| 1.1, Яблочко (?), 23:23, 13/03/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Уже есть где-то инфа как перевести старый клиент (где сертификат генерился для каждого поддомена отдельно с использованием проверки через другой веб-сервер, параметр webroot), на новый с использованием wildcard?
| | |
| |
| |
| 3.37, Яблочко (?), 14:53, 14/03/2018 [^] [^^] [^^^] [ответить]
| +/– | |
У меня для certbot отдельная виртуалочка (запускаю виртуалку, пара команд, забираю серты и ставлю куда надо), мне все равно, что она там у себя делает, хоть от рута, хоть от обычного юзера..
Погуглив, вроде есть такие решение (официальный certbot):
You need to add
--server https://acme-v02.api.letsencrypt.org/directory
to your Certbot command to tell it to use the ACME v2 API that supports Wildcard certificates.
./certbot-auto --server https://acme-v02.api.letsencrypt.org/directory -d *.ymeng.net --manual --preferred-challenges dns-01 certonly
Или в конфиг можно еще прописать:
server = https://acme-v02.api.letsencrypt.org/directory
Но еще не проверял все это дело.
| | |
|
|
| |
| 2.14, 321 (??), 04:21, 14/03/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
А как получить сертификат для хостинга, не имея доступа к консоли для установки ПО?
| | |
| |
| 3.39, Аноним (-), 19:52, 14/03/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> А как получить сертификат для хостинга, не имея доступа к консоли для установки ПО?
Сходить на поклон к хостеру, вестимо. Гостинцев прихватить не забудь.
| | |
|
|
| 1.4, Аноним (-), 00:00, 14/03/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Такая вот монополия на рынке ssl-сертов, но без клыков большой и жадной корпорации, присущих подобным проектам)
| | |
| |
| 2.6, Johny (?), 00:24, 14/03/2018 [^] [^^] [^^^] [ответить]
| –2 +/– | |
не вижу ничего хорошего в том что какая-то группа хитрозадых личностей фактически монополизировала контроль над вебом.
захотят - уберут завтра из своего "единого списка выданных сертификатов" все российские в качестве санкций, вот радости то.
| | |
| |
| 3.7, nobody (??), 00:31, 14/03/2018 [^] [^^] [^^^] [ответить]
| +6 +/– |
Так может сделать любой другой "центр", только этот хотя бы бесплатный ;)
| | |
| 3.8, qwe (??), 00:31, 14/03/2018 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> захотят - уберут завтра из своего "единого списка выданных сертификатов" все российские в качестве санкций
Как говорит Екатерина Шульман: "отстаивайте политические права и свободы. ифонов и роботов вам если что завезут, а вот прав и свобод не завезут".
| | |
| 3.9, vitalif (ok), 01:42, 14/03/2018 [^] [^^] [^^^] [ответить]
| +5 +/– |
 да уж пусть лучше они, чем родное ФСБ с каким-нибудь MITM "сертификатом национальной безопасности"
| | |
| |
| 4.30, google (??), 12:54, 14/03/2018 [^] [^^] [^^^] [ответить]
| +/– |
вы еще скажите, что мы когда-то отказывались сотрудничать с ФСБ
| | |
|
|
| 2.10, Аноним (-), 01:44, 14/03/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> без клыков большой и жадной корпорации
На список спонсоров посмотри. Они в эту тушку все одновременно уцепились и каждый выпустить боится.
| | |
| |
| |
| 4.22, letsf_ckyouall (?), 09:53, 14/03/2018 [^] [^^] [^^^] [ответить]
| –5 +/– | |
> Ну и ладушки, конечный результат вполне хорош
да, прекрасен - конкурентов у нас скоро вообще не будет.
а вы схаваете, давясь и чавкая, любой кал, лишь бы вам на халяву он доставался.
| | |
|
|
|
| 1.11, commiethebeastie (ok), 02:30, 14/03/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 >100% охват сайтов протоколом HTTPS
А потом их перестанут выдавать всяким мещанам. А когда очнутся, браузеры уже и не поддерживают http.
| | |
| |
| 2.16, Сергей (??), 08:28, 14/03/2018 [^] [^^] [^^^] [ответить]
| –4 +/– |
Нравится или нет, но рано или поздно это произойдёт. Такова логика развития событий при капитализме.
| | |
| |
| 3.17, Сергей (??), 08:30, 14/03/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Нравится или нет, но рано или поздно это произойдёт. Такова логика развития
> событий при капитализме.
Единственное, что может компенсировать это - опенсорс.
| | |
| |
| 4.19, нах (?), 09:46, 14/03/2018 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Единственное, что может компенсировать это - опенсорс.
мурзилла ваша - вполне себе опенотсос. И хромиум тоже. Вы можете решить проблему Честного Ахмеда? Нет. Поэтому сказочки что опенотсос чего-то там компенсирует - оставьте своей детсадовской младшей группе.
а, да - софт для организации собственного ca тоже вполне себе опенотсосен (и даже такой CA давно уже организован). Только вот добавить его в список вы не сможете - теперь, помимо требований дать в жoпу (и железнодорожный состав денег) компании-аудитору, не умеющей настроить собственный веб сайт, еще и требование добавлять все выданное в чудо-логи. Один из которых принадлежит гуглю, и второй..а, тоже гуглю. И нет, там нигде не написано что кому-то разрешат туда добавляться бесплатно.
единственное, что может компенсировать это - вмешательство федеральной антимонопольной службы. Не то чтобы совсем уж сказочное явление (мы-то помним судьбу AT&T) - но даже если сказка обернется явью - уйдет полсотни лет чтобы компенсировать разрушенное (включая бесконечные суды с наследниками патентов в пятом поколении, которые по сей день не закончились).
| | |
|
|
| 2.21, letsf_ckyouall (?), 09:51, 14/03/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
>>100% охват сайтов протоколом HTTPS
> А потом их перестанут выдавать всяким мещанам. А когда очнутся, браузеры уже
> и не поддерживают http.
зачем? нас вполне устраивает нынешняя ситуация - когда нас в бой пошлет товарищ...э...г-н неважно кто будет директор NSA в тот момент - мы выдадим ровно столько поддельных сертификатов ваших сайтов, сколько потребуется.
И в чудо-логах их заменим, они принадлежат и контролируются тем же.
А еще, вечно что-то меняя и улучшая в своем чудо-протоколе, мы все же приучим вас тупо запускать левый код от имени пользователя, умеющего подменять сертификаты (и, скорее всего, как минимум, перезапускать веб-сервер), не особо вглядываясь, что он там делает.
| | |
| |
| 3.23, Аноним (-), 10:14, 14/03/2018 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> мы все же приучим вас тупо запускать левый код от имени пользователя, умеющего подменять сертификаты (и, скорее всего, как минимум, перезапускать веб-сервер), не особо вглядываясь, что он там делает
И кто мешает господам админам вынести небезопасный "левый" код получения сертификатов на отдельную машину? А уже с нее СВОИМ подконтрольным кодом со всеми возможными и невозможными проверками копировать сертификаты по рабочим серверам и (при необходимости) перезапускать веб-сервер.
| | |
| |
| 4.25, Аноним (-), 10:33, 14/03/2018 [^] [^^] [^^^] [ответить]
| +/– |
Примерно то-же что мешает не использовать leftpad, идеальное решение длаже если и будет проиграет в конкурентной борьбе, конкуренция она про компромиссы.
| | |
| 4.26, Аноним (-), 11:19, 14/03/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Лень или темнота, или ещё что - всё то же, что заставляет делать curl | bash
| | |
| 4.32, google (??), 13:02, 14/03/2018 [^] [^^] [^^^] [ответить]
| +/– |
> И кто мешает господам админам вынести небезопасный "левый" код получения сертификатов на
> отдельную машину? А уже с нее СВОИМ подконтрольным кодом со всеми
например, отсутствие этой отдельной машины? Или она вам бесплатно достается, вместе с электричеством? (а если уж быть параноиком, то нужна именно физически отдельная, пусть и дохлая - ибо спектр)
> возможными и невозможными проверками копировать сертификаты по рабочим серверам и (при
> необходимости) перезапускать веб-сервер.
это все прекрасно работает в случае большой конторы с лишними "отдельными машинами" и имеющими массу лишнего времени (и неленивыми) админами, "но есть ньюанс": у такой конторы есть еще и лишние деньги, поэтому ей это все просто не нужно - у нее и на "зеленый" EV найдется, который не надо раз в три дня менять, а раз в три года вручную проверяют, и на собственный intermediate, если надо сразу много "синих", может найтись.
а смысл летсдекрипта - нагнуть _массу_. Чтоб наши троянцы стояли в каждой мелкой лавочке и на каждом облачном хостинг-сайте за три доллара в месяц. Это вот интересно, а не по одной ягодке клевать.
| | |
| |
| 5.44, Аноним (-), 21:08, 14/03/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> например, отсутствие этой отдельной машины? Или она вам бесплатно достается,
Ну не за бесплатно, а допустим за 10 баксов на какой-нибудь orange pi. У тебя нет 10 баксов? Это ж пиварь не пожрать 1 раз.
| | |
| 5.50, AS (??), 12:52, 15/03/2018 [^] [^^] [^^^] [ответить]
| +/– |
контора не могущая предоставить/приобрети фактически не имеющий стоимости старый системник под роутер/или Это/еще что то - да кто там работает ? таким безопасность и не актуальна как правило - и я дворником лучше бы пошёл робить , чем к ним ..
| | |
|
| 4.49, Аноним (-), 10:35, 15/03/2018 [^] [^^] [^^^] [ответить]
| +/– | |
Хорошая идея. А как ты собрался (автоматически) передавать ключи между ними? И вообще, по какому протоколу и каким образом будет вестись связь между сервером и внешней получалкой сертификатов?
Дай угадаю… По SSL!?
| | |
|
|
|
| |
| 2.20, Аноним (-), 09:49, 14/03/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Репы как, за полсуток обновиться должны?
Кроме того -- вам не хватает acme.sh?
| | |
|
| 1.28, лютый жабист__ (?), 11:50, 14/03/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Самое смешное, что и раньше можно было выпрашивать у LE сертификат сразу на несколько доменов. Даже если софт не умеет SNI прекрасно всё работало.
Хотя я эту фичу заметил только неделю назад.
Так что необходимость в wildcard сильно преувеличена. Но всё равно спасибо.
| | |
| |
| 2.29, noname.htm (ok), 12:10, 14/03/2018 [^] [^^] [^^^] [ответить]
| +/– |
 Там лимит - сто дополнительных доменов. У меня их, например, несколько сотен. Делать серт на каждую группу в 101 домен? Охрененно удобно.
Не важно, что задача специфичная, востребованность от этого никуда не девается.
| | |
| |
| 3.43, Аноним (-), 21:07, 14/03/2018 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Там лимит - сто дополнительных доменов. У меня их, например, несколько сотен.
Сеошник не палится типа :)
| | |
|
| 2.48, Аноним (-), 10:29, 15/03/2018 [^] [^^] [^^^] [ответить]
| +/– | |
Список доменов занимает место в сертификате. Сертификат отправляется каждый раз при установке соединения (в ходе рукопожатия). Больше доменов — больше пакетов уйдёт на handshake, больше задержка прежде чем по соединению можно будет слать что-то полезное.
Некоторые клиенты (например Хром) пытаются кешировать сертификаты, но пакет с сертификатом всё равно будет отправлен и потребует ACK-пакет от клиента.
В общем, всё та же борьба с RTT.
| | |
|
| 1.33, Аноним (-), 14:24, 14/03/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Надеюсь они позволят когда-нибудь генерить сертификаты для машин, к которым нет доступа извне?
| | |
| |
| |
| 3.45, Аноним (-), 23:29, 14/03/2018 [^] [^^] [^^^] [ответить]
| +/– |
Это как? Машину не видно, домена вида "васян.петян" как бы нету. Как оно валидировать собралось?
| | |
| |
| 4.46, Аноним (-), 01:10, 15/03/2018 [^] [^^] [^^^] [ответить]
| +/– |
Почему домена нет? На что ты сертификат брать собрался? На айпишник? Стандарт вроде не запрещает, но я такого не видел.
Ничего не мешает получить серт на васян.орг, который лукапится на приватный диапазон, недоступный снаружи (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12). Мой ISP давно так делает со своим кабинетом. Теперь уже с Let's Encrypt, ранее с каким-то CA. Просто по днс подтверждается владение доменом, доступность сервера тут не обязательна.
| | |
| |
| 5.52, Аноним (-), 13:32, 15/03/2018 [^] [^^] [^^^] [ответить]
| +/– |
Т.е. мне для приватного использоавния всё равно придётся купить публичный домен васян.орг? Нафиг-нафиг.
| | |
| |
| 6.54, Аноним (-), 11:35, 16/03/2018 [^] [^^] [^^^] [ответить]
| +/– |
Для приватного использования ты сам себе CA, нафига тебе кто-то ещё?
| | |
|
|
|
|
|
| 1.38, Аноним (38), 19:44, 14/03/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 А потом будет "Мы вам выдали сертификат. НО потом отзовем его и новый не дадим потому-что вас внесли в санкционный список. Так что курите бамбук"
| | |
| |
| |
| 3.56, Dmitry77 (ok), 18:40, 17/03/2018 [^] [^^] [^^^] [ответить]
| +/– |
 ну да, MITM атаку организвать может.
ну что можно сказать.. не пользуйтесь браузерам
| | |
|
|
| 1.55, Dmitry77 (ok), 18:30, 17/03/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>цели проекта Let's Encrypt - 100% охват сайтов протоколом HTTPS
Если я не ошибаюсь, https не позоляет кшировать на прокси серверах.
То есть скоро интернет будет медленным
| | |
|
