HTTP.
> Многие API работают только в Secure Contexts - то есть через HTTPS.было бы вполне здорово, если бы любительский сайт никогда-никогда даже и не думал использовать эти "многие апи".
В целом, еще лучше было бы чтобы их вообще никто не использовал, но как обычно у м@к@к подгорает если они не могут всунуть какой-нибудь "barcode detection".
> При использовании HTTP всё это не заработает:
и это просто прекрасно.
Всё идет к плате за продление сертификата.
Сначала будет $1.99 per user в год (что дешевле чем покупать обычный сертификат), потом дальше - больше
Что значит "идет" ?
До let's encrypt только так и было. И суммы там значительно больше.
програвают. с растом та же фишка
огромные! Я вот, к примеру - платил по $0 в год, представь себе.Суммы там брались в других случаях и ровно за то, чтобы никаким вот вообще образом нельзя было выдать себя за жабервру если тот за такой серт заплатил.
Но кому-то очень захотелось это поломать, и выдавать сертификаты на три дня и кому попало.
Сказочник. Не было тогда бесплатных сертификатов - платила либо ваша контора, либо было включено в тариф хостинга.Или вы про самоподписаный, или со своим CA ?
Но это вообще из другой оперы.
У них там хватает спонсоров.abetterinternet.org/sponsors/
И железки не то чтоб сильно жир.
letsencrypt.org/2021/01/21/next-gen-database-servers
Вот я когда на сайт захожу, а вижу ответ клаудфлары с якобы 500-ой ошибкой от якобы сайта. И ответ подписан сертификатом сайта. Это так и задумано в архитектуре ЦА, что MITM легко может хапнуть трафик?
клаудфларь это mitm by design, с разморозкой
Тебе твой сертификат не поможет. Вот даже если ты используешь публичный ключ, не знаешь приватный, то открою тебе очевидную истину - клиент пользующийся сайтом тоже его не знает. Впрочем даже добавлю что он и публичный то не знает, он его запрашивает. Какой в этом смысл тогда? Я х.з. ну запросит клиент публичный ключ - он ему даст. Даже если клиент запросит у mitm - ключ валидный? Ну mitm конечно ответит что валидный, а как ещё? В подборе приватного ключа нет абсолютно никакого смысла. Даже если кто-то считает его на суперкомпьютере и вот кто-то посчитал что 45 дней достаточно коротко чтобы не рассчитали. Вот если рассматривать именно mitm, то тут эти ключи вообще до лампочки.
не мне мой не поможет, а тебе твой
И да забыл добавить очевидное - сервер клиента также не знает. Так-что ваши ключи в плане безопасности до лам-по-чки, какими бы криптостойкими они не были.
Давно из заморозки? Сертификаты придуманы не для того, чтоб твой трафик никто не мог хапнуть, они сделаны, чтоб твой трафик мог хапнуть кто надо и по запросам кого надо. А ты про это не фу-фу. https это "зашита он соседа Васи", а по факту это контроль. Сокращение время выпуска это чтоб продавать автоматизированные средства продления сертов, без которых люди и понимать скоро уже не будут что это где это и как этим рулить.
> Сертификаты придуманы не для того, чтоб твой трафик никто не мог хапнутьну вообще-то придуманы - для этого вот. в том числе. Попробуй-ка получи "EV" сертификат даже сейчас. И попробуй-ка обойти потом cert pinning + hsts.
Но кому-то очень важному захотелось чтобы этого не было. Глупых леваков развели вот этим самым "6ешплатно!" (они ж не умели пользоваться интернетом и не знали что бесплатные сертификаты и так общедоступны) а остальных - заставили, запретив в браузерах неправильные технологии. О БЕЗОПАСТНОСТЕ заботились! Особенно вот вранье про небезопастный pinning было убедительным.
Так вот и в deep state поверишь...
> https это "зашита он соседа Васи"
моя (и жаберврушная) истории как бы намекают, что от соседа васи как раз вообще нынешние подделки вместо сертификатов никак не защитят.
Самое интересное никто даже и не думает создавать альтернативные международные организации для замены тех же корневых узлов на существующих технологиях или создания альтернативных технологий передачи данных и адресации. Даже если начать на существующих - заменить тот же панни код на что-то более удобное в DNS уже великое дело. Избавиться от монополии сертификатов и публичных IP кажется вообще почти не выполнимым, но это нереально гигантское дело.
Подскажите, пожалуйста, эти международы в одной с вами комнате? Они обмениваются с вами альтернативными IP-пакетами или только меняют друг другу корневые узлы?
Ну вот как бы вам смешно не казалось, я не считаю ну вот к примеру ICANN международной организацией. Многие страны не имеют никакого абсолютно влияния в ICANN. Поэтому нет ничего зазорного в том чтобы высказать идею об их замене, т.к. их бизнес не честный. В целом физически для этого даже можно не менять никакую инфраструктуру. Вопрос только в сообществе - нытье есть, сообщества нет. А ведь полистайте выше - есть нытье?
Не считайте, это не порицается и не постыдно.
Но если звёзды не зажигают - значит, нет сырья и кадров.
>> Подскажите, пожалуйста, эти международы в одной с вами комнате? Они обмениваются с вами альтернативными IP-пакетами или только меняют друг другу корневые узлы?А чего вы ему минусуете? Вопрос то его понятен - замена IP, значит что замена коммутаторов. Поверх IP на самом деле никто для начала не запрещал что-то отправлять. Мне лично все эти проблемы понятны. Мягко запускать имеется в виду не отменять что-то, а потихоньку делать замену, причем более удобную тому что есть. Люди сами перейдут если почувствуют что более удобно пользоваться.
Думают. Всякие криптопроекты вокруг блокчейна. Весь этот web 3.0 изначально расчитан на децентрализацию регуляции таких штук. Но пока что проблема не настолько критическая и США более-менее сотрудничают с мировым сообществом, поэтому никто всерьез это не воспринимает. Поэтому сейчас весь этот web 3.0 используют в основном для скама и спекуляций.
>>монополии сертификатовВсе ради монополии и сделано.
Ведь сайт признается браузером небезопасным, не по его сертификату, который даже смотреть не станет, не по зафиксированным случаем небезопасной работы, или иным нарушениям, а по сути только по проверке оплаты в доильную контору.Какие то сайты в принципе не могут обновлять сертификаты, их сделали настроили, и если сайт не меняется, чему там протухать, он подтвержден уже сертификатом.
С встраиваемой техникой стстема сертификатов вовсе принципиально невозможна.Нужно всю систему сертификации менять.
Какая удобная политика по внедрению (вместо фиксов) нужных дыр в криптоалгоритмы.
А то Дуров отказывается сотрудничать и все такое.
Дурову сертификаты летшиткрипта нафиг не упали.Он-то как раз контролирует _свою_ экосистему сам.
уже не свою и не сам
Почему CA/Browser Forum длительность работы сертификатов так глаза мозолит?
Зонды требуются в частой замене.
Организация есть. Деньги выделяются. Надо что-то делать. Срок действий сертификатов сократили до 90 дней. Вроде бы, хорошо. Но что еще делать? Фантазия ведь не безграничная. А делать-то надо... Ведь деньги иначе выделять не будут. Ну, сократили с 90 дней до 45. От чего большинству уже ни холодно, ни жарко. Зато в отчетах можно написать, что на 1,5% повысили безопасность. Ладно, денег не будут из-за 1,5% выделять, напишем на 47%.
>> Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществомТам достаточно список спонсоров глянуть чтобы понять каким сообществом он контролируется.
С другой стороны выдают то на халяву, значит надо хлопать в ладоши.
>Например, в случае незаметной утечки сертификата в результате взлома короткоживущие сертификаты помешают злоумышленникам длительное время контролировать трафик жертвы или использовать сертификаты для фишинга.Ага, ага. Если был взлом и так и остался не замеченным, «злоумышленник» как утекал сертификаты, та и будет новые утекать. А вот геморрой с постоянным обновлением, повышением мусорного трафика и головной болью админов обеспечен, но кого волнуют проблемы индейцев.
Чтобы снять ограничения браузеры можно пропатчить и пересобрать.
попробуй это на яойфоне, например, сделать.
Бггг. Попробуй хоть где-то это сдеалть.
Только остается вопрос зачем.
Там, это аппаратная проблема, и никаким программным гарниром не прикрыть до устранения неисправности. :)
Это даже на маразм уже не тянет. Просто издевательство над людьми. Я против такого.
потом выяснится, что на поддержку этой постоянной белки в колесе надо по 10 центов
Мне интересно, это только для публичных сертификатов, или для внутренних тоже самое? (когда свой СА для домена компаний)
Ничего серьезного под таким сертификатом не создашь.
И получится так же как и с DNSSec - валидация много где начнёт отключаться по умолчанию.
Подскажите, служба let's encrypt, отвечающая за генерацию ключевой пары, запроса csr, и дальнейшую установку сертификатов в системе, так всё и требует root прав? Или уже придумано что-то для запуска этой поделки в пространстве пользователя?
Службы "let's encrypt" не существует и не существовало. Есть куча разных клиентов, среди которых Certbot, который let's encrypt рекомендует для большинства. Остальные тут: https://letsencrypt.org/docs/client-options/
Тот же lego может работать без рута официально.
Давайте не будем ждать два года, а уже сейчас настроим перевыпуск сертификата каждые 12 часов. Станет ещё безопаснее!