The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Let's Encrypt внедрил расширение для координации обновления сертификатов"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Let's Encrypt внедрил расширение для координации обновления сертификатов"  +/
Сообщение от opennews (?), 26-Мрт-23, 07:50 
Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, объявил о реализации в своей инфраструктуре поддержки ARI (ACME Renewal Information), расширения протокола ACME, позволяющего передавать клиенту сведения о необходимости обновления сертификатов и рекомендовать оптимальное время для обновления. Спецификация ARI проходит процесс стандартизации комитетом IETF (Internet Engineering Task Force), занимающимся развитием протоколов и архитектуры интернета, и находится на стадии проверки чернового варианта...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=58870

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

6. Сообщение от BrainFucker (ok), 26-Мрт-23, 09:00   –1 +/
> Кроме того, ARI позволяет эффективно сглаживать пиковую нагрузку на серверы Let's Encrypt, выбирая время для обновления с учётом загруженности инфраструктуры. GET https://example.com/acme/renewal-info/

Но при этом всё равно требуется запрашивать инфу с их серверов поллингом, судя по примеру?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #64

8. Сообщение от Аноним (8), 26-Мрт-23, 09:17   +/
не хотите нагрузку - сделайте сертификаты на 25 лет, и никому не надо будет их обновлять.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #31, #81

9. Сообщение от Sadokemail (ok), 26-Мрт-23, 09:38   –5 +/
Они открыли для себя openssl x509 -dates , судя по примеру?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10

10. Сообщение от Аноним (10), 26-Мрт-23, 09:40   +3 +/
openssl не покажет, что сертификат будет досрочно отозван.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #17

11. Сообщение от Аноним (11), 26-Мрт-23, 09:48   +10 +/
этак интернетом смогут пользоваться все, а не только кому дозволено.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #83

12. Сообщение от Аноним (12), 26-Мрт-23, 10:03   –2 +/
>GET https://example.com/acme/renewal-info/

Ну почему не использовать стандартный URL, как в обновлении?
https://example.com/.well-known/acme-challenge/
https://example.com/.well-known/acme-renewal-info/

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18

13. Сообщение от Анонус (?), 26-Мрт-23, 10:04   +2 +/
> контролируемый сообществом
> Major sponsors include the Electronic Frontier Foundation (EFF), the Mozilla Foundation, OVH, Cisco Systems, Facebook, Google Chrome, Internet Society, AWS, NGINX, and Bill and Melinda Gates Foundation. Other partners include the certificate authority IdenTrust, the University of Michigan (U-M), and the Linux Foundation.

Сообществом корпоратов?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19

14. Сообщение от Аноним (14), 26-Мрт-23, 10:04   –2 +/
Но ведь отзыв сертификата по инициативе УЦ, а не его владельца - это какой-то бред. Если УЦ нарушил процедуру выдачи, то нужно отзывать корневой сертификат УЦ. Иначе же сертификат не скомпрометирован, откуда вообще у УЦ возможность его отзывать?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #23, #143

15. Сообщение от Аноним (15), 26-Мрт-23, 10:22   –2 +/
CRL и OCSP не содержат подписей, сделанных самими сертификатами, что позволяет УЦ их отзывать по желанию левой пятки. Напр. у тех, у кого дядя Сэм приказал отозвать. Всё это - большущий бэкдор. Нужно менять спецификации и браузеры, чтобы пользовались исключительно обновлёнными, содержащими подписи, сделанные самими отзываемыми приватными ключами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #16

16. Сообщение от Sha4096 (?), 26-Мрт-23, 10:43   –1 +/
И мне ходить по сайтам и доверять корневому сертификату, подписанным тобой?
Ну уж как то обойдемся текущей ситуацией.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #20, #22

17. Сообщение от Sadok (ok), 26-Мрт-23, 10:44   –1 +/
> openssl не покажет, что сертификат будет досрочно отозван.

да, не проснулся. касаться вопроса "какого карлика CA отзывает сертификат?" не будем

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #41

18. Сообщение от Sadok (ok), 26-Мрт-23, 10:46   –2 +/
>>GET https://example.com/acme/renewal-info/
> Ну почему не использовать стандартный URL, как в обновлении?
> https://example.com/.well-known/acme-challenge/
> https://example.com/.well-known/acme-renewal-info/

потому что wildcard

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #55

19. Сообщение от pashev.ru (?), 26-Мрт-23, 10:46   +2 +/
Мой комментарий снесли.

Кстати, а у кого ключ от корневого сертификата?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #24

20. Сообщение от Аноним (15), 26-Мрт-23, 10:47   +/
Подписанному Гуглом. У Гуглага достаточно рычагов, чтобы отнять у CA возможность отзывать сертификаты по желанию их левых пяток. При этом у Гуглага есть возможность у самого отзывать сертификаты по своему усмотрению. Таким образом отъём у CA возможности отзывать сертификаты с одной стороны упрочнит власть гугла, а с другой - в некоторой степени оградит пользователей от беспредела центров.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #21

21. Сообщение от Sha4096 (?), 26-Мрт-23, 10:58   –2 +/
За каким хером тянуть гугл туда где он не нужен? Вот именно для этого и есть некоммерческий
LetsEncrypt. А вашу жажду к монополии можно оставить при себе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #28

22. Сообщение от пох. (?), 26-Мрт-23, 11:36   –1 +/
А зачем тебе при этом вообще корневой сертификат? Доверяй self-signed - вообще-то это будет именно та децентрализация, о которой все мечтают.
Если ты не доверяешь моей подписи - не ходи на мои сайты.

Правда, работать в современых браузерах почти ничего не будет.

Более того, существует поле ca restriction, позволяющее сделать такой ca, который может подписывать только конкретные домены и поддомены в них (и самое удивительное - его обрабатывает nss. Правда, из работающих при этом браузеров будет наверное одна мазила.)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #27, #87, #127

23. Сообщение от пох. (?), 26-Мрт-23, 11:39   –2 +/
> Но ведь отзыв сертификата по инициативе УЦ, а не его владельца - это какой-то бред.

верьти нам, мы харошие!

А праведному Ахмеду так и не дали стать CA.

P.S. а владелец, что забавно, свой сертификат в существующей инфраструктуре отозвать вообще не может - он может только умолять на коленочках CA милостивейше принять его revocation request. Не забыв чек заслать за обслуживание.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #25, #30, #108

24. Сообщение от амоним (?), 26-Мрт-23, 11:51   +/
для больших CA, ключ от корневого серта, вроде как, лежит в железе, без возможности его прочитать.
но это по правилам и в теории )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #43

25. Сообщение от Аноним (28), 26-Мрт-23, 11:52   –1 +/
Ну отзыв фундаментально полагается на третьих лиц. Которых придётся уговаривать и чек заносить. Будь это keyserverы, DHT, или blockchain.

Но блокчейн в PKI не завезут. Ибо центрам это невыгодно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #42

26. Сообщение от Аноним (26), 26-Мрт-23, 11:53   +/
— Слыш, пупкинбанк.ком, смени сертификат.
— пупкинбанк.ком: сгенерируй новый, пожалста.
— Вот те, юзай.

???

Десять минут спустя…

— Слыш, пупкинбанк.ком, смени сертификат снова.
— пупкинбанк.ком: сгенерируй новый, пожалста.
— Вот те, юзай.

Что происходило в эти 10 минут? Да кто его знает :]

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29, #37, #116

27. Сообщение от Аноним (28), 26-Мрт-23, 11:53   +1 +/
>Более того, существует поле ca restriction, позволяющее сделать такой ca, который может подписывать только конкретные домены и поддомены в них

Расскажите об этом минцифры.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #40, #50

28. Сообщение от Аноним (28), 26-Мрт-23, 11:55   –3 +/
Гугл уже монополист со своим хромом, и может приструнить центры. Mozillу же центры сами приструнят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #35, #48, #114

29. Сообщение от Аноним (28), 26-Мрт-23, 11:58   +/
Ну смена серта самим сайтом скомпрометировать его не должна, но вот расследование вредоносных действий центра и его подельников частая ротация сертификата сильно затрудняет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

30. Сообщение от амоним (?), 26-Мрт-23, 12:01   –1 +/
сложность в том, что владельцу нужно как-то доказать, что это его серт, и его нужно отозвать.
но если серт утекший, то как с его помощью, можно доказать, что ты - это ты, ведь подпись этим сертом этот не доказательство )
умолять на коленочках - ну запрос на отзыв, это такой же запрос как и на выдачу или продление.
получая серт, ты в принципе доверяешь весь свой трафик владельцам CA.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #32, #33, #36

31. Сообщение от Аноним (31), 26-Мрт-23, 12:04   +7 +/
И сразу выкладывайте этот сертификат *. на 25 лет в общий доступ.
Нам нечего скрывать! И обновление паролей/сертификатов нам не нужны!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #38, #103, #129

32. Сообщение от Аноним (28), 26-Мрт-23, 12:10   +2 +/
Если серт утёк, то он должен быть отзыван. Поэтому нет никакой проблемы, если лицо, получившее контроль над утекшим сертом, его отзовёт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

33. Сообщение от Аноним (28), 26-Мрт-23, 12:16   +/
>умолять на коленочках - ну запрос на отзыв, это такой же запрос как и на выдачу или продление.

получая серт, ты в принципе доверяешь весь свой трафик владельцам CA.

Запросы имеют сомнительную легитимность. Можно было бы устроить систему так, что центр только удостверяет, что тот, кому серт изначально выдан, есть тот, кто в метаданных ключа в сертификате записан, и хранение и сопровождение списка отзыва. Но система была сделана так, чтобы дать центрам и их хозяевам побольше власти и возможность требовать оплату за каждый чих.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #34

34. Сообщение от Аноним (28), 26-Мрт-23, 12:17   +/
>получая серт, ты в принципе доверяешь весь свой трафик владельцам CA.

Не совсем. Для этого им нужгы сообщники - хозяева каналов связи между тобой и сайтами.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

35. Сообщение от Аноним (31), 26-Мрт-23, 12:18   +5 +/
Жажда сапога в жoпe или что?

У нас есть замечательный некомерчнский центр сертификации. Можно пожелать еще один некомерческий центр для альтернативы.
Но точно нельзя пожелать чтобы гугл/госпараша или еще что-то подобное вмешивалось в этот процесс.

Отзыв со стороны CA это хорошая практика для безопасности.
СА лучше знать, чем владельцу сертификата о том, что при генерации что-то пошло не так.

CA обнаружили баг/фичу из-за которых к твоему домену банка сгенерили 500 сертов 500 разных людей.

И че мне ждать пока ты там об этом узнаешь чего-то подпишешь и пойдёшь обновишь 25 летний серт?
И только после этого для клиента банка исчезнет вероятность MiTM от 500 разных людей?

Невероятно логично просто 12/10, спасибо экспертам опеннета за наше безопасное детсво!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #39, #85

36. Сообщение от пох. (?), 26-Мрт-23, 12:27   +/
ммм... тебя совершенно не смущает тот факт что для получения того серта - ничего доказывать (по новым модным современным правилам) его не попросили?

> но если серт утекший, то как с его помощью, можно доказать, что ты - это ты, ведь подпись этим сертом этот не
> доказательство

для отзыва-то? по-моему идеальное - если ты прогадил ключ так что им смогли подписать запрос - то его точно надо отзывать, даже если не ты подписывал ;-)

> получая серт, ты в принципе доверяешь весь свой трафик владельцам CA.

тут теперь - и не свой тоже. В смысле, владельцу он не достанется, но пока он не войдет в твое положение - достанется плохому васяну, стырившему серт с ключом.

Эх.. а когда-то я мог просто поставить галочку в вебморде :-(

В принципе-то, конечно, это все равно все шуточки - никто уже давно никакие ocsp не проверяет, а списки немодно и зачем вам вообще эти гигабайты (с) гугель.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #45, #115

37. Сообщение от пох. (?), 26-Мрт-23, 12:30   –1 +/
> — Слыш, пупкинбанк.ком, смени сертификат.
> — пупкинбанк.ком: сгенерируй новый,

А НЕ ТО!
> — Вот те, юзай.
> ???
> Десять минут спустя…
> — Слыш, пупкинбанк.ком, смени сертификат снова.
> — пупкинбанк.ком: сгенерируй новый,

А НЕ ТО!
> — Вот те, юзай.

по сути все правильно, но это не просьба, а угроза. Не сменишь - хрен его знает что с тобой сделают.

летсшиткрипт (кстати земля стекловатой его основателю) в своем репертуаре, лягухе еще слегка добавили нагрева.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #46

38. Сообщение от Аноним (38), 26-Мрт-23, 12:31   +1 +/
И трусы от банковской карточки
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

39. Сообщение от Аноним (28), 26-Мрт-23, 12:31   –2 +/
>СА лучше знать, чем владельцу сертификата о том, что при генерации что-то пошло не так.

Ключи на стороне клиента генерируются.

>CA обнаружили баг/фичу из-за которых к твоему домену банка сгенерили 500 сертов 500 разных людей.

В таких случаях нужно "сначала" (одновременно, но с приоритетом на "сначала") исключать корневой сертификат CA из браузеров и ОС, потом заставлять уже бывший CA его отзывать. Ибо если контора позволяет себе такое, то ей не место в бизнесе CA. И плевать, что это может быть не её вина. Тут вообще дело не в вине. Когда товар некачественный, то его не покупают, а покупают качественный товар конкурентов. Так работает и решает рыночек.

>И че мне ждать пока ты там об этом узнаешь чего-то подпишешь и пойдёшь обновишь 25 летний серт?

Нет, корневой церт этого CA уберут из реализаций, и реализации перестанут доверять всем потенциально скомпрометированным сертам. Бизнесмен заплатил субподрядчику, который оказал некачественную услугу ему. В результате бизнесмен оказал некачественную услугу своим клиентам. Клиенты могут подать на него в суд за это. А он - подать на CA, и взыскать с них убытки. Или не подать, если в договоре дак договорено.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #49

40. Сообщение от пох. (?), 26-Мрт-23, 12:32   +1 +/
А им чем поможет, там же не только ру и рефе, они ж и com и любые другие домены радостно подпишут.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

41. Сообщение от Аноним (38), 26-Мрт-23, 12:33   –1 +/
Каэшн не будем, ты ведь пишешь идеальный софт в котором не может быть уязвимостей с идеальными шифрами в которых не бывает коллизий, а главное тебе можно доверять, как и любому наёмному мимокрокодилу
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #130

42. Сообщение от пох. (?), 26-Мрт-23, 12:34   –1 +/
> Ну отзыв фундаментально полагается на третьих лиц. Которых придётся уговаривать и чек
> заносить. Будь это keyserverы, DHT, или blockchain.

в блокчейн можно было бы напрямую добавлять запись об отзыве. Но эта технология и тут тоже бесполезна.
> Но блокчейн в PKI не завезут. Ибо центрам это невыгодно.

напомни, какого размера сейчас блокчейн всеми любимого битка, транзакции которого безумно дороги и используются последнее время по минимуму?

Ну вот поэтому и не завезут - и не только потому что центрам не выгодно, хотя и это тоже.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #47, #51

43. Сообщение от Аноним (38), 26-Мрт-23, 12:34   +1 +/
А потом, внезапно, узнаётся, что из железа, при очень большом желании, его тоже можно извлечь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #113

45. Сообщение от Аноним (28), 26-Мрт-23, 12:37   +/
>ничего доказывать (по новым модным современным правилам) его не попросили?

Ну вообще-то попросили доказать, что доменное имя ведёт к ним. Это может владелец DNS-сервера сделать. Который теперь гуглаг и клаудфларь. Которые также владельцы каналов и data-центров.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #72

46. Сообщение от Аноним (28), 26-Мрт-23, 12:39   +1 +/
>летсшиткрипт (кстати земля стекловатой его основателю) в своем репертуаре

то есть plain http - лучше?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #61, #71

47. Сообщение от Аноним (28), 26-Мрт-23, 12:41   +/
>в блокчейн можно было бы напрямую добавлять запись об отзыве.

Но заносить всей сети, путём нахождения блока/уплаты transaction fee - обязательно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

48. Сообщение от Аноним (48), 26-Мрт-23, 12:42   –1 +/
Как же вы задрали, мамкины экономисты. На рынке сильно больше двух бесплатных браузеров, а вы орете про какую-то монополию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #54

49. Сообщение от Аноним (31), 26-Мрт-23, 12:43   +3 +/
>Ключи на стороне клиента генерируются.

Подпись на стороне ца. Конечный подписанный серт генерируется на стороне ЦА.
>исключать корневой сертификат CA из браузеров и ОС, потом заставлять уже бывший CA его отзывать.

Мир не идеален, так ни одного ЦА не останется или каждый день будет новый ЦА без репутации. Тот же летсенкрипт уже отзывал серты, что его теперь обнулить из-за этого?
>в бизнесе CA

Никакого бизнеса тут быть не должно этим должны заниматься НКО.
>Нет, корневой церт этого CA уберут

Сколько ЦА убрали из-за отзыва сертов? Крупные ЦА отзывали и отзывают серты это нормально и это должно быть автоматизировано, чем реньше серт будет отозван тем меньше угроза безопасности клиентов банка.

>Бизнесмен заплатил субподрядчику, который оказал некачественную услугу ему.

Мощно.  Бизнесмены, подрядчики и это все альтернатива ACME? Очень смешно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #58, #68

50. Сообщение от Аноним (38), 26-Мрт-23, 12:43   +/
А зачем им что-то рассказывать? Кто они вообще? Может им ещё и доверять начать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #53

51. Сообщение от Аноним (28), 26-Мрт-23, 12:46   +/
>напомни, какого размера сейчас блокчейн всеми любимого битка, транзакции которого безумно дороги и используются последнее время по минимуму?

В блок можно заносить хеши от записи в DHT. И не битком единым. Вообще самая большая прьблема валют - это их завязанность на их создателей, которые могут оказаться самыми настоящими бринципными неспеолибералами. И где теперь Etherium Classic, который остался верен принципам, против которого провели double spend?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #63

53. Сообщение от Аноним (28), 26-Мрт-23, 12:50   –1 +/
Не вижу проблемы, если сертификатом минцифры будут подписаны только *.gov.ru и <государственные>.рф сайты. Также не вижу проблемы, если банки создадут свой центр сертификации, которым будут подписывать сертификаты исключительно своих сайтов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #56

54. Сообщение от Аноним (28), 26-Мрт-23, 12:53   +1 +/
>На рынке сильно больше двух бесплатных браузеров

telnet.exe, например.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

55. Сообщение от Аноним (12), 26-Мрт-23, 12:57   –3 +/
>потому что wildcard

Именно для единообразной обработки по wildcard и надо:
if string.match(lighty.env["request.uri"], "/%.well%-known/acme.+") then
....

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

56. Сообщение от Аноним (56), 26-Мрт-23, 13:00   +3 +/
Не вижу разницы между сертом минцифры и самоподписаным тобой. Хотя вижу, к тебе я отношусь нейтрально потому, что ничего не знаю, а с минцифры мне сразу все понятно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #62

57. Сообщение от Аноним (57), 26-Мрт-23, 13:10   +1 +/
> контролируемый сообществом

сообществом кого?

Ответить | Правка | Наверх | Cообщить модератору

58. Сообщение от Аноним (28), 26-Мрт-23, 13:11   +/
>>Ключи на стороне клиента генерируются.
> Подпись на стороне ца. Конечный подписанный серт генерируется на стороне ЦА.

У клиента может быть уязвимая реализация гспч. У центра уязвимая реализация - вон из бизнеса.

> Мир не идеален, так ни одного ЦА не останется или каждый день будет новый ЦА без репутации.

Вселенная жестока и несправедлива. Ты до сих пор жив только потому, что бесчисленное число людей, единственная вина которых была в том, что им не повезло, сдохли.

>Тот же летсенкрипт уже отзывал серты, что его теперь обнулить из-за этого?

Да, исключить его серты. Чьи сайты перестанут работать - сами виноваты, что выбрали этот CA.

> Никакого бизнеса тут быть не должно этим должны заниматься НКО.

Только при наличии адекватной оплаты адекватный CA может существовать. Какая у него правовая форма - глубоко пофиг. Нужна оплата такая, чтобы CA мог себе позволить обеспечить отсутствие инцидентов.

> Сколько ЦА убрали из-за отзыва сертов?

Это ещё раз указывает на то, что сегодняшняя система PKI скомпрометированна конфликтом интересов у её участников.

>Крупные ЦА отзывали и отзывают серты - это нормально и это должно быть автоматизировано, чем реньше серт будет отозван тем меньше угроза безопасности клиентов банка.
> Мощно.  Бизнесмены, подрядчики и это все альтернатива ACME? Очень смешно.

Да. Не нравится, что сайт может выдти из строя из-за выхода из строя CA - резервируй. Всё равно рисковано? Пиши в договоре "ничего своим клиентам я не обязан"? Клиенты не оценили, идут к конкурентам? Не пиши так, страхуй ответственность. Некоммерческий сервис, бесплатный? Ну так не проблема не гарантировать сервис.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

59. Сообщение от Аноним (59), 26-Мрт-23, 13:23   –1 +/
А слабо по 7 дней сертификаты делать?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #70, #74, #75

61. Сообщение от ivan_erohin (?), 26-Мрт-23, 13:33   +/
других вариантов кроме "дрянь-PKI" и "plain http"
в принципе нет или вы о них не знаете ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #66

62. Сообщение от Аноним (62), 26-Мрт-23, 13:33   –2 +/
Единственная разница между самоподписанными корневыми сертификатами - это то, куда их включили. Моим сертификатом ты не заставишь россиян пользоваться, и в браузеры и ОС ты его не пропихнёшь. Сертификатом минцифры уже заставили пользоваться россиян. Теперь люди ставят Яндекс Браузер, в котором этот сертификат есть, и пользуются им. С Алисой, включённой по-умолчанию. Можно было бы хорошо не навязывать людям Алису и браузер от конторы с не самой лучшей репутацией, а включить сертификат минцифры в браузеры и ОС с более чистой репутацией. Для этого нужна гарантия, что он не будет использоваться для вредоносной активности. Людям говорят "а вдруг сертификаты РФ не продлят/отзовут, тогда наши сайты накроются?" Ну если от этого защита, тогда ОК, только гарантию дайте, что вы траффик к чужим сайтам прослушивать и/или модифицировать не сможете. Ещё можно сказать "нас достало платить за сертификаты несправедливую цену", и это тоже ОК.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #86, #96, #104

63. Сообщение от Аноним (63), 26-Мрт-23, 13:35   +/
*беспринципными неолибералами
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

64. Сообщение от Аноним (64), 26-Мрт-23, 13:36   +8 +/
Нагрузка на веб-апи это ничто.
Вебапи можно заскейлить до космических масштабов почти бесплатно и обрабатывать хоть все запросы разом от всего человечества.

Нагрузку создаёт генерация новых сертификатов, раньше пользователь по крону генерил сам в удобное время ему. Теперь будет генерить в удобное для ЦА время.

У летсенкрипт серевер генерации в единственном экземпляре и заскейлить его очень проблематично.
https://letsencrypt.org/2021/01/21/next-gen-database-servers...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #69, #79, #95, #102, #141

66. Сообщение от Аноним (66), 26-Мрт-23, 13:38   –1 +/
Да, других вариантов в принципе нет. У них нет шансов быть включенными в браузеры и ОС. А указанные - уже включены, и останутся включены, за исключением plain http возможно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #73

68. Сообщение от Аноним (68), 26-Мрт-23, 13:49   –1 +/
>Подпись на стороне ца. Конечный подписанный серт генерируется на стороне ЦА.

ЦА - это профессиональные обеспичители безопасности. Им за это и платят - чтобы не было эксцессов, чтобы всё было сделано так, чтобы комар носу не подточил.

>Мир не идеален, так ни одного ЦА не останется

Ты жив только потому, что бесчисленное количество твоих дальних родственников было выбраковано эволюцией.

>Никакого бизнеса тут быть не должно этим должны заниматься НКО.

Всё равно, НКО или не НКО, главное чтобы у него ресурсы были на то, чтобы не происходило ничего, что может являться основанием для утраты доверия.

>Бизнесмены, подрядчики и это все альтернатива ACME? Очень смешно.

Ну так и сервис тогда должен быть не гарантирован. Не хочешь/не можешь платить - не в той позиции, чтобы требования к бесплатному продукту предъявлять.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

69. Сообщение от Аноним (69), 26-Мрт-23, 13:53   –1 +/
могли бы просто дёргать URL на сайте через POST...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

70. Сообщение от Аноним (72), 26-Мрт-23, 13:57   +/
Тебе никто не мешает менять сертификаты хоть каждый день.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

71. Сообщение от пох. (?), 26-Мрт-23, 14:01   –1 +/
Лучше. Никакой шиткрипт не сможет заблокировать доступ к твоему сайту , отозвав сертификат, которого просто нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #76

72. Сообщение от Аноним (72), 26-Мрт-23, 14:03   +/
Потом попросят предъявить право на вход в интернет.  
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

73. Сообщение от пох. (?), 26-Мрт-23, 14:03   –1 +/
> в браузеры и ОС. А указанные - уже включены, и останутся

Как включили так и выключат.
> включены, за исключением plain http возможно.

о, догадливый.

С ftp уже расправились. Через этот плэйн половина фич не работает. (И половина той половины через самоподписанные серты тоже - сколько ни соглашайся что да, от...сь, это МОЙ дура серт)
Осталось еще победить самодельные ca, ну, полагаю, над этим работа кипит.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

74. Сообщение от пох. (?), 26-Мрт-23, 14:05   +/
> А слабо по 7 дней сертификаты делать?

ну к этому все и идет ведь...


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #78, #146

75. Сообщение от амоним (?), 26-Мрт-23, 14:08   +/
скажу больше - какой-нибудь mesh в кластере может менять сертификаты гораздо чаще - ну там например раз в 4 часа
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #160

76. Сообщение от амоним (?), 26-Мрт-23, 14:11   +/
при всем моем уважении.
это раньше ты на сайты ходил. а сейчас просто через гугл находишь страницу.
формально - сайты уже того. гугл - реестр страниц.
а если еще дальше - то ChatGPT вообще судя по всему убъет веб. если эта шутка может рассказывать инфу - то кто будет делать страницы, на ктороные все равно никто не пойдет.
с появлением ChatGPT - веб сайты как бизнес модель умерли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #77, #98

77. Сообщение от амоним (?), 26-Мрт-23, 14:12   +/
*которые
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

78. Сообщение от Аноним (59), 26-Мрт-23, 14:15   +3 +/
всё идет к тому, что "смертификаты" будут выдавать на один час, и только если на сайте нет ничего плохого/хорошего про трампа/байдена/путина/трансов/верунов. как только чего про них написал - всё, больше сайт нигде не откроется, кроме линкса/телнета.

зато безопасно, да... никакой митм не страшен.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #91, #138

79. Сообщение от BrainFucker (ok), 26-Мрт-23, 14:26   –2 +/
> Нагрузку создаёт генерация новых сертификатов, раньше пользователь по крону генерил сам в удобное время ему. Теперь будет генерить в удобное для ЦА время.

Не сам, а по крону клиент certbot или аналог слал запрос на сервер LE, тот в ответ слал ответный запрос для валидации и потом выдавал подписанный ими сертификат.


> У летсенкрипт серевер генерации в единственном экземпляре и заскейлить его очень проблематично.

Не вижу проблемы. Там уже есть API https://acme-v02.api.letsencrypt.org/directory через который происходит запрос нового сертификата, поднять несколько серверов и распределить нагрузку не проблема.

Сдаётся мне что статью просто перевели криво и дело не в нагрузках.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #105

80. Сообщение от Ыкспёрт опённетаemail (?), 26-Мрт-23, 14:27   +/
Надевает он гамаши, говорят ему - не Ваши. Надевает он пальто, говорят ему - не то. Вот какой рассеянный, с улицы Бассейной.
Каждые 30 дней он был вынужден удостоверять сертификат пальто, и каждые 90 дней сертификат трусов, с тех пор как дядя Гога начал проверять сертифицированность одежды.
Так как все таки лучше, без трусов, без сертификата на трусы, или без дяди Гоги?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #90, #99

81. Сообщение от Kuromi (ok), 26-Мрт-23, 14:27   +2 +/
Наоборот, ни продвигают идею сокращения срока их жизни и более частого обновления. Чисто статистически если у вас сертификаты были на год а стали на полгода нагрузка от обновлений вырастет в 2 раза. Так что эти подвижки в сторону "выравнивания нагрузки" на самом деле борьба с последствиями своих же решений.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

83. Сообщение от Аноним (83), 26-Мрт-23, 14:36   +2 +/
>все

https://www.opennet.me/opennews/art.shtml?num=54206
https://www.opennet.me/opennews/art.shtml?num=56830

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #133

85. Сообщение от Kuromi (ok), 26-Мрт-23, 14:38   +/
Касательно кейса с банками - как-то был опыт, что у банка одного стух сертификат на второстепенном сервисе, типа сервера откуда всякая статика раздается, картинки и прочее, можно и не заметить.
Пишу им в чат суппорта что вот так  и так - полное непонимание, вы не по адресу, пишите на мейл. Ну хрен с  ним, написал. Ответили через недели три.
А когда тот же ФФ отключал всякие SHA-1 сертфиикаты так вообще жуть что было, у довольно респектабельных банков все ломалось и ноль реакции, так что на их тех. отдел надежд нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

86. Сообщение от Kuromi (ok), 26-Мрт-23, 14:48   –1 +/
Вся эта итерика с "не продлят" пока ниочем. По тому что я наблюдаю организации в "зоне угрозы" перешли на греческие и возможно китайские центры сертификации. AlphaSSL стал часто мелькать например, а у Сбера сертификат от HARICA.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #92

87. Сообщение от Kuromi (ok), 26-Мрт-23, 14:50   +1 +/
Ну была такая инцииатива - Opportunistic Security, она и состояла в том чтобы даже на сайтах без нормлаьных сертификатах можно было настроить self-signed и чтобы браузер автоматически его подхватывал и без особыз истерик использовал. Мол да. сертификат непонятный. но соединение хотя бы зашифровано.
Не взлетело, хотя в ФФ было готово.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #101

88. Сообщение от Аноним (88), 26-Мрт-23, 14:50   +/
и чем это упрощает жизнь?
Может тогда еще "внедрят" по 30 дней в каждом месяце? Вот это бы жизнь упростило.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #100

90. Сообщение от Аноним (-), 26-Мрт-23, 14:53   +/
Больше Лакомств Явы да ты в своём уме
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

91. Сообщение от Kuromi (ok), 26-Мрт-23, 15:01   –2 +/
Ситауция с сертификататми вообще странная. Все говорят "надо бороться  с слежкой" и поэтому шифровать весь трафик, но при этом вводят владельцев сайтов в полную зависимость от центра сертификации. Более того, ведутся разговоры вида "HTTP без S надо вообще упразднить". Тот же HTTP2 без шифрования никто из разработчиков браузеров не реализовал, хотя  в стандарте такой режим прописан.
Вспоминается как было раньше - SSL шифровал только критичные моменты, вроде оформления покупки на сайте, а даже не весь магазин целиком. Это конечно тоже вызывает вопросы в духе "мой провайдер теоретчисеки знает чтоя  кладу в корзину", но реально далеко не любой ресурс требует HTTPS. Условный СБер взял и вырубил HTTPS на "витрине", не от хорошей жизни, но смелое решение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #93

92. Сообщение от Аноним (92), 26-Мрт-23, 15:04   +/
Разумеется, ни о чём. Хотели бы - уже бы просто отозвали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

93. Сообщение от Аноним (93), 26-Мрт-23, 15:11   +/
Если у тебя нет TLS, то тебе можно инъектировать вредоносный JavaScript. С эксплоитами, да и просто "согласись с доступом к USB устройствам (мы их перешьём во вредоносные), или наш инъектированный скрипт весь сайт сделает неработоспособным через document.write = 'Our website requires WebUSB. Инфа 146%. Give access or go away.';"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91 Ответы: #94, #97

94. Сообщение от Kuromi (ok), 26-Мрт-23, 15:17   +/
> Если у тебя нет TLS, то тебе можно инъектировать вредоносный JavaScript. С
> эксплоитами, да и просто "согласись с доступом к USB устройствам (мы
> их перешьём во вредоносные), или наш инъектированный скрипт весь сайт сделает
> неработоспособным через document.write = 'Our website requires WebUSB. Инфа 146%. Give
> access or go away.';"

Вот только примочки вроде WebUSB давно уже требует Secure Context и без HTTPS даже дсотуп запросить не удастся.
Сейчас без HTTPS можно только картиночки, видосики, css и JS (и то, в силу традиции). Даже доступ к геолокации (изначально доступный без HTTPS) впоследствии запретили.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93 Ответы: #109

95. Сообщение от Tron is Whistling (?), 26-Мрт-23, 15:24   –3 +/
"Почти бесплатно" тут лишнее - до космических масштабов скейлится стоимостью космических же денег.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #106

96. Сообщение от Tron is Whistling (?), 26-Мрт-23, 15:26   +/
Не ставил, не пользовался, не нужны.
Кому наплевать на приватность - могут ставить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #123

97. Сообщение от Аноним (59), 26-Мрт-23, 15:57   +2 +/
> Если у тебя нет TLS, то тебе можно инъектировать вредоносный JavaScript.

ну давай, инъектируй мне чего нибудь, прямо здесь, на этом сайте.
ты же можешь? или только языком?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93 Ответы: #144, #163

98. Сообщение от пох. (?), 26-Мрт-23, 16:10   +1 +/
> а если еще дальше - то ChatGPT вообще судя по всему убъет
> веб. если эта шутка может рассказывать инфу - то кто будет

ты не в курсе недавней истории как она рассеянским пропаган/\0нам "рассказала инфу"?
С выдуманными цитатами и ссылками на несуществующие источники ?

С гуглем последние лет десять или больше, кстати, та же проблема. Он не находит то что ты ищешь. Он  подсовывает тебе то что по его мнению ты хотел бы увидеть.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #111

99. Сообщение от пох. (?), 26-Мрт-23, 16:12   +/
> Надевает он гамаши, говорят ему - не Ваши. Надевает он пальто, говорят
> ему - не то. Вот какой рассеянный, с улицы Бассейной.
> Каждые 30 дней он был вынужден удостоверять сертификат пальто, и каждые 90
> дней сертификат трусов, с тех пор как дядя Гога начал проверять

минут.
Ишь чего захотел, 30 дней!


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

100. Сообщение от пох. (?), 26-Мрт-23, 16:13   +/
> и чем это упрощает жизнь?

не тебе же! (а летсшиткрипту) Вот ты и бесишься!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

101. Сообщение от пох. (?), 26-Мрт-23, 16:16   +1 +/
А, да, ошметки по сей день видны в старой паленой луне и еще где-то.
Казалось бы - с точки зрения безопасности уж всяко не хуже plain http. Но нет. Как это без острых глаз и длинных ушей товарищамайора общаться вздумали, ишь распоясались!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87

102. Сообщение от pashev.ru (?), 26-Мрт-23, 16:37   –1 +/
> У летсенкрипт серевер генерации в единственном экземпляре

Ну и дураки. Берём корневой сертификат, им подписываем N сертификатов для N серверов, а уже ими подписываем остальные или ещё несколько уровней.

Но мне кажется, что анонимус сам не в теме.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #107

103. Сообщение от pashev.ru (?), 26-Мрт-23, 16:39   –2 +/
Анонимус не в курсе, что сертификаты, включая корневой, и так в открытом доступе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

104. Сообщение от Аноним (104), 26-Мрт-23, 16:42   +/
Если бы было желание создать альтернативу западным CA, это не проблема. Проблема в том, что товарищ майор хочет, чтобы всё было под колпаком. Да, американский товарищ майор хочет того же самого, но российский товарищ майор туповат и действует самым топорным путем, своим любимым - шваброанальным. При этом у исполнителя в минцифрах мозгов не сильно больше, и он даже не в состоянии нормально настроить openssl, чтобы из сертификата не торчала левая фигня.

Совсем недавно была масса конкурирующих российских CA, которые прекрасно сами генерировали российские ЭЦП для бизнеса. Было бы желание, можно было бы на этой основе сделать десятки альтернативных CA. Но нет, всё это прикрыли, и уже пару лет как всё централизовано.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #159

105. Сообщение от Аноним (105), 26-Мрт-23, 17:21   +/
> поднять несколько серверов и распределить нагрузку не проблема

Несколько серверов чего именно? REST API? Их и так несколько. Тормозит совершенно в другом месте.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

106. Сообщение от Аноним (105), 26-Мрт-23, 18:15   +13 +/
Ну давай прикинем хотя бы порядок этих «космических» денег.

Предположим, что все 8 миллиардов человек один раз в месяц пишут и читают 1 килобайт статических данных. На AWS S3 получем за хранение и доступ к данным:

Tiered price for: 8192 GB
8192 GB x 0.0230000000 USD = 188.42 USD
Total tier cost = 188.4160 USD (S3 Standard storage cost)
8,024,057,190 PUT requests for S3 Standard Storage x 0.000005 USD per request = 40,120.2859 USD (S3 Standard PUT requests cost)
8,024,057,190 GET requests in a month x 0.0000004 USD per request = 3,209.6229 USD (S3 Standard GET requests cost)
9,216 GB x 0.0007 USD = 6.4512 USD (S3 select returned cost)
9,216 GB x 0.002 USD = 18.432 USD (S3 select scanned cost)
188.416 USD + 3,209.6229 USD + 40,120.2859 USD + 6.4512 USD + 18.432 USD = 43,543.21 USD (Total S3 Standard Storage, data requests, S3 select cost)
S3 Standard cost (monthly): 43,543.21 USD

За трафик:
Inbound:
Internet: 9216 GB x 0 USD per GB = 0.00 USD
Outbound:
Internet: 9216 GB x 0.09 USD per GB = 829.44 USD
Data Transfer cost (monthly): 829.44 USD

Итоговая сумма: 44,372.65 USD

Пока что космических денег не наблюдается. Я работал с несколькими компаниями, у которых месячные счета были в четыре раза больше.

Но статические данные это не очень интересно. Всё же API предполагает собой какую-то динамику, да и размер в 1 килобайт какой-то смешной. Пусть это будет те же 16 миллиардов запросов к AWS API Gateway (REST API) в месяц:

Tiered price for: 16000000000 requests
333000000 requests x 0.0000035000 USD = 1165.50 USD
667000000 requests x 0.0000028000 USD = 1867.60 USD
15000000000 requests x 0.0000023800 USD = 35700.00 USD
Total tier cost: 1165.50 USD + 1867.60 USD + 35700.00 USD = 38733.1000 USD (REST API requests)
Tiered price total for REST API requests: 38,733.10 USD
3.80 USD per hour x 730 hours in a month = 2,774.00 USD for cache memory
Dedicated cache memory total price: 2,774.00 USD
38,733.10 USD + 2,774.00 USD = 41,507.10 USD
REST API cost (monthly): 41,507.10 USD

Всё ещё тривиальные суммы, особенно учитывая планетарный масштаб. Но ответы на запросы к API Gateway приходят не из вакуума, что-то на том конце должно посчитать и выдать ответ. Для этого мы будем использовать AWS Lambda. Предположим, что запросы обсчитываются с p99 в районе 1 секунды и коду требуется не больше 128 мегабайт памяти и 512 мегабайт дискового пространства для обработки 1 запроса:

16,000,000,000 requests x 1,000 ms x 0.001 ms to sec conversion factor = 16,000,000,000.00 total compute (seconds)
0.125 GB x 16,000,000,000.00 seconds = 2,000,000,000.00 total compute (GB-s)
2,000,000,000.00 GB-s - 400000 free tier GB-s = 1,999,600,000.00 GB-s
Max (1999600000.00 GB-s, 0 ) = 1,999,600,000.00 total billable GB-s
Tiered price for: 1999600000.00 GB-s
1999600000 GB-s x 0.0000166667 USD = 33326.73 USD
Total tier cost = 33326.7333 USD (monthly compute charges)
16,000,000,000 requests - 1000000 free tier requests = 15,999,000,000 monthly billable requests
Max (15999000000 monthly billable requests, 0 ) = 15,999,000,000.00 total monthly billable requests
15,999,000,000.00 total monthly billable requests x 0.0000002 USD = 3,199.80 USD (monthly request charges)
0.50 GB - 0.5 GB (no additional charge) = 0.00 GB billable ephemeral storage per function
33,326.7333 USD + 3,199.80 USD = 36,526.53 USD
Lambda costs - With Free Tier (monthly): 36,526.53 USD

Не будем забывать, что исходящий трафик не бесплатный. Цена за гигабайт интернет-трафика в самом дешёвом регионе 0.09USD. 16 миллиардов запросов, минимум 2КБ на запрос обойдутся в 32,768 GB * 0.09 USD  = 2,949.12 USD.

Итого получаем: 80982.75USD в месяц до скидок и оптимизаций. Всё ещё тривиальная сумма, для проекта такого масштаба это действительно почти бесплатно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95 Ответы: #150, #175

107. Сообщение от Аноним (105), 26-Мрт-23, 18:22   +4 +/
Локалхостов, так что ж ты им не объяснишь как надо-то? Показал бы класс. А то они тупые, какие-то HSM дорогущие покупают, зачем-то их сетапят в секьюрных датацентрах. А могли бы по простому, скачать с твоего локалхоста пару скриптов на баше, а то и там же выполнять всё. А что, openssl точно такие же сертификаты генерит!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102

108. Сообщение от Аноним (105), 26-Мрт-23, 18:42   +/
Во-первых, никто не может запретить праведному Ахмеду стать CA. Скачал easy-rsa и порядок. Во-вторых, праведный Ахмед (а точнее его племянник ;) таки попал какв базу доверенных сертификатов, с неизбежной драмой в публичном мэйл-листе (гуглить по «concerns about Trustcor») и последующим абортированием Ахмеда к такой-то матери.

Про чеки за обслуживание в LE ты, конечно, пошутил.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #118

109. Сообщение от Аноним (109), 26-Мрт-23, 19:31   –1 +/
Тут же народ об обрезании функционала для сайтов без TLS ноет. Совсем житья не дают. А я вот считаю так: без TLS должен работать только plain HTML. Даже без картинок и видео. Надеюсь, что парсер HTML они хотябы без уязвимостей написать осилили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94

111. Сообщение от Аноним (111), 26-Мрт-23, 19:58   +1 +/
>Он  подсовывает тебе то что по его мнению ты хотел бы купить.

//ftfy

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #139

113. Сообщение от Аноним (105), 26-Мрт-23, 20:13   +/
Ага, при помощи секретных нибируанских технологий. Но только с благословления верховного ящерика.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

114. Сообщение от Аноним (105), 26-Мрт-23, 20:21   +/
Не может. Вообще никакого вляния не имеет. Прежде чем нести чушь, разобрался бы как Root of Trust устроен и как в него сертификаты попадают. Если уж на то пошло, как раз Мозилловский Root of Trust один из самых авторитетных источников.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

115. Сообщение от Аноним (105), 26-Мрт-23, 20:31   +/
> Эх.. а когда-то я мог просто поставить галочку в вебморде :-(

А сейчас даже веб-морда не нужна, на ужас ручных админов.

> В принципе-то, конечно, это все равно все шуточки - никто уже давно никакие ocsp не проверяет, а списки немодно и зачем вам вообще эти гигабайты (с) гугель.

OCSP — лажа уровня FTP. Вместо решения задачи добавляет лишних забот. Действительно, зачем вообще эти гигабайты?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #120

116. Сообщение от Аноним (105), 26-Мрт-23, 20:32   +/
> банк
> Let's Encrypt

Оборжаться. Что ещё расскажешь?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #121

117. Сообщение от Чукча (?), 26-Мрт-23, 20:42   +/
С letsencryptom не знаком,  потому прошу консультации,  люди добрые. Можно ли выпустить этот сертификат, передав УЦ только csr-запрос? Или обязательна установка бота под рутом и генерация ключа на стороне УЦ с сохранением этого ключа там же?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #119

118. Сообщение от пох. (?), 26-Мрт-23, 20:49   +/
> Во-вторых, праведный Ахмед (а точнее его племянник

этот даже на троюродного племяша не тянет - Ахмед-то сразу сказал зачем ему быть CA. Не дали, выставив _помимо_ тех галочек которые до того официально требовались еще пачку в принципе невыполнимых требований, причем как-то по ощущениям - выдумав их на ходу. Мне там особо понравилось - требование аудита (платного!) какими-то м-ками у которых СОБСТВЕННЫЙ сайт открывался по http.

А в LE товар - ты.  Чек за тебя им уже пришел.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108

119. Сообщение от пох. (?), 26-Мрт-23, 20:56   +1 +/
> С letsencryptom не знаком,  потому прошу консультации,  люди добрые. Можно
> ли выпустить этот сертификат, передав УЦ только csr-запрос?

нет. Нужно подтвердить что ты владеешь доступом к домену или сайту (ну например только что его ломанул - таймфрейм сведен к мизеру, поэтому доступ надо получить буквально на секундочку, это тебе не авторизация через email и тем более не идентификация по бумажному документу).

> Или обязательна установка

да
> бота

нет, но вручную выполнять протокол с секундными таймингами довольно затруднительно.

> под рутом

нет

> и генерация ключа на стороне УЦ с сохранением

нет, он вообще не видит твой закрытый ключ и затолкать его в протоколе некуда.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117 Ответы: #161

120. Сообщение от пох. (?), 26-Мрт-23, 21:22   +/
Ага, не нужна - сп-ли у тебя сертификат - ну и что, сиди дальше надувай щеки, все равно никто ничего не заметит.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #115 Ответы: #125

121. Сообщение от пох. (?), 26-Мрт-23, 21:29   +/
>> банк
>> Let's Encrypt
> Оборжаться. Что ещё расскажешь?

а в чем проблема-то? "зеленых плашек" с именем организации в адресной строке нет давно. Зеленых замочков и тем более. PKP запретили - нибизапастна, мы ж не сможем теперь выпустить на твое имя левый сертификат.
Банки, конечно, колоссально инерционны и еще пару лет будут платить за ставший совершенно бесполезным EV, но рано или поздно кто-то смелый и передовой запилит им сертбот. Преееемию поди получит... хотя вряд ли, скорее свое имя на доске почета, рядом с суммой экономии несвоих денег, там так принято.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116 Ответы: #126

123. Сообщение от пох. (?), 26-Мрт-23, 23:09   +1 +/
Кому приходится получать зарплату на сбер - будет ставить.

Впрочем, там дальше в списке госуслуги и налоговая. Так что никуда ты не денешься, будешь ставить - рано или поздно.

Сертификаты от неведомых китайцев и каких-то стремных греков, сам понимаешь, невечны - в следующий раз даже если их согласятся выдать, может не получиться легально заплатить.

Это временная затычка вызванная в основном тем, что добавлять ана...нетные сертификаты внезпно, кто бы мог подумать, оказалось надо еще и во все банковские терминалы. Сбер попытался и что-то у него там пошло не так. Но, как ты понимаешь, в самом крайнем случае несговорчивые терминалы просто заменят на более сговорчивые китайские, и угадай за чей счет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96 Ответы: #157, #158

124. Сообщение от Аноним (-), 26-Мрт-23, 23:41   –3 +/
> "контролируемый сообществом"

Непонятно что значит "сообществом", подскажите пожалуйста -
1) что это за "сообщество"? как оно называется?
2) как-то можно стать мембером этого "сообщества"?

P.S. ответьте пожалуйста по-существу

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #154

125. Сообщение от Аноним (105), 27-Мрт-23, 01:13   +/
И как тут OCSP поможет? А никак. Он тебе скажет «серт годный» и ты этот ответ закэшируешь на некоторое время, скажем на час. Как это принципиально отличается от сертификата со временем жизни в тот же час? Ну, кроме того, что нужно дополнительный сервис поддерживать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120 Ответы: #132

126. Сообщение от Аноним (105), 27-Мрт-23, 02:09   –1 +/
Когда будут, тогда и обсудим. Пока что это даже не гипотеза, так — шёпот голосов в твоей голове.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121

127. Сообщение от Аноньимъ (ok), 27-Мрт-23, 02:26   +/
>Правда, работать в современых браузерах почти ничего не будет.

Почему? Какие-то ограничения в браузерах?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #131, #136

128. Сообщение от Аноним (128), 27-Мрт-23, 04:56   +/
> Let's Encrypt внедрил расширение .. обновления сертификатов

Вот какая заботливая компания, всё для людей.

Ответить | Правка | Наверх | Cообщить модератору

129. Сообщение от Бывалый Смузихлёб (??), 27-Мрт-23, 07:16   +/
Только сертификат - не пароль

Ну обновляй все пароли на всех ресурсах через день. А потом - забавы для попробуй вспомнить к чему-то не часто используемому если комп накрылся или с бэкапами что-то приключилось

В случае с неприлично короткоживущими сертификатами сабжа дело, похоже, вообще ни в какой не в абстрактной безопасности соединения - может так оказаться, что, по очередному решению американского суда, возомнившего себя мировым, конторе просто отрубят доступ к получению нового сертификата и гарантировано что она сможет проработать не более 3-х месяцев
Хотя забавней будет, если посредством нового функционала просто тишком будут выдавать рекомендуемые даты обновления за пределами срока действия сертификата )

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #134, #145

130. Сообщение от Бывалый Смузихлёб (??), 27-Мрт-23, 07:27   –2 +/
сколько бесполезных слов и обвинений но не упоминается главного
> 1 марта 2022 года американский УЦ Thawte отозвал TLS-сертификаты
> у сайтов попавших под санкции Банка России, «ВТБ» и «ПСБ»
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

131. Сообщение от пох. (?), 27-Мрт-23, 07:47   +/
Угу. С селф-сайнед уже давно не работают всякие кросс-сайт штуки.
Даже с вручную подтвержденным что да, козлина, это МОЙ сертификат и отвяжись уже наконец со своей дурацкой безопасТностью.

(С невручную как обычно вообще ничего не работает потому что браузеры заменили нормальные диалоги на идиотскую "страницу" выдаваемую вместо сайта. И, соответственно, если с сайтом-то все относительно в порядке а с сертификатом возникли вопросы у вложенного элемента - то страницу некуда показать.)

Я напоролся на эту проблему при попытке самостоятельно развернуть инфраструктуру onlyoffice. Пришлось попрятать все за общий прокси (так же сделано в их собственных готовых сборках где все-в-одном), чтоб не было видно что часть содержимого страницы отдается с другого сервера. А если вместо этого ты выполнишь их инструкцию (включая создание self-signed) - ничего у тебя работать не будет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127

132. Сообщение от пох. (?), 27-Мрт-23, 07:48   +/
А, ну так-то конечно ок. Сертификаты с временем жизни в час всех спасут.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125

133. Сообщение от Аноним (133), 27-Мрт-23, 08:41   +/
не вижу связи, не ставьте такой сертификат ca :-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83

134. Сообщение от Аноним (133), 27-Мрт-23, 08:42   +/
именно!
кто контролирует выпуск сертификатов- контролирует интернет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #129

136. Сообщение от пох. (?), 27-Мрт-23, 09:36   +/
CORS (нет, выставлять заголовки, в случае с самоподписанным сертом не помогает - они выставляются, естественно, и игнорируются) и еще что-то, связанное с вебсокетами, что я забыл зафиксировать в методичках - первое я с грехом пополам в какой-то древней мразиле отключил, и это у меня записано, но дальше там еще что-то было, о чем уже забыл за давностию лет. Причем на экране разумеется пусто, и несчастный юзер даже не узнает где его кинули (в консоль он вряд ли умеет посмотреть).

Короче - не работает наглухо.

С enterprise root - работает, конечно, но там еще проблем будет при этом (у жабаскрипта свои причуды, node еще и  не умеет в энтерпрайз, п-ц), поэтому пришлось пойти другим путем.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127

138. Сообщение от InuYasha (??), 27-Мрт-23, 10:35   +/
Вот, я который раз и говорю: "мыши дохли, травились, но продолжали жрать бесплатный сыр".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

139. Сообщение от ivan_erohin (?), 27-Мрт-23, 10:56   +/
я хотел бы купить реализацию rootCA + interCA + CRL + AIA + OCSP респондер на openssl, make-файлах, sh-скриптах и perl-based web-сервере забыл как его. кроссплатформеннную, чтобы домен AD жрал и не давился. но что-то не продают. придется все самому.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111

141. Сообщение от Аноним (141), 27-Мрт-23, 12:39   +1 +/
Это какой-то позор, сервис, на который завязали половину интернета, держится на одном аппаратном сервере, причем они с трудом его доапгрейдили (апгрейдят) до всего лишь Dell PowerEdge R7525, который новый стоит не более 10 килоевро. Почему не поставить тогда сервак сразу не с двумя, а с четырьмя сокетами? И за столько лет никто не переделал их boulder на возможность распределенной работы? Вопросы, вопросы...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #142, #147

142. Сообщение от Аноним (141), 27-Мрт-23, 12:51   +1 +/
При этом у них собралось
> $17M that we’ve used to change the Internet

но весь бизнес висит на одной железке.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #141

143. Сообщение от Аноним (-), 27-Мрт-23, 14:16   +/
Так уж получилось, что IP адрес одного из моих поддоменов в облаке оракла неизвестно кому и этот неизвестно кто выпустил на него сертификат. Спасибо Cloudflare, что уведомили меня о выпуске нового сертификата. Что ты предлагаешь делать, если отзывать левый серт через CA - "это какой-то бред"?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

144. Сообщение от Аноним (-), 27-Мрт-23, 14:20   +/
ОПСОС может. Более того, активно этим занимается. (Привет, мегавонь)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

145. Сообщение от Анон_облегчился (?), 27-Мрт-23, 16:41   +/
Срок жизни сертификатов напрямую связан с безопасностью точно так же как и срок жизни самого длинного пароля на свете.
Ручное обновление сертов прямой риск безопасности, если бы не ACME так бы до сих пор и дрoчили руками файлики. Кому нужна автоматизация действия которое нужно делать раз в два года?

Люди к закрытым ключам доступа иметь не должны вообще никак. Серт/ключ не должен проходить цепочки с подрятчиками, техдиректорами и прочими "бизнесами", а должен генерироваться там где он нужен на минимально возможный срок.

ACME протокол спас людей от всего этого ада. С ACME работают многие провайдеры даже платные, а если бы не летсенкрипт ждали бы этого еще 20 лет.

Боитесь американского суда? Так пользуйтесь минцифры или невероятными по своей надежности китайскими провайдерами вместе с яндыкс браузером. Какое вам дело до американского суда или информационной безопасности? Это все не для вас явно.

90 дней жизни серта это на 89 дней больше чем необходимо для смены CA вашего сертификата.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #129 Ответы: #148

146. Сообщение от Аноним (146), 27-Мрт-23, 16:44   +/
Семь дней это дофига

Вон mjg59 вообще задвигает что каждую минуту менять надо


The SSH private key could be deployed to every front end server, but every minute it could call out to an HSM-backed service and request a new SSH host certificate signed by a private key in the HSM.

https://mjg59.dreamwidth.org/65874.html

А то ишь разслабились! А за безопастностью Пушкин смотреть будет?!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #151

147. Сообщение от пох. (?), 27-Мрт-23, 17:01   +/
Там скорее всего и от второго сокета толку никакого.
Строго последовательная обработка - я даже примерно догадываюсь, почему.

> И за столько лет никто не переделал их boulder на возможность распределенной работы?

к счастью. А то бы твои сертификаты уже достались кому-нибудь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #141

148. Сообщение от пох. (?), 27-Мрт-23, 17:05   –1 +/
Ну да, ну да - ручное обновление с контролем за ручками раз в три года - плоха, плоха и нибизапастна.

Отдать все управление работающему от рута самообновляющемуся из неконтролируемого источника сертботу - так побидим.

Все ок, только можно я свалю куда-нибудь в Парагвай, где вообще еще нет компьютеров?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #145 Ответы: #152, #166

150. Сообщение от anonym444email (?), 27-Мрт-23, 22:07   +3 +/
Переиграл и уничтожил. :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106 Ответы: #176

151. Сообщение от пох. (?), 28-Мрт-23, 00:02   +/
Тут скорее - не можешь победить - возглавь.
То есть чувак считает норм что в депляпс инфраструктуре асс э...коде ключи утекали, утекают и будут утекать, и придумал красивый новый кривой костыль.

Ну и ок, скажите, а вот выгул собак, например, никому не нужен?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #146 Ответы: #164

152. Сообщение от Аноним (31), 28-Мрт-23, 01:10   +/
>работающему от рута самообновляющемуся из неконтролируемого источника сертботу

Кроме сертбота полно других реализаций, но обычно реализация ACME нативно реализована на прокси или в логике конечных приложений если прокси нет.
Сертботы обычно запускают совсем маленькие наколеночные проекты.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #148 Ответы: #153

153. Сообщение от пох. (?), 28-Мрт-23, 09:26   –1 +/
ну то есть вообще зашибись - сразу конечное приложение работает от рута
(или от его эквивалента - нам не важен рут, нам важно что про разделение привиллегий девляпс забыл наглухо. У приложения и каждого кто инжектнет в него левый код - есть доступ к закрытому ключу. Вот молодцы-то какие.)

А мы когда-то, эхх, вручную вводили пароли при рестарте фронтендов. Со всеми соблюдениями регламентов, т.е. нужен владелец пароля от сервера, нужен владелец пароля от ключа, нужен третий что присматривает за этими двумя опасными типами, и ни одного движения без записей в логи.

Вот же ж как надо было - сразу в приложение затолкать ключ, и вообще нешифрованный, так удобней.

Чего там, действительно, все равно никто не заметит что его стырили.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #152

154. Сообщение от Аноним (-), 28-Мрт-23, 15:52   +/
"–2" ?? - неужели мой вопрос такой сложный? пусть оно не имеет названия, ладно! - но вступить-то в "контролёры" как?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124 Ответы: #155

155. Сообщение от пох. (?), 28-Мрт-23, 22:21   +/
Ну, как тебе попроще... вот смотри, теравады (одно из самых старых и респектабельных направлений, всего лет на 300-400 моложе самого Будды) считают что сколько башкой об стенку ни долбись - просветления тебе не видать.  Вот не можешь ты никак просветлиться. Что делать? Сдохнуть, вот чо! Вот поперерождаешься раз так под двести - глядишь, сподобишься стать бхикку (послушником при монастыре). Вот это уже хорошие шансы - один из миллиона достигнет просветления с первой попытки, ну а остальным хотя бы шанс на повторное такое же перерождение повышается.

Вот в контролеры или другие допущенные к столу - точно так же.

Просто у них хорошая карма а у тебя пока не очень. Родился в стране-изгое, надо ж так в прошлых жизнях напортачить...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #154 Ответы: #156

156. Сообщение от Аноним (156), 29-Мрт-23, 22:42   +/
А эту вот "карму", КТО контролирует? - Тоже "сообщество"? (Ну типа - садятся и решают, где будет  "изгой" и "неизгой", что "хорошо", а что "плохо"). Так кто же они?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155

157. Сообщение от Tron is Whistling (?), 30-Мрт-23, 09:12   +/
Ды не, ну зачем жо.
В тухуслугах уже давно ничего не надо, а нало*овой проще один раз ткнуть "пустить с говном вместо сертификата", всё равно там ничего критичного нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123 Ответы: #168

158. Сообщение от Tron is Whistling (?), 30-Мрт-23, 09:13   +/
Кстате да, с сертификатами у терминалов забавно получилос )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123

159. Сообщение от Tron is Whistling (?), 30-Мрт-23, 09:13   +/
Это проблема.
Западные CA внезапно трастятся всем миром и сотоварищи.
А вот с местным CA как щетаежь, какой уровень траста будет?
Ну, ставлю на Эритрею...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104 Ответы: #172

160. Сообщение от Tron is Whistling (?), 30-Мрт-23, 09:17   +1 +/
Угу, потом пара десятков нод из него выпадут, а взлетать придётся руками.
Хотя одноляпсовым микросервисам непочём - они всё равно ценных данных не содержат.
А там, где ценные данные, всё по-старинке :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #165

161. Сообщение от Чукча (?), 30-Мрт-23, 15:33   +/
Спасибо, но понимания больше не стало. То ли я туп, то ли Вы - плохой разсказщик.

>> С letsencryptom не

знаком,  потому прошу консультации,  люди добрые. Можно
>> ли выпустить этот сертификат, передав УЦ только csr-запрос?
> нет. Нужно подтвердить что ты владеешь доступом к домену или сайту (ну
> например только что его ломанул - таймфрейм сведен к мизеру, поэтому
> доступ надо получить буквально на секундочку, это тебе не авторизация через
> email и тем более не идентификация по бумажному документу).

У других УЦ есть требование разместить проверочный файл в определённой директории. И бот для этого не требуется.

>> Или обязательна установка
> да
>> бота

Это зло.

> нет, но вручную выполнять протокол с секундными таймингами довольно затруднительно.

Какой протокол и какие тайминги? Вы о чём вообще?  Вопрос был про генерацию сертификата.

>> под рутом
> нет
>> и генерация ключа на стороне УЦ с сохранением
> нет, он вообще не видит твой закрытый ключ и затолкать его в
> протоколе некуда.

И как тогда бот формирует csr-запрос не имея доступа к закрытому ключу? Имхо, имеет, а значит может и передать в УЦ.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119 Ответы: #162

162. Сообщение от пох. (?), 30-Мрт-23, 18:56   +1 +/
>  То ли я туп, то ли Вы - плохой разсказщик.

вообще-то этот сайт давно уже годится только для троллинга, а не просветительской деятельности. Но я все же стараюсь придерживаться темы.

> У других УЦ есть требование разместить проверочный файл в определённой директории. И бот для этого не
> требуется.

Здесь бот тебе потребуется чтобы выяснить, как этот файл сегодня называется, предварительно выполнив авторизацию и передав подписанный csr. Все это делается в одну открытую сессию, поэтому времени что-то там сопливить и на коленке вычислять ручками у тебя нет. Можно обойтись довольно примитивным скриптом, а не ушлепским все в одном, но тогда ты руками будешь исполнять остальные обязанности бота, оно тебе вероятнее всего уже не захочется.
Да, на баше такой скрипт не пишется, потому что надо парсить нетривиальный json - попытка была, закончилась смешно и поучительно.

> Какой протокол и какие тайминги?

протокол называется ACME.

> Вопрос был про генерацию сертификата.

сертификат - это твой открытый ключ (и информация о тебе) подписанный ключем CA. Его генеришь не ты, его генерит letshitcrypt и тебе отправляет в рамках протокола. Твоего там - только ключ.

>>> и генерация ключа на стороне УЦ с сохранением
>> нет, он вообще не видит твой закрытый ключ и затолкать его в
>> протоколе некуда.
> И как тогда бот формирует csr-запрос

бота ты запускаешь на СВОЕЙ системе, а не "на стороне УЦ". В запросе закрытого ключа нет, он остается у тебя.
Это ты можешь сделать и самостоятельно, бот для этой части процедуры необязателен и ничего волшебного не делает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #161 Ответы: #177

163. Сообщение от ivan_erohin (?), 31-Мрт-23, 07:52   +/
> ну давай, инъектируй мне чего нибудь, прямо здесь, на этом сайте.
> ты же можешь?

я не смогу.
а вот опсосы из РФ вставляли рекламу клиентам в http успешно.
и провинциальные ростелекомы тоже.
если эти факты прошли мимо вас то я даже и не знаю.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

164. Сообщение от ivan_erohin (?), 31-Мрт-23, 07:58   +/
> придумал красивый новый кривой костыль.

все уже придумано лет 5 как.
хашикорп ваулт безопастно выдает девопс-автоматике ключи и токены доступа на лету.
и для ssh тоже. через рест апи.

я пытался переточить этот ваулт для людей, но заблудился в политиках и временно забил.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #151

165. Сообщение от пох. (?), 31-Мрт-23, 13:42   +1 +/
Угу , вторую неделю не могли провести рутинную операцию в кластере этих ляпнутых на всю голову.

Потомушта там у них на виртуалке таза банных от которой зависит всьо, вообще, панимаишь, всьо. У вас там что - нет репликации? - Да вроде есть... (вроде, блжад) У вас не автоматический кластер? - Да вроде да...
Так давайте..  Нененене, нам надо подумать, подготовиться, время выбрать.

К счастью сегодня к утру оно сдохло (насчет всьо - не наврали, оказывается). Ну вот заодно и техобслужилось, все равно ресет пришлось нажать. К счастью, база вроде не побилась - хотя вполне ведь могла.

А, да, бэкапов у них нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #160

166. Сообщение от К.О. (?), 01-Апр-23, 09:53   –1 +/
> работающему от рута

Отлично запускается и не от рута.
Даже на одной машине он может быть не один, это же пачка питоноскриптов.
Запускай в контейнере по таймеру, ничего кроме директории с сертификатами он не увидит.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #148

168. Сообщение от пох. (?), 01-Апр-23, 11:51   +/
> В тухуслугах уже давно ничего не надо, а нало*овой проще один раз

я рад за тебя, чувак без загранпаспорта.
А мне вот - надо. Зарегистрировался (кстати, поведшись на клятвенные обещания что учетку всегда можно удалить... да, до прошлой недели было можно) ради возможности вообще выехать за границу в ковидные годы. Вот вообще ты никак без этого г-на не ушел бы от штрафа в 60 тыщ.
Сам загран - хз, наверное можно заполнить все на бумажке при личной явке в МФЦ (которые только в крупных городах и то не всех... впрочем зачем воронежцу загран, пакет себе чорный пусть закажет) но я не пробовал.
Но самое интересное и увлекательное тебя ждет когда понадобится плотненько повзаимодействовать с архивами.

И выяснится что восстановить справочку о смерти бабушки утерянную в 90е - с прошлого года можно только по записи. Запись только через дерьмоуслуги.
Это еще цветочки, ягодки когда тебе нужны необычные справки. Кое-что из этого требует одновременно учетки на гуаноуслугах И учетки mos.ru и никак иначе вот вообще (тоже все по записи и просто не попадешь туда).
Водительские права протухли? Снова все непросто.

можно, конечно, пытаться вручную разрешать сертификаты (а потом "ой, квартирка сама продалась") но там мильен разных доменов в авторизационных и прочих целях - поэтому скорее всего что-то да перестанет работать.

так что разьве что отдельный браузер держать. А потом еще его же для СБП (потому что понятно кто следующий принудительно и с песней перейдет - и это как раз эмбеднутые элементы в странице, их вручную не разрешишь).
А потом ты с удивлением понимаешь что у тебя все что на самом деле ценного и важного - именно в том браузере. А в нетом только опеннет, и непонятно нафига вообще.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #157 Ответы: #169, #170, #171

169. Сообщение от Tron is Whistling (?), 01-Апр-23, 11:55   +/
К счастью, успел загранник обновить в начале 2022, и даже шенген за пару недель "до" открыл :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #168

170. Сообщение от Tron is Whistling (?), 01-Апр-23, 11:56   +/
С правами тоже проблем не было - просто чуть дольше ожидание. Хотя в последний раз, когда записывался по другому поводу, ожидание получилось совсем не меньшим - можно было без записи приходить, результат тот же.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #168

171. Сообщение от Tron is Whistling (?), 01-Апр-23, 11:57   +/
> пытаться вручную разрешать сертификаты

А вот это - вообще тема. Сейчас юзеры начнут огульно кликать "установить сертификат", и митмы по всяким халявным вайфаям очень быстро войдут в моду.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #168

172. Сообщение от пох. (?), 01-Апр-23, 12:00   +1 +/
> Это проблема.
> Западные CA внезапно трастятся всем миром и сотоварищи.

ну судя по требованиям, выкаченным Честному Ахмаду - в общем я бы на твоем месте не особо доверял тем товарищам.
Какие-то они м-ки просто, товарищи эти.

С местными конечно еще хуже, потому что когда у них не только сп-ят все что можно и нельзя (и нет сомнений что это случится) и от их имени навыпускают твоих сертификатов не хуже настоящего, но и эта информация станет широко распространена (опять напоминаю истории с электронной подписью левыми сертами заверенными какими-то авторизованными помойками где-то в когалыме) - с ними ровным счетом ничего не произойдет.

А diginotar таки закрыли, и стремного панамца (который может и не делал ничего такого, кстати) и не менее стремного араба тоже.

> А вот с местным CA как щетаежь, какой уровень траста будет?
> Ну, ставлю на Эритрею...

Бери больше - великая страна, мл...э...партнер самого Китая - доверит как один! (Кто не доверит - тому швабра.)

Большинство как обычно даже ничего не заметят. Велят для захода в банк ставить браузер Амиго - будут ставить! С гордостью даже, не пендосский гугель какой, наше, импортозамещенное!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #159 Ответы: #173

173. Сообщение от Tron is Whistling (?), 01-Апр-23, 17:37   +/
Самым оптимальным был бы да, децентрализованный CA со строгими процедурами и независимым наблюдением.
Но это фантастика...
А так да, всё так.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #172

175. Сообщение от Tron is Whistling (?), 04-Апр-23, 00:56   +/
А теперь увеличь килобайт до пары мегабайт, и давай посчитаем :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106

176. Сообщение от Tron is Whistling (?), 04-Апр-23, 00:58   +/
Ды ладно. Там как обычно - "килобайт данных".
На сколь либо серьёзное применение это не скейлируется никак вообще.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #150

177. Сообщение от Чукча (?), 18-Апр-23, 14:21   +/
>[оверквотинг удален]
> CA. Его генеришь не ты, его генерит letshitcrypt и тебе отправляет
> в рамках протокола. Твоего там - только ключ.
>>>> и генерация ключа на стороне УЦ с сохранением
>>> нет, он вообще не видит твой закрытый ключ и затолкать его в
>>> протоколе некуда.
>> И как тогда бот формирует csr-запрос
> бота ты запускаешь на СВОЕЙ системе, а не "на стороне УЦ". В
> запросе закрытого ключа нет, он остается у тебя.
> Это ты можешь сделать и самостоятельно, бот для этой части процедуры необязателен
> и ничего волшебного не делает.

Спасибо за ответ. Углублюсь в тему на досуге.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #162


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру