The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"StartCom запустил сервис по автоматической выдаче SSL-сертиф..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +/
Сообщение от opennews (??), 15-Июн-16, 09:17 
Удостоверяющий центр StartCom (торговая марка StartSSL) запустил (https://www.startssl.com/NewsDetails?date=20160606) похожий на Lets'Encrypt (https://www.opennet.me/opennews/art.shtml?num=44231) сервис StartEncrypt (https://www.startssl.com/StartEncrypt), осуществляющий  автоматическую выдачу и установку SSL-сертификатов. Сертификаты выдаются бесплатно и требуют пройти уровень проверки, соответствующий их типу (в простейшем случае достаточно подтвердить владение доменом). Как и Lets'Encrypt cервис StartEncrypt поддерживает популярные веб-серверы на базе Linux и Windows (tomcat, nginx, apache httpd).

Из отличий от Lets'Encrypt можно отметить:

-  Не только автоматическое получение сертификата, но и автоматическая установка. Обратной стороной предложенной автоматизации является отсутствие контроля за сервисом со стороны администратора. В систему устанавливается проприетарное ПО, добавляемое в автозапуск и выполняемое как фоновый процесс, следящий за обновлением сертификата. Сервис поставляется только в  форме уже собранного исполняемого файла, код не прилагается, т.е. предлагается запустить с правами root и оставить для постоянной работы  "черный ящик", отправляющий сетевые запросы, которые проблематично проверить;

-  Не только шифрование, но и идентификация, чтобы отображать зеленую полосу (EV, Extended validation) и имя организации (OV, Organization Validation) в адресной строке;

-  Период обновления EV- и OV-сертификатов - до 39 месяцев. DV-сертификаты (Domain validation, верификация по домену) выдаются на один год (в Lets'Encrypt сертификат выдаётся на 3 месяца).
-  Cертификаты EV и OV могут содержать маски и охватывать до 120 доменов. DV-сертификаты охватывают 5 доменов (в Lets'Encrypt сертификат выдаётся для одного домена);

-  Сертификаты OV SSL и EV SSL выдаются бесплатно, но учётная запись в StartSSL должна пройти проверку с использованием средств идентификации 3 или 4 класса (для сертификата DV SSL, как и в в Lets'Encrypt, достаточно подтвердить владение доменом без необходимости регистрации в сервисе).

URL: https://www.startssl.com/NewsDetails?date=20160606
Новость: http://www.opennet.me/opennews/art.shtml?num=44603

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (-), 15-Июн-16, 09:17   +14 +/
Вся прелесть Lets'Encrypt не в сроке и числе доменов, а в открытости, контроле в руках администратора и независимости от отдельных компаний.
Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от Какаянахренразница (ok), 15-Июн-16, 09:25   +8 +/
Закопошились...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #40

3. Сообщение от Аноним (-), 15-Июн-16, 09:59   +/
Самое главное не написали - протокол ACME или нет? (Хотя по ссылке похоже, что нет)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23

4. Сообщение от Аноним (-), 15-Июн-16, 10:00   +3 +/
И, кстати, у меня в Let's Encrypt один сертификат на шесть доменов, так что про один домен ЛПП
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #42

5. Сообщение от xl32 (ok), 15-Июн-16, 10:15   +1 +/
Да, у Let's Encrypt SAN до 100 доменов в сертификате. С удовольствием пользуюсь.

> Names/Certificate is the limit on how many domain names you can include in a single certificate. This is currently limited to 100 names, or websites, per certificate issued.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7

6. Сообщение от Аноним (-), 15-Июн-16, 10:16   +14 +/
> Сервис поставляется только в форме уже собранного исполняемого файла, код не прилагается, т.е. предлагается запустить с правами root и оставить для постоянной работы "черный ящик", отправляющий сетевые запросы

Дальше можно не читать.

Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от КЭП (?), 15-Июн-16, 10:21   +/
Wildcard нету.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #9

9. Сообщение от xl32 (ok), 15-Июн-16, 10:24   +2 +/
> Wildcard нету.

Так и здесь тоже только для OV/EV. То есть после платной валидации организации.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

10. Сообщение от Аноним (-), 15-Июн-16, 10:31   +12 +/
> В систему устанавливается проприетарное ПО, добавляемое в автозапуск и выполняемое как фоновый процесс, следящий за обновлением сертификата. Сервис поставляется только в форме уже собранного исполняемого файла, код не прилагается, т.е. предлагается запустить с правами root и оставить для постоянной работы "черный ящик", отправляющий сетевые запросы, которые проблематично проверить;

И зачем такие сложности то?
Нужно было просто просить рутовый пароль на сервер и со своей стороны скриптами закачивать/обновлять сертификаты и релоадить сервисы.
Прям как дети малые.

Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от Александрemail (??), 15-Июн-16, 10:40   +4 +/
клевая штука, ты им доступ полный, а они тебе сертификат. вот же евреи хитрые.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12, #14

12. Сообщение от Орк (?), 15-Июн-16, 11:03   +5 +/
А что, нормальный бэкдор для лоха, который никогда не вымрет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

13. Сообщение от анон (?), 15-Июн-16, 11:14   +/
Маркетинг, такой маркетинг. API у них уже много лет как есть.
Ответить | Правка | Наверх | Cообщить модератору

14. Сообщение от Ананимас (ok), 15-Июн-16, 11:22   +3 +/
запустить в jail/аналог
получить/обновить серт
остановить jail/аналог
выгода
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #19

16. Сообщение от Аноним (-), 15-Июн-16, 11:40   –3 +/
Уже то, что LetsEncrypt тянет на сервер компиллятор и dev пакеты - это ДЫРИЩА, а это ... у меня слов нет .
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #20, #31, #49, #50

17. Сообщение от Аноним (-), 15-Июн-16, 11:51   +8 +/
руки из задницы, а леценкрипт виноват, очевидно же
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #44

18. Сообщение от Аноним (-), 15-Июн-16, 12:05   +1 +/
Надеюсь это начало конкуренции. Сначала бесплатные сертификаты, потом, условия использования, потом и цены могут упасть.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #30

19. Сообщение от grsec (ok), 15-Июн-16, 12:14   +1 +/
выгода+извращение
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

20. Сообщение от grsec (ok), 15-Июн-16, 12:16   +1 +/
> Уже то, что LetsEncrypt тянет на сервер компиллятор и dev пакеты -
> это ДЫРИЩА, а это ... у меня слов нет .

Можно неловкий вопрос? В каком месте ты увидел дырищу?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #32

21. Сообщение от th3m3 (ok), 15-Июн-16, 12:38   +/
Что делает эта голимая поприетарщина на опеннете?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24

23. Сообщение от . (?), 15-Июн-16, 13:01   +/
ну явно ж нет - иначе ж кто помешает тебе его хакнуть и избавиться от сомнительного щастья держать неуправляемый демон?
Правда, думаетсо мне, демона хакнуть в любом случае окажется несложно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #28

24. Сообщение от тоже Анонимemail (ok), 15-Июн-16, 13:09   +6 +/
Предупреждает об опасности вляпаться. Имхо, все логично.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

25. Сообщение от Аноним (-), 15-Июн-16, 14:04   +/
А сертификаты SHA-1 ?
Ответить | Правка | Наверх | Cообщить модератору

27. Сообщение от Аноним (-), 15-Июн-16, 14:28   +/
Жажда бесплатного мешает купить обычный сертификат и не ставить ничего сомнительного
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34, #35, #39

28. Сообщение от . (?), 15-Июн-16, 14:35   +/
% gdb StartEncrypt/bin/StartEncrypt
[skip]
Reading symbols from /home/alx/StartEncrypt/bin/StartEncrypt...done.
(gdb) list
1       /home/admin/work/log/src/log.cpp: No such file or directory.
        in /home/admin/work/log/src/log.cpp

мда. То есть оно даже нестрипленное.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #29

29. Сообщение от тоже Анонимemail (ok), 15-Июн-16, 14:47   +2 +/
"- Совсем худо, - заключил хозяин, - что-то, воля ваша, недоброе таится в мужчинах..."
... у которых даже под Линуксом пользователя зовут Администратором!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

30. Сообщение от Аноним (-), 15-Июн-16, 15:03   +/
> Надеюсь это начало конкуренции. Сначала бесплатные сертификаты, потом, условия использования,
> потом и цены могут упасть.

Не будет тут конкуренции, центров выдающих не так много, и цены достуные, если не говорить о субдоменнха и прочих плюшках. Кому эти плюшки нужны имеют деьги

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

31. Сообщение от Наркоман (?), 15-Июн-16, 15:12   +/
Только конкретный жирный клиент на питоне.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

32. Сообщение от Кармер (?), 15-Июн-16, 15:51   –3 +/
Есть компиллятор,- есть возможность собрать и запустить эксплоит для повышения привелегий, например ..
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #33, #36, #38, #43

33. Сообщение от ram_scan (?), 15-Июн-16, 16:05   +3 +/
1) Если у тебя есть шелл кто запрещает стянуть вместе с сорцами эксплоита компилятор ?
2) Если у тебя есть шелл, кто запрещает собрать сорец кросскомпилятором под нужный таргет в другом месте и стянуть на шелл готовый эксплоит ?

Тут может последовать возражение что все разделы доступные на запись смонтированы как noexec. Так тогда и готовый эксплоит запустить будет неможливо. А если можливо то и все остальное запустится.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

34. Сообщение от Аноним (-), 15-Июн-16, 17:44   +/
Соболезную
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

35. Сообщение от Аноним (-), 15-Июн-16, 18:30   +/
Покаж, где купить сертификат автоматически?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

36. Сообщение от grsec (ok), 15-Июн-16, 19:17   –1 +/
Компилять зловредов на атакуемой системе это из теории что-ли? Но если этот момент так волнует, можно запретить запуск компилятора.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

37. Сообщение от dr Equivalent (ok), 15-Июн-16, 19:56   +6 +/
О, здравствуй, альтернатива.

> В систему устанавливается проприетарное ПО

До свидания, альтенрнатива.

Ответить | Правка | Наверх | Cообщить модератору

38. Сообщение от Аноним (-), 15-Июн-16, 20:32   +/
А зачем его компилять? Если есть доступ в шелл, то можно уже собранный запустить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

39. Сообщение от Сиромант (?), 15-Июн-16, 21:27   +/
>Жажда бесплатного мешает купить обычный сертификат

В новости сказано «автоматически», а не «бесплатно».

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #56

40. Сообщение от rshadow (ok), 15-Июн-16, 21:35   +1 +/
https://mixpix.in/more/konec_zolotoy_epohi_1465986454
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

41. Сообщение от Омский линуксоидemail (ok), 15-Июн-16, 22:25   +2 +/
Омские линуксоиды избегают непонятных проприетарных поделок... Хорошая попытка, но нет. Извините.
Ответить | Правка | Наверх | Cообщить модератору

42. Сообщение от Аноним (-), 15-Июн-16, 22:26   +/
Расскажи, как, а то я не могу понять.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

43. Сообщение от Аноним (-), 15-Июн-16, 22:30   +1 +/
> Есть компиллятор,- есть возможность собрать и запустить эксплоит для повышения привелегий,
> например ..

Cool story bro. А ещё эксплоит можно сделать на bash+nc/perl/python/ruby/tcl/чем угодно без компилятора.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

44. Сообщение от MPEG LA (ok), 15-Июн-16, 23:10   +/
на wheezy например требует установки backports. вопрос - нафейхоа вообще все эти извращения со скриптами и бинарниками?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #51

45. Сообщение от xm (ok), 16-Июн-16, 00:28   +/
> Сертификаты OV SSL и EV SSL выдаются бесплатно, но учётная запись в StartSSL должна пройти проверку с использованием средств идентификации 3 или 4 класса

Ага. 69 или 199 USD. Сертификат в подарок. :-)

Ответить | Правка | Наверх | Cообщить модератору

46. Сообщение от Онаним (?), 16-Июн-16, 00:34   +/
> В систему устанавливается проприетарное ПО, добавляемое в автозапуск и выполняемое как фоновый процесс, следящий за обновлением сертификата. Сервис поставляется только в форме уже собранного исполняемого файла, код не прилагается, т.е. предлагается запустить с правами root

Нахрен такое счастье...

Если нет альтернативного варианта с настройкой своего сервера вручную то такой сервис не нужен в принципе.

> в Lets'Encrypt сертификат выдаётся на 3 месяца

Тоже жесть.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48

47. Сообщение от dlazerka (ok), 16-Июн-16, 03:09   +/
LetsEncrypt проверяет владение не доменом, а сервером, который отвечает по этому домену. Т.к. он проверяет файлик по урлу /.well-known/acme-challenge. Домен он бы проверял если бы проверял TXT запись в DNS.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #55

48. Сообщение от Аноним (-), 16-Июн-16, 06:11   +2 +/
Почему жесть? Ставишь по крону проверку на необходимость автопродления раз в неделю или раз в день и забываешь про сертификат вообще.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

49. Сообщение от Аноним (-), 16-Июн-16, 06:15   +/
Не нравится стандартный клиент certbot, пользуйся другими или напиши свой, протокол то открыт. Мне например lego нравится, прав рута не требует, можно скомпилить и закидывать бинарник куда надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

50. Сообщение от Гентушник (ok), 16-Июн-16, 08:39   +/
Протокол открыт, дефолтным клиентом никто не заставляет пользоваться.
Я например использую acme.sh , он очень простой и написан на баше, допилил под свои нужды.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

51. Сообщение от имя (?), 16-Июн-16, 10:52   +/
этот вопрос задай тому, что тебе wheezy на сервер зачем-то поставил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #54

54. Сообщение от MPEG LA (ok), 16-Июн-16, 15:10   +/
> этот вопрос задай тому, что тебе wheezy на сервер зачем-то поставил.

а что из дебианоподобных надо было ставить на сервер в 2013-м? и чем вам не нравится wheezy?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

55. Сообщение от . (?), 16-Июн-16, 23:55   +/
> LetsEncrypt проверяет владение не доменом, а сервером, который отвечает по этому домену.

что в общем эквивалентно - если у тебя угнали сервер, у тебя гораздо более серьезные проблемы, чем то что кто-то может изготовить свой сертификат для него.
И сертификат выдается - серверу, а не домену (опустим для простоты, что почтовому, к примеру, тоже нужен сертификат, причем неплохо бы - с другим ключом даже при том же самом домене).

> Домен он бы проверял если бы проверял TXT запись в DNS.

разумеется, нет - он бы при этом проверял владение (контроль над) _сервером_. Сервером dns, ага. А его (контроля) у владельца домена, кстати, вполне может не быть вовсе (dns у хостера, заполняется автоматическим шаблоном, управление юзером не предусмотрено вовсе - у меня, кстати, так)

В этом плане подход startssl, проверяющего таки именно владение доменом (анализом whois и проверкой живым человеком, если не получилось или что-то показалось подозрительным), мне нравился гораздо больше. К сожалению, конкуренция в подобных вещах не всегда благо - сейчас явно под влиянием летсэнкрипта они сделали альтернативную валидацию через сайт.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

56. Сообщение от . (?), 17-Июн-16, 13:32   +/
в новости при этом не сказано, но _покупать_ (и не сертификат а факт валидации посерьезней DV) еще и придется вручную. (_каждый_ раз, валидация не вечна)
На этом фоне автоматическая установка посетителям данного ресурса явно уже низачем не нужна.

Ну так оно, надо полагать, и не для них вовсе. А для тех, кому собрать все бумажки и заслать по факсу с правильными подписями - задача понятная и решаемая, а вот генерить какие-то ключи, где-то что-то "электронно подписывать" - нет.
И им таким, кстати, пофиг, что оно бинарное и без исходника - в общем-то у произвольно взятого директора рогоу&копытс куда больше поводов доверять startssl чем найденному на помойке индусскому (или русскому) админу.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

57. Сообщение от Antonhefemail (?), 08-Май-20, 10:09   +/
Обходились как-то раньше без всяких сертификатов, сейчас приходится бегать по всяким Хострадарам закинув язык за плечи, искать хостинг с дешёвым или бесплатным c-c-л.
Ответить | Правка | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру