The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"StartCom запустил сервис по автоматической выдаче SSL-сертиф..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +/
Сообщение от opennews (??), 15-Июн-16, 09:17 
Удостоверяющий центр StartCom (торговая марка StartSSL) запустил (https://www.startssl.com/NewsDetails?date=20160606) похожий на Lets'Encrypt (https://www.opennet.ru/opennews/art.shtml?num=44231) сервис StartEncrypt (https://www.startssl.com/StartEncrypt), осуществляющий  автоматическую выдачу и установку SSL-сертификатов. Сертификаты выдаются бесплатно и требуют пройти уровень проверки, соответствующий их типу (в простейшем случае достаточно подтвердить владение доменом). Как и Lets'Encrypt cервис StartEncrypt поддерживает популярные веб-серверы на базе Linux и Windows (tomcat, nginx, apache httpd).

Из отличий от Lets'Encrypt можно отметить:

-  Не только автоматическое получение сертификата, но и автоматическая установка. Обратной стороной предложенной автоматизации является отсутствие контроля за сервисом со стороны администратора. В систему устанавливается проприетарное ПО, добавляемое в автозапуск и выполняемое как фоновый процесс, следящий за обновлением сертификата. Сервис поставляется только в  форме уже собранного исполняемого файла, код не прилагается, т.е. предлагается запустить с правами root и оставить для постоянной работы  "черный ящик", отправляющий сетевые запросы, которые проблематично проверить;

-  Не только шифрование, но и идентификация, чтобы отображать зеленую полосу (EV, Extended validation) и имя организации (OV, Organization Validation) в адресной строке;

-  Период обновления EV- и OV-сертификатов - до 39 месяцев. DV-сертификаты (Domain validation, верификация по домену) выдаются на один год (в Lets'Encrypt сертификат выдаётся на 3 месяца).
-  Cертификаты EV и OV могут содержать маски и охватывать до 120 доменов. DV-сертификаты охватывают 5 доменов (в Lets'Encrypt сертификат выдаётся для одного домена);

-  Сертификаты OV SSL и EV SSL выдаются бесплатно, но учётная запись в StartSSL должна пройти проверку с использованием средств идентификации 3 или 4 класса (для сертификата DV SSL, как и в в Lets'Encrypt, достаточно подтвердить владение доменом без необходимости регистрации в сервисе).

URL: https://www.startssl.com/NewsDetails?date=20160606
Новость: http://www.opennet.ru/opennews/art.shtml?num=44603

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +14 +/
Сообщение от Аноним (-), 15-Июн-16, 09:17 
Вся прелесть Lets'Encrypt не в сроке и числе доменов, а в открытости, контроле в руках администратора и независимости от отдельных компаний.
Ответить | Правка | Наверх | Cообщить модератору

2. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +8 +/
Сообщение от Какаянахренразница (ok), 15-Июн-16, 09:25 
Закопошились...
Ответить | Правка | Наверх | Cообщить модератору

40. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +1 +/
Сообщение от rshadow (ok), 15-Июн-16, 21:35 
https://mixpix.in/more/konec_zolotoy_epohi_1465986454
Ответить | Правка | Наверх | Cообщить модератору

3. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +/
Сообщение от Аноним (-), 15-Июн-16, 09:59 
Самое главное не написали - протокол ACME или нет? (Хотя по ссылке похоже, что нет)
Ответить | Правка | Наверх | Cообщить модератору

23. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +/
Сообщение от . (?), 15-Июн-16, 13:01 
ну явно ж нет - иначе ж кто помешает тебе его хакнуть и избавиться от сомнительного щастья держать неуправляемый демон?
Правда, думаетсо мне, демона хакнуть в любом случае окажется несложно.
Ответить | Правка | Наверх | Cообщить модератору

28. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +/
Сообщение от . (?), 15-Июн-16, 14:35 
% gdb StartEncrypt/bin/StartEncrypt
[skip]
Reading symbols from /home/alx/StartEncrypt/bin/StartEncrypt...done.
(gdb) list
1       /home/admin/work/log/src/log.cpp: No such file or directory.
        in /home/admin/work/log/src/log.cpp

мда. То есть оно даже нестрипленное.

Ответить | Правка | Наверх | Cообщить модератору

29. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +2 +/
Сообщение от тоже Анонимemail (ok), 15-Июн-16, 14:47 
"- Совсем худо, - заключил хозяин, - что-то, воля ваша, недоброе таится в мужчинах..."
... у которых даже под Линуксом пользователя зовут Администратором!
Ответить | Правка | Наверх | Cообщить модератору

4. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +3 +/
Сообщение от Аноним (-), 15-Июн-16, 10:00 
И, кстати, у меня в Let's Encrypt один сертификат на шесть доменов, так что про один домен ЛПП
Ответить | Правка | Наверх | Cообщить модератору

42. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +/
Сообщение от Аноним (-), 15-Июн-16, 22:26 
Расскажи, как, а то я не могу понять.
Ответить | Правка | Наверх | Cообщить модератору

5. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +1 +/
Сообщение от xl32 (ok), 15-Июн-16, 10:15 
Да, у Let's Encrypt SAN до 100 доменов в сертификате. С удовольствием пользуюсь.

> Names/Certificate is the limit on how many domain names you can include in a single certificate. This is currently limited to 100 names, or websites, per certificate issued.

Ответить | Правка | Наверх | Cообщить модератору

7. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +/
Сообщение от КЭП (?), 15-Июн-16, 10:21 
Wildcard нету.
Ответить | Правка | Наверх | Cообщить модератору

9. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +2 +/
Сообщение от xl32 (ok), 15-Июн-16, 10:24 
> Wildcard нету.

Так и здесь тоже только для OV/EV. То есть после платной валидации организации.

Ответить | Правка | Наверх | Cообщить модератору

6. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +14 +/
Сообщение от Аноним (-), 15-Июн-16, 10:16 
> Сервис поставляется только в форме уже собранного исполняемого файла, код не прилагается, т.е. предлагается запустить с правами root и оставить для постоянной работы "черный ящик", отправляющий сетевые запросы

Дальше можно не читать.

Ответить | Правка | Наверх | Cообщить модератору

10. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +12 +/
Сообщение от Аноним (-), 15-Июн-16, 10:31 
> В систему устанавливается проприетарное ПО, добавляемое в автозапуск и выполняемое как фоновый процесс, следящий за обновлением сертификата. Сервис поставляется только в форме уже собранного исполняемого файла, код не прилагается, т.е. предлагается запустить с правами root и оставить для постоянной работы "черный ящик", отправляющий сетевые запросы, которые проблематично проверить;

И зачем такие сложности то?
Нужно было просто просить рутовый пароль на сервер и со своей стороны скриптами закачивать/обновлять сертификаты и релоадить сервисы.
Прям как дети малые.

Ответить | Правка | Наверх | Cообщить модератору

11. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +4 +/
Сообщение от Александрemail (??), 15-Июн-16, 10:40 
клевая штука, ты им доступ полный, а они тебе сертификат. вот же евреи хитрые.
Ответить | Правка | Наверх | Cообщить модератору

12. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +5 +/
Сообщение от Орк (?), 15-Июн-16, 11:03 
А что, нормальный бэкдор для лоха, который никогда не вымрет.
Ответить | Правка | Наверх | Cообщить модератору

14. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +3 +/
Сообщение от Ананимас (ok), 15-Июн-16, 11:22 
запустить в jail/аналог
получить/обновить серт
остановить jail/аналог
выгода
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

19. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +1 +/
Сообщение от grsec (ok), 15-Июн-16, 12:14 
выгода+извращение
Ответить | Правка | Наверх | Cообщить модератору

13. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +/
Сообщение от анон (?), 15-Июн-16, 11:14 
Маркетинг, такой маркетинг. API у них уже много лет как есть.
Ответить | Правка | Наверх | Cообщить модератору

16. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  –3 +/
Сообщение от Аноним (-), 15-Июн-16, 11:40 
Уже то, что LetsEncrypt тянет на сервер компиллятор и dev пакеты - это ДЫРИЩА, а это ... у меня слов нет .
Ответить | Правка | Наверх | Cообщить модератору

17. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +8 +/
Сообщение от Аноним (-), 15-Июн-16, 11:51 
руки из задницы, а леценкрипт виноват, очевидно же
Ответить | Правка | Наверх | Cообщить модератору

44. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +/
Сообщение от MPEG LA (ok), 15-Июн-16, 23:10 
на wheezy например требует установки backports. вопрос - нафейхоа вообще все эти извращения со скриптами и бинарниками?
Ответить | Правка | Наверх | Cообщить модератору

51. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +/
Сообщение от имя (?), 16-Июн-16, 10:52 
этот вопрос задай тому, что тебе wheezy на сервер зачем-то поставил.
Ответить | Правка | Наверх | Cообщить модератору

54. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +/
Сообщение от MPEG LA (ok), 16-Июн-16, 15:10 
> этот вопрос задай тому, что тебе wheezy на сервер зачем-то поставил.

а что из дебианоподобных надо было ставить на сервер в 2013-м? и чем вам не нравится wheezy?

Ответить | Правка | Наверх | Cообщить модератору

20. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +1 +/
Сообщение от grsec (ok), 15-Июн-16, 12:16 
> Уже то, что LetsEncrypt тянет на сервер компиллятор и dev пакеты -
> это ДЫРИЩА, а это ... у меня слов нет .

Можно неловкий вопрос? В каком месте ты увидел дырищу?

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

32. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  –3 +/
Сообщение от Кармер (?), 15-Июн-16, 15:51 
Есть компиллятор,- есть возможность собрать и запустить эксплоит для повышения привелегий, например ..
Ответить | Правка | Наверх | Cообщить модератору

33. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +3 +/
Сообщение от ram_scan (?), 15-Июн-16, 16:05 
1) Если у тебя есть шелл кто запрещает стянуть вместе с сорцами эксплоита компилятор ?
2) Если у тебя есть шелл, кто запрещает собрать сорец кросскомпилятором под нужный таргет в другом месте и стянуть на шелл готовый эксплоит ?

Тут может последовать возражение что все разделы доступные на запись смонтированы как noexec. Так тогда и готовый эксплоит запустить будет неможливо. А если можливо то и все остальное запустится.

Ответить | Правка | Наверх | Cообщить модератору

36. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  –1 +/
Сообщение от grsec (ok), 15-Июн-16, 19:17 
Компилять зловредов на атакуемой системе это из теории что-ли? Но если этот момент так волнует, можно запретить запуск компилятора.
Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

38. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +/
Сообщение от Аноним (-), 15-Июн-16, 20:32 
А зачем его компилять? Если есть доступ в шелл, то можно уже собранный запустить.
Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

43. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +1 +/
Сообщение от Аноним (-), 15-Июн-16, 22:30 
> Есть компиллятор,- есть возможность собрать и запустить эксплоит для повышения привелегий,
> например ..

Cool story bro. А ещё эксплоит можно сделать на bash+nc/perl/python/ruby/tcl/чем угодно без компилятора.

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

31. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +/
Сообщение от Наркоман (?), 15-Июн-16, 15:12 
Только конкретный жирный клиент на питоне.
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

49. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +/
Сообщение от Аноним (-), 16-Июн-16, 06:15 
Не нравится стандартный клиент certbot, пользуйся другими или напиши свой, протокол то открыт. Мне например lego нравится, прав рута не требует, можно скомпилить и закидывать бинарник куда надо.
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

50. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +/
Сообщение от Гентушник (ok), 16-Июн-16, 08:39 
Протокол открыт, дефолтным клиентом никто не заставляет пользоваться.
Я например использую acme.sh , он очень простой и написан на баше, допилил под свои нужды.
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

18. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +1 +/
Сообщение от Аноним (-), 15-Июн-16, 12:05 
Надеюсь это начало конкуренции. Сначала бесплатные сертификаты, потом, условия использования, потом и цены могут упасть.
Ответить | Правка | Наверх | Cообщить модератору

30. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +/
Сообщение от Аноним (-), 15-Июн-16, 15:03 
> Надеюсь это начало конкуренции. Сначала бесплатные сертификаты, потом, условия использования,
> потом и цены могут упасть.

Не будет тут конкуренции, центров выдающих не так много, и цены достуные, если не говорить о субдоменнха и прочих плюшках. Кому эти плюшки нужны имеют деьги

Ответить | Правка | Наверх | Cообщить модератору

21. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +/
Сообщение от th3m3 (ok), 15-Июн-16, 12:38 
Что делает эта голимая поприетарщина на опеннете?
Ответить | Правка | Наверх | Cообщить модератору

24. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +6 +/
Сообщение от тоже Анонимemail (ok), 15-Июн-16, 13:09 
Предупреждает об опасности вляпаться. Имхо, все логично.
Ответить | Правка | Наверх | Cообщить модератору

25. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +/
Сообщение от Аноним (-), 15-Июн-16, 14:04 
А сертификаты SHA-1 ?
Ответить | Правка | Наверх | Cообщить модератору

27. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +/
Сообщение от Аноним (-), 15-Июн-16, 14:28 
Жажда бесплатного мешает купить обычный сертификат и не ставить ничего сомнительного
Ответить | Правка | Наверх | Cообщить модератору

34. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +/
Сообщение от Аноним (-), 15-Июн-16, 17:44 
Соболезную
Ответить | Правка | Наверх | Cообщить модератору

35. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +/
Сообщение от Аноним (-), 15-Июн-16, 18:30 
Покаж, где купить сертификат автоматически?
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

39. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +/
Сообщение от Сиромант (?), 15-Июн-16, 21:27 
>Жажда бесплатного мешает купить обычный сертификат

В новости сказано «автоматически», а не «бесплатно».

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

56. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +/
Сообщение от . (?), 17-Июн-16, 13:32 
в новости при этом не сказано, но _покупать_ (и не сертификат а факт валидации посерьезней DV) еще и придется вручную. (_каждый_ раз, валидация не вечна)
На этом фоне автоматическая установка посетителям данного ресурса явно уже низачем не нужна.

Ну так оно, надо полагать, и не для них вовсе. А для тех, кому собрать все бумажки и заслать по факсу с правильными подписями - задача понятная и решаемая, а вот генерить какие-то ключи, где-то что-то "электронно подписывать" - нет.
И им таким, кстати, пофиг, что оно бинарное и без исходника - в общем-то у произвольно взятого директора рогоу&копытс куда больше поводов доверять startssl чем найденному на помойке индусскому (или русскому) админу.

Ответить | Правка | Наверх | Cообщить модератору

37. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +6 +/
Сообщение от dr Equivalent (ok), 15-Июн-16, 19:56 
О, здравствуй, альтернатива.

> В систему устанавливается проприетарное ПО

До свидания, альтенрнатива.

Ответить | Правка | Наверх | Cообщить модератору

41. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +2 +/
Сообщение от Омский линуксоидemail (ok), 15-Июн-16, 22:25 
Омские линуксоиды избегают непонятных проприетарных поделок... Хорошая попытка, но нет. Извините.
Ответить | Правка | Наверх | Cообщить модератору

45. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +/
Сообщение от xm (ok), 16-Июн-16, 00:28 
> Сертификаты OV SSL и EV SSL выдаются бесплатно, но учётная запись в StartSSL должна пройти проверку с использованием средств идентификации 3 или 4 класса

Ага. 69 или 199 USD. Сертификат в подарок. :-)

Ответить | Правка | Наверх | Cообщить модератору

46. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +/
Сообщение от Онаним (?), 16-Июн-16, 00:34 
> В систему устанавливается проприетарное ПО, добавляемое в автозапуск и выполняемое как фоновый процесс, следящий за обновлением сертификата. Сервис поставляется только в форме уже собранного исполняемого файла, код не прилагается, т.е. предлагается запустить с правами root

Нахрен такое счастье...

Если нет альтернативного варианта с настройкой своего сервера вручную то такой сервис не нужен в принципе.

> в Lets'Encrypt сертификат выдаётся на 3 месяца

Тоже жесть.

Ответить | Правка | Наверх | Cообщить модератору

48. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +2 +/
Сообщение от Аноним (-), 16-Июн-16, 06:11 
Почему жесть? Ставишь по крону проверку на необходимость автопродления раз в неделю или раз в день и забываешь про сертификат вообще.
Ответить | Правка | Наверх | Cообщить модератору

47. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +/
Сообщение от dlazerka (ok), 16-Июн-16, 03:09 
LetsEncrypt проверяет владение не доменом, а сервером, который отвечает по этому домену. Т.к. он проверяет файлик по урлу /.well-known/acme-challenge. Домен он бы проверял если бы проверял TXT запись в DNS.
Ответить | Правка | Наверх | Cообщить модератору

55. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +/
Сообщение от . (?), 16-Июн-16, 23:55 
> LetsEncrypt проверяет владение не доменом, а сервером, который отвечает по этому домену.

что в общем эквивалентно - если у тебя угнали сервер, у тебя гораздо более серьезные проблемы, чем то что кто-то может изготовить свой сертификат для него.
И сертификат выдается - серверу, а не домену (опустим для простоты, что почтовому, к примеру, тоже нужен сертификат, причем неплохо бы - с другим ключом даже при том же самом домене).

> Домен он бы проверял если бы проверял TXT запись в DNS.

разумеется, нет - он бы при этом проверял владение (контроль над) _сервером_. Сервером dns, ага. А его (контроля) у владельца домена, кстати, вполне может не быть вовсе (dns у хостера, заполняется автоматическим шаблоном, управление юзером не предусмотрено вовсе - у меня, кстати, так)

В этом плане подход startssl, проверяющего таки именно владение доменом (анализом whois и проверкой живым человеком, если не получилось или что-то показалось подозрительным), мне нравился гораздо больше. К сожалению, конкуренция в подобных вещах не всегда благо - сейчас явно под влиянием летсэнкрипта они сделали альтернативную валидацию через сайт.

Ответить | Правка | Наверх | Cообщить модератору

57. "StartCom запустил сервис по автоматической выдаче SSL-сертиф..."  +/
Сообщение от Antonhefemail (?), 08-Май-20, 10:09 
Обходились как-то раньше без всяких сертификатов, сейчас приходится бегать по всяким Хострадарам закинув язык за плечи, искать хостинг с дешёвым или бесплатным c-c-л.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру