forum.opennet.ru

"Let's Encrypt внедрил расширение для координации обновления сертификатов"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для сортировки сообщений в нити по дате нажмите "Сортировка по времени, UBB".

. "Let's Encrypt внедрил расширение для координации обновления ..."	–2 +/–
Сообщение от Аноним (39), 26-Мрт-23, 12:31
>СА лучше знать, чем владельцу сертификата о том, что при генерации что-то пошло не так. Ключи на стороне клиента генерируются. >CA обнаружили баг/фичу из-за которых к твоему домену банка сгенерили 500 сертов 500 разных людей. В таких случаях нужно "сначала" (одновременно, но с приоритетом на "сначала") исключать корневой сертификат CA из браузеров и ОС, потом заставлять уже бывший CA его отзывать. Ибо если контора позволяет себе такое, то ей не место в бизнесе CA. И плевать, что это может быть не её вина. Тут вообще дело не в вине. Когда товар некачественный, то его не покупают, а покупают качественный товар конкурентов. Так работает и решает рыночек. >И че мне ждать пока ты там об этом узнаешь чего-то подпишешь и пойдёшь обновишь 25 летний серт? Нет, корневой церт этого CA уберут из реализаций, и реализации перестанут доверять всем потенциально скомпрометированным сертам. Бизнесмен заплатил субподрядчику, который оказал некачественную услугу ему. В результате бизнесмен оказал некачественную услугу своим клиентам. Клиенты могут подать на него в суд за это. А он - подать на CA, и взыскать с них убытки. Или не подать, если в договоре дак договорено.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Let's Encrypt внедрил расширение для координации обновления сертификатов, opennews, 26-Мрт-23, 07:50 [смотреть все]

Но при этом всё равно требуется запрашивать инфу с их серверов поллингом, судя п, BrainFucker, 26-Мрт-23, 09:00 (6) //
- Нагрузка на веб-апи это ничто Вебапи можно заскейлить до космических масштабов п, Аноним, 26-Мрт-23, 13:36 (64) //
  - могли бы просто дёргать URL на сайте через POST , Аноним, 26-Мрт-23, 13:53 (69)
  - Не сам, а по крону клиент certbot или аналог слал запрос на сервер LE, тот в отв, BrainFucker, 26-Мрт-23, 14:26 (79) //
    - Несколько серверов чего именно REST API Их и так несколько Тормозит совершенн, Аноним, 26-Мрт-23, 17:21 (105)
  - Почти бесплатно тут лишнее - до космических масштабов скейлится стоимостью кос, Tron is Whistling, 26-Мрт-23, 15:24 (95) //
    - Ну давай прикинем хотя бы порядок этих 171 космических 187 денег Предположи, Аноним, 26-Мрт-23, 18:15 (106)
      - Переиграл и уничтожил , anonym444, 27-Мрт-23, 22:07 (150)
        
        Ды ладно Там как обычно - килобайт данных На сколь либо серьёзное применение , Tron is Whistling, 04-Апр-23, 00:58 (176)
      - А теперь увеличь килобайт до пары мегабайт, и давай посчитаем , Tron is Whistling, 04-Апр-23, 00:56 (175)
  - Ну и дураки Берём корневой сертификат, им подписываем N сертификатов для N серв, pashev.ru, 26-Мрт-23, 16:37 (102) //
    - Локалхостов, так что ж ты им не объяснишь как надо-то Показал бы класс А то он, Аноним, 26-Мрт-23, 18:22 (107)
  - Это какой-то позор, сервис, на который завязали половину интернета, держится на , Аноним, 27-Мрт-23, 12:39 (141) //
    - При этом у них собралосьно весь бизнес висит на одной железке , Аноним, 27-Мрт-23, 12:51 (142)
    - Там скорее всего и от второго сокета толку никакого Строго последовательная обра, пох., 27-Мрт-23, 17:01 (147)
не хотите нагрузку - сделайте сертификаты на 25 лет, и никому не надо будет их о, Аноним, 26-Мрт-23, 09:17 (8) //
- этак интернетом смогут пользоваться все, а не только кому дозволено , Аноним, 26-Мрт-23, 09:48 (11) //
  - https www opennet ru opennews art shtml num 54206https www opennet ru openne, Аноним, 26-Мрт-23, 14:36 (83) //
    - не вижу связи, не ставьте такой сертификат ca - , Аноним, 27-Мрт-23, 08:41 (133)
- И сразу выкладывайте этот сертификат на 25 лет в общий доступ Нам нечего скры, Аноним, 26-Мрт-23, 12:04 (31) //
  - И трусы от банковской карточки, Аноним, 26-Мрт-23, 12:31 (38)
  - Анонимус не в курсе, что сертификаты, включая корневой, и так в открытом доступе, pashev.ru, 26-Мрт-23, 16:39 (103)
  - Только сертификат - не парольНу обновляй все пароли на всех ресурсах через день , Бывалый Смузихлёб, 27-Мрт-23, 07:16 (129) //
    - именно кто контролирует выпуск сертификатов- контролирует интернет , Аноним, 27-Мрт-23, 08:42 (134)
    - Срок жизни сертификатов напрямую связан с безопасностью точно так же как и срок , Анон_облегчился, 27-Мрт-23, 16:41 (145)
      - Ну да, ну да - ручное обновление с контролем за ручками раз в три года - плоха, , пох., 27-Мрт-23, 17:05 (148)
        
        Кроме сертбота полно других реализаций, но обычно реализация ACME нативно реализ, Аноним, 28-Мрт-23, 01:10 (152)
        
        ну то есть вообще зашибись - сразу конечное приложение работает от рута или от е, пох., 28-Мрт-23, 09:26 (153)
        
        Отлично запускается и не от рута Даже на одной машине он может быть не один, эт, К.О., 01-Апр-23, 09:53 (166)
- Наоборот, ни продвигают идею сокращения срока их жизни и более частого обновлени, Kuromi, 26-Мрт-23, 14:27 (81)
Они открыли для себя openssl x509 -dates , судя по примеру , Sadok, 26-Мрт-23, 09:38 (9) //
- openssl не покажет, что сертификат будет досрочно отозван , Аноним, 26-Мрт-23, 09:40 (10) //
  - да, не проснулся касаться вопроса какого карлика CA отзывает сертификат не б, Sadok, 26-Мрт-23, 10:44 (17) //
    - Каэшн не будем, ты ведь пишешь идеальный софт в котором не может быть уязвимосте, Аноним, 26-Мрт-23, 12:33 (41)
      - сколько бесполезных слов и обвинений но не упоминается главного, Бывалый Смузихлёб, 27-Мрт-23, 07:27 (130)
Ну почему не использовать стандартный URL, как в обновлении https example com , Аноним, 26-Мрт-23, 10:03 (12) //
- потому что wildcard, Sadok, 26-Мрт-23, 10:46 (18) //
  - Именно для единообразной обработки по wildcard и надо if string match lighty env, Аноним, 26-Мрт-23, 12:57 (55)
Сообществом корпоратов , Анонус, 26-Мрт-23, 10:04 (13) //
- Мой комментарий снесли Кстати, а у кого ключ от корневого сертификата , pashev.ru, 26-Мрт-23, 10:46 (19) //
  - для больших CA, ключ от корневого серта, вроде как, лежит в железе, без возможно, амоним, 26-Мрт-23, 11:51 (24) //
    - А потом, внезапно, узнаётся, что из железа, при очень большом желании, его тоже , Аноним, 26-Мрт-23, 12:34 (43)
      - Ага, при помощи секретных нибируанских технологий Но только с благословления ве, Аноним, 26-Мрт-23, 20:13 (113)
Но ведь отзыв сертификата по инициативе УЦ, а не его владельца - это какой-то бр, Аноним, 26-Мрт-23, 10:04 (14) //
- CRL и OCSP не содержат подписей, сделанных самими сертификатами, что позволяет У, Аноним, 26-Мрт-23, 10:22 (15) //
  - И мне ходить по сайтам и доверять корневому сертификату, подписанным тобой Ну уж, Sha4096, 26-Мрт-23, 10:43 (16) //
    - Подписанному Гуглом У Гуглага достаточно рычагов, чтобы отнять у CA возможность, Аноним, 26-Мрт-23, 10:47 (20)
      - За каким хером тянуть гугл туда где он не нужен Вот именно для этого и есть нек, Sha4096, 26-Мрт-23, 10:58 (21)
        
        Гугл уже монополист со своим хромом, и может приструнить центры Mozillу же цент, Аноним, 26-Мрт-23, 11:55 (28)
        
        Жажда сапога в жoпe или что У нас есть замечательный некомерчнский центр сертифи, Аноним, 26-Мрт-23, 12:18 (35)
        
        Ключи на стороне клиента генерируются В таких случаях нужно сначала одновреме , Аноним, 26-Мрт-23, 12:31 (39)
        
        Подпись на стороне ца Конечный подписанный серт генерируется на стороне ЦА Мир , Аноним, 26-Мрт-23, 12:43 (49)
        
        У клиента может быть уязвимая реализация гспч У центра уязвимая реализация - во, Аноним, 26-Мрт-23, 13:11 (58)
        ЦА - это профессиональные обеспичители безопасности Им за это и платят - чтобы , Аноним, 26-Мрт-23, 13:49 (68)
        
        Касательно кейса с банками - как-то был опыт, что у банка одного стух сертификат, Kuromi, 26-Мрт-23, 14:38 (85)
        
        Как же вы задрали, мамкины экономисты На рынке сильно больше двух бесплатных бр, Аноним, 26-Мрт-23, 12:42 (48)
        
        telnet exe, например , Аноним, 26-Мрт-23, 12:53 (54)
        
        Не может Вообще никакого вляния не имеет Прежде чем нести чушь, разобрался бы , Аноним, 26-Мрт-23, 20:21 (114)
    - А зачем тебе при этом вообще корневой сертификат Доверяй self-signed - вообще-т, пох., 26-Мрт-23, 11:36 (22)
      - Расскажите об этом минцифры , Аноним, 26-Мрт-23, 11:53 (27)
        
        А им чем поможет, там же не только ру и рефе, они ж и com и любые другие домены , пох., 26-Мрт-23, 12:32 (40)
        А зачем им что-то рассказывать Кто они вообще Может им ещё и доверять начать , Аноним, 26-Мрт-23, 12:43 (50)
        
        Не вижу проблемы, если сертификатом минцифры будут подписаны только gov ru и , Аноним, 26-Мрт-23, 12:50 (53)
        
        Не вижу разницы между сертом минцифры и самоподписаным тобой Хотя вижу, к тебе , Аноним, 26-Мрт-23, 13:00 (56)
        
        Единственная разница между самоподписанными корневыми сертификатами - это то, ку, Аноним, 26-Мрт-23, 13:33 (62)
        
        Вся эта итерика с не продлят пока ниочем По тому что я наблюдаю организации в, Kuromi, 26-Мрт-23, 14:48 (86)
        
        Разумеется, ни о чём Хотели бы - уже бы просто отозвали , Аноним, 26-Мрт-23, 15:04 (92)
        
        Не ставил, не пользовался, не нужны Кому наплевать на приватность - могут ставит, Tron is Whistling, 26-Мрт-23, 15:26 (96)
        
        Кому приходится получать зарплату на сбер - будет ставить Впрочем, там дальше в , пох., 26-Мрт-23, 23:09 (123)
        
        Ды не, ну зачем жо В тухуслугах уже давно ничего не надо, а нало овой проще один, Tron is Whistling, 30-Мрт-23, 09:12 (157)
        я рад за тебя, чувак без загранпаспорта А мне вот - надо Зарегистрировался кст, пох., 01-Апр-23, 11:51 (168)
        К счастью, успел загранник обновить в начале 2022, и даже шенген за пару недель , Tron is Whistling, 01-Апр-23, 11:55 (169)
        С правами тоже проблем не было - просто чуть дольше ожидание Хотя в последний р, Tron is Whistling, 01-Апр-23, 11:56 (170)
        А вот это - вообще тема Сейчас юзеры начнут огульно кликать установить сертифи, Tron is Whistling, 01-Апр-23, 11:57 (171)
        Кстате да, с сертификатами у терминалов забавно получилос , Tron is Whistling, 30-Мрт-23, 09:13 (158)
        
        Если бы было желание создать альтернативу западным CA, это не проблема Проблема, Аноним, 26-Мрт-23, 16:42 (104)
        
        Это проблема Западные CA внезапно трастятся всем миром и сотоварищи А вот с мест, Tron is Whistling, 30-Мрт-23, 09:13 (159)
        
        ну судя по требованиям, выкаченным Честному Ахмаду - в общем я бы на твоем месте, пох., 01-Апр-23, 12:00 (172)
        Самым оптимальным был бы да, децентрализованный CA со строгими процедурами и нез, Tron is Whistling, 01-Апр-23, 17:37 (173)
      - Ну была такая инцииатива - Opportunistic Security, она и состояла в том чтобы да, Kuromi, 26-Мрт-23, 14:50 (87)
        
        А, да, ошметки по сей день видны в старой паленой луне и еще где-то Казалось бы , пох., 26-Мрт-23, 16:16 (101)
      - Почему Какие-то ограничения в браузерах , Аноньимъ, 27-Мрт-23, 02:26 (127)
        
        Угу С селф-сайнед уже давно не работают всякие кросс-сайт штуки Даже с вручную , пох., 27-Мрт-23, 07:47 (131)
        CORS нет, выставлять заголовки, в случае с самоподписанным сертом не помогает -, пох., 27-Мрт-23, 09:36 (136)
- верьти нам, мы харошие А праведному Ахмеду так и не дали стать CA P S а владеле, пох., 26-Мрт-23, 11:39 (23) //
  - Ну отзыв фундаментально полагается на третьих лиц Которых придётся уговаривать , Аноним, 26-Мрт-23, 11:52 (25) //
    - в блокчейн можно было бы напрямую добавлять запись об отзыве Но эта технология , пох., 26-Мрт-23, 12:34 (42)
      - Но заносить всей сети, путём нахождения блока уплаты transaction fee - обязатель, Аноним, 26-Мрт-23, 12:41 (47)
      - В блок можно заносить хеши от записи в DHT И не битком единым Вообще самая бол, Аноним, 26-Мрт-23, 12:46 (51)
        
        беспринципными неолибералами, Аноним, 26-Мрт-23, 13:35 (63)
  - сложность в том, что владельцу нужно как-то доказать, что это его серт, и его ну, амоним, 26-Мрт-23, 12:01 (30) //
    - Если серт утёк, то он должен быть отзыван Поэтому нет никакой проблемы, если ли, Аноним, 26-Мрт-23, 12:10 (32)
    - получая серт, ты в принципе доверяешь весь свой трафик владельцам CA Запросы име, Аноним, 26-Мрт-23, 12:16 (33)
      - Не совсем Для этого им нужгы сообщники - хозяева каналов связи между тобой и са, Аноним, 26-Мрт-23, 12:17 (34)
    - ммм тебя совершенно не смущает тот факт что для получения того серта - ничего, пох., 26-Мрт-23, 12:27 (36)
      - Ну вообще-то попросили доказать, что доменное имя ведёт к ним Это может владеле, Аноним, 26-Мрт-23, 12:37 (45)
        
        Потом попросят предъявить право на вход в интернет , Аноним, 26-Мрт-23, 14:03 (72)
      - А сейчас даже веб-морда не нужна, на ужас ручных админов OCSP 8212 лажа уровн, Аноним, 26-Мрт-23, 20:31 (115)
        
        Ага, не нужна - сп-ли у тебя сертификат - ну и что, сиди дальше надувай щеки, вс, пох., 26-Мрт-23, 21:22 (120)
        
        И как тут OCSP поможет А никак Он тебе скажет 171 серт годный 187 и ты это, Аноним, 27-Мрт-23, 01:13 (125)
        
        А, ну так-то конечно ок Сертификаты с временем жизни в час всех спасут , пох., 27-Мрт-23, 07:48 (132)
  - Во-первых, никто не может запретить праведному Ахмеду стать CA Скачал easy-rsa , Аноним, 26-Мрт-23, 18:42 (108) //
    - этот даже на троюродного племяша не тянет - Ахмед-то сразу сказал зачем ему быть, пох., 26-Мрт-23, 20:49 (118)
- Так уж получилось, что IP адрес одного из моих поддоменов в облаке оракла неизве, Аноним, 27-Мрт-23, 14:16 (143)
8212 Слыш, пупкинбанк ком, смени сертификат 8212 пупкинбанк ком сгенериру, Аноним, 26-Мрт-23, 11:53 (26) //
- Ну смена серта самим сайтом скомпрометировать его не должна, но вот расследовани, Аноним, 26-Мрт-23, 11:58 (29)
- А НЕ ТО А НЕ ТО по сути все правильно, но это не просьба, а угроза Не сменишь -, пох., 26-Мрт-23, 12:30 (37) //
  - то есть plain http - лучше , Аноним, 26-Мрт-23, 12:39 (46) //
    - других вариантов кроме дрянь-PKI и plain http в принципе нет или вы о них не , ivan_erohin, 26-Мрт-23, 13:33 (61)
      - Да, других вариантов в принципе нет У них нет шансов быть включенными в браузер, Аноним, 26-Мрт-23, 13:38 (66)
        
        Как включили так и выключат о, догадливый С ftp уже расправились Через этот плэ, пох., 26-Мрт-23, 14:03 (73)
    - Лучше Никакой шиткрипт не сможет заблокировать доступ к твоему сайту , отозвав , пох., 26-Мрт-23, 14:01 (71)
      - при всем моем уважении это раньше ты на сайты ходил а сейчас просто через гугл , амоним, 26-Мрт-23, 14:11 (76)
        
        которые, амоним, 26-Мрт-23, 14:12 (77)
        ты не в курсе недавней истории как она рассеянским пропаган 0нам рассказала ин, пох., 26-Мрт-23, 16:10 (98)
        
        ftfy, Аноним, 26-Мрт-23, 19:58 (111)
        
        я хотел бы купить реализацию rootCA interCA CRL AIA OCSP респондер на op, ivan_erohin, 27-Мрт-23, 10:56 (139)
- Оборжаться Что ещё расскажешь , Аноним, 26-Мрт-23, 20:32 (116) //
  - а в чем проблема-то зеленых плашек с именем организации в адресной строке нет, пох., 26-Мрт-23, 21:29 (121) //
    - Когда будут, тогда и обсудим Пока что это даже не гипотеза, так 8212 шёпот г, Аноним, 27-Мрт-23, 02:09 (126)
сообществом кого , Аноним, 26-Мрт-23, 13:10 (57)
А слабо по 7 дней сертификаты делать , Аноним, 26-Мрт-23, 13:23 (59) //
- Тебе никто не мешает менять сертификаты хоть каждый день , Аноним, 26-Мрт-23, 13:57 (70)
- ну к этому все и идет ведь , пох., 26-Мрт-23, 14:05 (74) //
  - всё идет к тому, что смертификаты будут выдавать на один час, и только если на, Аноним, 26-Мрт-23, 14:15 (78) //
    - Ситауция с сертификататми вообще странная Все говорят надо бороться с слежкой, Kuromi, 26-Мрт-23, 15:01 (91)
      - Если у тебя нет TLS, то тебе можно инъектировать вредоносный JavaScript С экспл, Аноним, 26-Мрт-23, 15:11 (93)
        
        Вот только примочки вроде WebUSB давно уже требует Secure Context и без HTTPS да, Kuromi, 26-Мрт-23, 15:17 (94)
        
        Тут же народ об обрезании функционала для сайтов без TLS ноет Совсем житья не д, Аноним, 26-Мрт-23, 19:31 (109)
        
        ну давай, инъектируй мне чего нибудь, прямо здесь, на этом сайте ты же можешь , Аноним, 26-Мрт-23, 15:57 (97)
        
        ОПСОС может Более того, активно этим занимается Привет, мегавонь , Аноним, 27-Мрт-23, 14:20 (144)
        я не смогу а вот опсосы из РФ вставляли рекламу клиентам в http успешно и провин, ivan_erohin, 31-Мрт-23, 07:52 (163)
    - Вот, я который раз и говорю мыши дохли, травились, но продолжали жрать бесплат, InuYasha, 27-Мрт-23, 10:35 (138)
  - Семь дней это дофигаВон mjg59 вообще задвигает что каждую минуту менять надоThe , Аноним, 27-Мрт-23, 16:44 (146) //
    - Тут скорее - не можешь победить - возглавь То есть чувак считает норм что в депл, пох., 28-Мрт-23, 00:02 (151)
      - все уже придумано лет 5 как хашикорп ваулт безопастно выдает девопс-автоматике к, ivan_erohin, 31-Мрт-23, 07:58 (164)
- скажу больше - какой-нибудь mesh в кластере может менять сертификаты гораздо чащ, амоним, 26-Мрт-23, 14:08 (75) //
  - Угу, потом пара десятков нод из него выпадут, а взлетать придётся руками Хотя од, Tron is Whistling, 30-Мрт-23, 09:17 (160) //
    - Угу , вторую неделю не могли провести рутинную операцию в кластере этих ляпнутых, пох., 31-Мрт-23, 13:42 (165)
Надевает он гамаши, говорят ему - не Ваши Надевает он пальто, говорят ему - не , Ыкспёрт опённета, 26-Мрт-23, 14:27 (80) //
- Больше Лакомств Явы да ты в своём уме, Аноним, 26-Мрт-23, 14:53 (90)
- минут Ишь чего захотел, 30 дней , пох., 26-Мрт-23, 16:12 (99)
и чем это упрощает жизнь Может тогда еще внедрят по 30 дней в каждом месяце В, Аноним, 26-Мрт-23, 14:50 (88) //
- не тебе же а летсшиткрипту Вот ты и бесишься , пох., 26-Мрт-23, 16:13 (100)
С letsencryptom не знаком, потому прошу консультации, люди добрые Можно ли вы, Чукча, 26-Мрт-23, 20:42 (117) //
- нет Нужно подтвердить что ты владеешь доступом к домену или сайту ну например , пох., 26-Мрт-23, 20:56 (119) //
  - Спасибо, но понимания больше не стало То ли я туп, то ли Вы - плохой разсказщик, Чукча, 30-Мрт-23, 15:33 (161) //
    - вообще-то этот сайт давно уже годится только для троллинга, а не просветительско, пох., 30-Мрт-23, 18:56 (162)
      - gt оверквотинг удален Спасибо за ответ Углублюсь в тему на досуге , Чукча, 18-Апр-23, 14:21 (177)
Непонятно что значит сообществом , подскажите пожалуйста -1 что это за сообще, Аноним, 26-Мрт-23, 23:41 (124) //
- 8211 2 - неужели мой вопрос такой сложный пусть оно не имеет названия, л, Аноним, 28-Мрт-23, 15:52 (154) //
  - Ну, как тебе попроще вот смотри, теравады одно из самых старых и респектабел, пох., 28-Мрт-23, 22:21 (155) //
    - А эту вот карму , КТО контролирует - Тоже сообщество Ну типа - садятся и р, Аноним, 29-Мрт-23, 22:42 (156)
Вот какая заботливая компания, всё для людей , Аноним, 27-Мрт-23, 04:56 (128)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру