|
| 1.2, Аноним (-), 10:03, 10/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +37 +/– |
Теперь все самые умные начнут орать, что бесплатнатные CA - зло, забыв указать, что платные - существенно большее зло, хотя бы потому, что платные будут о проблеме молчать до последнего (годами!), чтобы только продолжать з/п и бонусы получать, а LE взялись за решение, не дожидаясь массовой эксплуатации вопроса.
| | |
| |
| 2.4, Аноним (-), 10:08, 10/01/2018 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> платные будут о проблеме молчать до последнего (годами!), чтобы только продолжать з/п и бонусы получать
Любопытная гипотеза. Впрочем, насчет пруфов можешь не беспокоиться -- я уже слепо поверил тебе на слово и теперь ненавижу "платные СА" всей душой и сердцем.
| | |
| |
| 3.6, X4asd (ok), 10:18, 10/01/2018 [^] [^^] [^^^] [ответить]
| +14 +/– |
 > и теперь ненавижу "платные СА" всей душой и сердцем
а что -- есть те кто их любят?
| | |
| |
| 4.28, А (??), 12:26, 10/01/2018 [^] [^^] [^^^] [ответить]
| +6 +/– |
Судя по ценам на сертификаты от Симантека ("пока не всплыли жуткие подробности") - да.
| | |
| |
| |
| 6.61, Аноним (-), 21:10, 10/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
Больше миллиарда зелени за контору целиком до и чуть меньше после.
| | |
|
|
|
| 3.48, Аноним (-), 16:44, 10/01/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
Можешь больше не просить у него пруфы, т.к. прими мои слова за доказательство: если у меня будет платный сервис, то он до последнего будет молчать годами в надежде что все забудется и пронесет. И если ради этого придется кому-то "задонатить" не в убыток себе, то будь уверен - будет сделано все лишь бы получать доход, з/п и бонусы. Пойми что платный сервис должен приносить только доход!
Все.
PS: Ты можешь думать что я один в мире такой, с такой "уникальный" позицией и успокоиться на этом посчитав что угроз нет. - Что ж, твое право (или тупость).
| | |
| |
| |
| 5.63, Аноним (-), 21:32, 10/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
Куда деваться если борбьа за выживание обязывает? Можешь меня ненавидеть, но нас миллионы. Миллиарды.
| | |
|
| 4.70, Алког (?), 06:05, 13/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Можешь больше не просить у него пруфы, т.к. прими мои слова за
> доказательство: если у меня будет платный сервис, то он до последнего
> будет молчать годами в надежде что все забудется и пронесет.
Угу. Обворовываемые лохи однако причитать будут... Впрочем конечно кого эти лохи волнуют >:-)
| | |
|
|
| 2.5, Антонима (?), 10:16, 10/01/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
пока лодку раскачиваете только вы, вот уже и предсказали вопли "самых умных" касаемо инцидента, как такое может в голову прийти малообразованному человеку, неясно.
| | |
| |
| |
| 4.18, anomymous (?), 11:57, 10/01/2018 [^] [^^] [^^^] [ответить]
| –18 +/– |
Как бы тебе объяснить: я не доверяю системам, выдающим сертификаты без подтверждения того, что владелец состоит из мяса, кожи, костей и прочих органических субстанций. Хотя бы капчей.
| | |
| |
| 5.22, A.Stahl (ok), 12:21, 10/01/2018 [^] [^^] [^^^] [ответить]
| +15 +/– |
 Я не спец во всяких этих сертификатах-секьюриратах, но всегда считал что сертификаты это не про "мясо, кожу и кости", а про соответствие домена и пришедших данных.
| | |
| |
| 6.64, jfjfjfj (?), 21:52, 10/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
То есть выдал судебное постановление регистратору - и можешь подменять сертификат пайратбея?
| | |
| |
| 7.71, Алког (?), 06:28, 13/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> То есть выдал судебное постановление регистратору - и можешь подменять сертификат пайратбея?
И тут внезапно всплывают такие вещи, как легитимность так называемых "судов", коррумпированность и вообще их подмена...
| | |
|
|
| 5.29, А (??), 12:28, 10/01/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Как бы тебе объяснить: я не доверяю системам, выдающим сертификаты без подтверждения
> того, что владелец состоит из мяса, кожи, костей и прочих органических
> субстанций. Хотя бы капчей.
Т.е. подтверждения владения доменом тебе мало? ))
А капчу распознать через сеть живых роботов, если на нейросеть мозгов нет, так трудно, что это прямо подтверждает, что распознавший к домену имеет отношение?
| | |
| |
| 6.35, КО (?), 13:31, 10/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
А разве речь идет о владении доменом? Вроде бы достаточно слегка им поуправлять, ну или создать видимость для выдающего сертификат.
| | |
| 6.38, . (?), 13:59, 10/01/2018 [^] [^^] [^^^] [ответить]
| –5 +/– | |
> Т.е. подтверждения владения доменом тебе мало? ))
владение и возможность нагадить на этом домене - разные вещи.
Ваш любимый (ибо вы нищeброды и экономите три копейки) халявный помоешник проверяет именно последнее. И, ну надо же, никогда не было, и вот, опять - споткнулся о то, что нагадить, оказывается, можно даже не имея к домену никакого отношения вовсе.
А первое - юридическая категория.
| | |
|
| 5.56, Аноним (-), 18:35, 10/01/2018 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> подтверждения того, что владелец состоит из мяса, кожи, костей и прочих органических субстанций
Защита от регистрации домена ботом — забота регистратора домена и к сертификатам отношения не имеет. Также как наличие/отсутствие "органических субстанций" во владельце никак не связано с его добропорядочностью (во взломщиках, вирусописателях и т.п. этих субстанций не меньше, чем в любом другом человеке).
| | |
|
| 4.20, anomymous (?), 12:05, 10/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну и да, сотни любителей скриптов с этим отключением TLS-SNI challenge уже влетели :)
| | |
| |
| 5.57, Аноним (-), 19:23, 10/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
Отлично, минус сотни ботов для ботнетов. Глядишь научатся следить за серверами хоть иногда.
| | |
| 5.58, angra (ok), 19:45, 10/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
 И как же именно они влетели? Или ты не в курсе, что сертификат можно обновлять не за пять минут до истечения его срока, а за пару недель или даже больше? Так что никаких проблем у подавляющего большинства любителей скриптов за время разбора инцидента не возникнет.
| | |
|
|
| 3.12, Andrey Mitrofanov (?), 11:10, 10/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Зло - бесплатные CA с интервалом обновления 3 месяца.
У нас есть гордый победитель и первонкс номинации "все самые умные начнут орать". Ура, оскар отдыхает.
| | |
| 3.31, А (??), 12:29, 10/01/2018 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Зло - бесплатные CA с интервалом обновления 3 месяца.
Зло - ленивые админы. Раз в год они бегают по серверам и меняют серты руками, т.к. скриптом не осилили, а раз в 3 месяца им влом.
| | |
| |
| 4.39, . (?), 14:02, 10/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
>> Зло - бесплатные CA с интервалом обновления 3 месяца.
> Зло - ленивые админы. Раз в год они бегают по серверам и
> меняют серты руками, т.к. скриптом не осилили, а раз в 3
мы осилили. И совершенно сознательно не доверяем критическую часть своей безопасности твоим замечательным скриптам (в которых ты "осилил" скачать незнамочто незнамооткуда и неглядя запустить - параметры скопировал со stackoverflow - великий осилятор)
> месяца им влом.
а раз в три месяца (с контролем результата и принятием мер если что-то показалось подозрительным) - физически невозможно, если это не локалхост.
| | |
| |
| 5.43, gaga (ok), 14:51, 10/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Ну хз что ты там не можешь скриптом обновить. У ЛЕ есть опция - только скачать сертификаты, не устанавливая их в веб-сервер автоматически. Так вот, у нас скрипт так и делает: генерирует новый серт, делает стандартный sanity-check (даты, CN, алгоритмы и т.д.), устанавливает его на тестовый сервер, после чего проверяет, что к нему можно без проблем подключиться клиентом, и только после этого копирует его в продакшн-сервер и шедулит рестарт на следующий день, уведомляя всех заинтересованных письмом. Имхо это значительно надежней, чем руками что-то там куда-то копировать.
| | |
| |
| 6.51, _ (??), 17:29, 10/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
Ну положим твоим коллегам повезло. И таких аж 0.0003% :-)
Остальные берут копипасту со стэковерфлоу, и "не приходя в сознание" ставят это в рутовый крон 8-/
| | |
| |
| 7.52, пох (?), 17:52, 10/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Ну положим твоим коллегам повезло.
да не очень. Радости читать такие письма щастья, когда раз в месяц надо обновлять/перезагружать каждый из n...нет, мало, m серверов - ровно никакой, никто их и не читает. Хорошо если вовремя прочитывают "уп-с, а оно тут не обновилось, ну ничего, у тебя еще два месяца на разобраться и поправить". А то, в большой структуре, бывает что и до этого за два месяца руки не доходят (потому что других, срочных алармов - сотни), опа, серт превратился в тыкву.
затобеслатна! и не от проклятых китайцев, а от правильных гуглоиндусов.
а большинство "осиливших скрипты" и того не могут (и зачем вообще самому что-то ставить в крон, оно apt-get install и через час уже забыло... а от какого пользователя - вообще хз, в крон смотреть некогда, надо дальше ляпать)
| | |
| |
| 8.54, непох (?), 18:16, 10/01/2018 [^] [^^] [^^^] [ответить] | +1 +/– | я конечно подозревал, что понятия жава , ынтрепрайз и индусы неслабо корелл... текст свёрнут, показать | | |
|
|
|
| 5.67, Гентушник (ok), 08:27, 11/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Ирония в том что как раз сегодня у хостинг провайдера "Хостинг-Центр" на всех доменах *.hc.ru протух сертификат выданный thawte на год, а на *.hc.ru как раз висят панели управления cpanel, может быть что-то ещё.
Они видимо тоже меняют сертификаты руками :)
| | |
|
|
|
| 2.33, Аноним (-), 12:50, 10/01/2018 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Бесплатные CA, платные CA... "оба хуже" (ц)
Даёшь cert-pinning в каждый браузер! DKIM себе живёт припеваючи без всяких CA.
| | |
| |
| 3.65, XoRe (ok), 22:29, 10/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
 > Бесплатные CA, платные CA... "оба хуже" (ц)
> Даёшь cert-pinning в каждый браузер! DKIM себе живёт припеваючи без всяких CA.
Просто пока нельзя автоматом заработать много денежков за одно поддельное письмецо.
| | |
|
| 2.59, Аноним (-), 19:50, 10/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> чтобы только продолжать з/п <оверквотинг удален> получать
Вот же ж сволочи!
| | |
|
| 1.7, Аноним (-), 10:20, 10/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Хост в SNI передаётся в открытом виде без шифрования. Я правильно понимаю, что способ атаки в подмене данных SNI в результате MiTM?
| | |
| |
| 2.36, Аноним (-), 13:34, 10/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
Вряд ли. ACME уязвим к MITM by design, это с самого начала было понятно и никого не смущало. К тому же на стороне сервера от MITM не могло остаться никаких следов, а тут утверждают, что следы действий исследователя (чем-то, очевидно, отличающиеся от обычного получения сертификата) осели в логах.
| | |
|
| 1.14, Аноним (-), 11:19, 10/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –18 +/– |
Теперь ждем, когда поддержку Let's Encrypt удалят из браузеров. Давно пора.
Бесплатные сертификаты, выдаваемые кому попало по умолчанию не могут быть безопасными.
| | |
| |
| 2.15, Аноним (-), 11:32, 10/01/2018 [^] [^^] [^^^] [ответить]
| +13 +/– |
А платные сертификаты, выдаваемые кому попало по умолчанию сильно ли лучше?
| | |
| |
| 3.19, Аноним (-), 12:04, 10/01/2018 [^] [^^] [^^^] [ответить]
| +4 +/– |
Конечно нет, так-что ждём когда браузеры перестанут поддерживать любые сертификаты кроме самоподписанных.
| | |
| |
| 4.41, Аноним (-), 14:11, 10/01/2018 [^] [^^] [^^^] [ответить]
| +/– | |
Ждём когда браузеры перестанут поддерживать любые сертификаты, кроме государственных.
| | |
| |
| |
| 6.50, Аноним (-), 17:26, 10/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Это троллинг или глупый анон в упор не видит угрозу?
глупый анон забыл придумать способ проверки самоподписанного серта в мире огороженного преступниками интернета
| | |
|
|
|
|
| 2.16, Andrey Mitrofanov (?), 11:38, 10/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Теперь ждем, когда поддержку Let's Encrypt удалят из браузеров. Давно пора.
> Бесплатные сертификаты, выдаваемые кому попало по умолчанию не могут быть безопасными.
Да, не-е-е... Только лишь следующие три месяца, товарищ прапорщик. Курите!
| | |
| 2.21, . (?), 12:19, 10/01/2018 [^] [^^] [^^^] [ответить]
| –1 +/– | |
ну вы ж понимаете, что поддержку startssl удалили не за то что они (якобы, теоретически, и только на такие домены, которым все равно доверять нельзя) кому-то там могли выдать неправильный сертификат.
А LE - это кого надо нога.
> Бесплатные сертификаты, выдаваемые кому попало по умолчанию не могут быть безопасными.
могут, но задача LE была не сделать безопасным, а ровно наоборот - сделать подконтрольным кому надо.
| | |
| |
| 3.32, А (??), 12:30, 10/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
Ну да, только Startssl так на все правила клали, что их, конечно, нужно было простить и понять - бунтари, рокнрольщики, конечно!
| | |
|
|
| |
| 2.37, Аноним (-), 13:42, 10/01/2018 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Our tentative plan, once the list is completed, is to re-enable the TLS-SNI-01 challenge type with vulnerable providers blocked from using it.
Они и правда такие наивные? Это ж, небось, большинство шаредов, которых миллионы.
| | |
| |
| 3.44, Аноним (-), 15:29, 10/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
Шареды на Plesk'е (которых вроде как раз большинство по миру) не подвержены этому - там другой метод проверки используется
| | |
| 3.53, angra (ok), 18:12, 10/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Я как то не наблюдал на шаредах возможности загрузить свой сертификат.
| | |
|
|
|
