The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

26.06.2018 12:02  Организация EFF представила инициативу STARTTLS Everywhere

Некоммерческая правозащитная организация Electronic Frontier Foundation (EFF) выступила с новой инициативой STARTTLS Everywhere, нацеленной на повсеместное использование шифрования трафика почтовых серверов. В рамках инициативы предложен сервис, который позволяет проверить произвольный почтовый сервер на предмет поддержки команды STARTTLS, использования надёжных алгоритмов шифрования и применения заслуживающих доверия сертификатов. В случае выявления проблем выдаются рекомендации по их устранению и корректной настройке.

STARTTLS Everywhere дополняет уже много лет существующий проект HTTPS Everywhere, в рамках которого развиваются дополнения к Firefox и Chrome, позволяющего на всех сайтах, где это возможно, использовать шифрование трафика. В настоящее время благодаря появлению таких сервисов, как Let's Encrypt, удалось устранить преграды при получении сертификатов и для Web использование шифрованного доступа становится нормой. При помощи STARTTLS Everywhere энтузиасты намерены стимулировать повсеместный переход на корректное шифрование коммуникаций и для трафика почтовых серверов.

Несмотря на то, что доля почтовых серверов с поддержкой STARTTLS достаточно велика (по данным Google 89% сеансов устанавливаются с шифрованием), остаётся нерешённой существенная проблема - большинство почтовых серверов, поддерживающих STARTTLS, не выполняет проверку сертификатов при установке сеанса. Более того, около половины всех почтовых серверов с поддержкой STARTTLS используют самоподписанные сертификаты, не заверенные удостоверяющим центром.

Образовался замкнутый круг - с одной стороны администраторы почтовых серверов не спешат использовать полноценные сертификаты для STARTTLS, так как их никто не проверяет, а с другой стороны проверку сертификатов невозможно включить, так как на половине серверов используются самодельные сертификаты. Отсутствие верификации сертификатов делает шифрование номинальным и лишь создаёт иллюзию повышения защиты, так как при наличии контроля над любым транзитным узлом в сети остаётся возможность проведения MITM-атаки с подменой сертификата, в рамках которой можно перехватить и модифицировать трафик.

В случае выявления проблем при проверке сертификатов STARTTLS Everywhere предлагает администраторам почтовых серверов готовый скрипт (плагин к certbot для MTA, пока только для Postfix), запустив который на сервере можно бесплатно получить сертификат Let’s Encrypt для используемых доменов и сгенерировать готовый блок конфигурации. При проверке учитываются такие факторы как отсутствие возможности использования ненадёжных протоколов SSLv2/v3, соответствие имени почтового сервера и хоста в email с указанным в сертификате именем домена, истечение времени жизни сертификата и связь сертификата цепочкой доверия с корректным корневым сертификатом, присутствующим в списке корневых сертификатов Mozilla (можно найти в Debian-пакете ca-certificates).

Кроме того, с целью выявления атак по модификации запросов с откатом на установку сеансов без шифрования, в рамках проекта STARTTLS Everywhere также началось ведение списка почтовых серверов, к которым допустимо обращение с использованием шифрования с корректным сертификатом. Если в процессе взаимодействия с почтовым сервером, который упомянут в списке, зафиксирован отказ установить сеанс STARTTLS или использован сомнительный сертификат, то можно сделать вывод о попытке компрометации сервера.

  1. Главная ссылка к новости (https://www.eff.org/deeplinks/...)
  2. OpenNews: В дополнении HTTPS Everywhere появился режим автоматического обновления правил
  3. OpenNews: Опубликован первый черновик стандарта Strict Transport Security для SMTP
  4. OpenNews: Обновления nginx 1.6.1 и 1.7.4 с исправлением уязвимости в реализации STARTTLS
  5. OpenNews: Релиз FTP-сервера Pure-FTPd 1.0.30 с устранением уязвимости в STARTTLS
  6. OpenNews: Обновление Postfix с исправлением уязвимости в реализации команды STARTTLS
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: starttls, eff
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (1), 12:21, 26/06/2018 [ответить] [показать ветку] [···]    [к модератору]
  • –14 +/
    EFF нет доверия, после того как они обосрaлись с уязвимостью в https everywhere и долго её не исправляли (и хз исправили ли в итоге или нет).
    security, my ass.
     
     
  • 2.2, Аноним (-), 12:32, 26/06/2018 [^] [ответить]    [к модератору]
  • +3 +/
    > уязвимостью в https everywhere

    соус? Сабж не пользую, предпочитая настраивать редиректы вручную, но все равно интересно

     
  • 2.4, Аноним (4), 12:35, 26/06/2018 [^] [ответить]    [к модератору]
  • +3 +/
    А к линуксу доверие не потерял ещё? Неужели подобного не было?
     
  • 2.8, Аноним (8), 13:02, 26/06/2018 [^] [ответить]    [к модератору]
  • +2 +/
    А что за уязвимость?
     
     
  • 3.92, Аноним (92), 07:12, 27/06/2018 [^] [ответить]    [к модератору]
  • +/
    Почему я не вижу информации об этом в гугле? Он в доле?
     
  • 2.14, Аноним (-), 13:58, 26/06/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    О этот несовершенный мир Никому нельзя доверять Может ночью ты встаешь во сне... весь текст скрыт [показать]
     
  • 1.3, Аноним (-), 12:33, 26/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    а смысл? Товарищ майор и так имеет доступ к популярным почтовым сервисам. А при шифровании и подписывании пгп можно хоть голубями почту отправлять
     
     
  • 2.5, Ivan_83 (ok), 12:49, 26/06/2018 [^] [ответить]     [к модератору]  
  • +5 +/
    Смысл в том, чтобы имея контроль за центрами сертификации можно было выключать л... весь текст скрыт [показать]
     
     
  • 3.7, Аноним (-), 12:56, 26/06/2018 [^] [ответить]     [к модератору]  
  • +/
    Ты прав Но это не отменяет того факта, что последняя миля должна быть защищена ... весь текст скрыт [показать]
     
     
  • 4.9, Аноним (9), 13:12, 26/06/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    верно. должна быть свобода выбора (например в домашней локалке и на локалхосте не вижу смысла в шифромании вообще)
     
     
  • 5.88, Аноним (-), 04:39, 27/06/2018 [^] [ответить]    [к модератору]  
  • +/
    > например в домашней локалке и на локалхосте не вижу смысла в шифромании вообще

    Новость про зараженные роутеры не видели? Китайские устройства или смартфоны тоже на алике не заказываете?

     
     
  • 6.99, Аноним (9), 11:53, 27/06/2018 [^] [ответить]    [к модератору]  
  • +/
    значит ,если везде будет шифрование, то зараженные у-ва перестанут существовать. ну ок.
     
     
  • 7.101, Аноним (-), 12:53, 27/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Звучит как эти устройства не смогут ничего украсть из локалки.
     
  • 4.10, Ivan_83 (ok), 13:27, 26/06/2018 [^] [ответить]     [к модератору]  
  • +5 +/
    Эта возможность была и 20 лет назад и 40 Теперь все ходят за сертификатами, а п... весь текст скрыт [показать]
     
     
  • 5.12, 123 (??), 13:41, 26/06/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    > а поскольку всё ИТ сосредотачивается у амеров

    Не смешите 金盾工程.

     
     
  • 6.21, Ivan_83 (ok), 14:31, 26/06/2018 [^] [ответить]    [к модератору]  
  • +/
    А что, в ЕС есть свои социалочки или поисковики?
    По странному стечению обстоятельств что то своё есть там, где был коммунизм: россия, кетай, въетнам. (просто наблюдение, не пропаганда)
     
     
  • 7.40, Аноним (40), 16:06, 26/06/2018 [^] [ответить]    [к модератору]  
  • +/
    >социалочки

    зачем это нужно?

    >поисковики

    есть startpage, если глобально. А так - у чехов Seznam какой то. Было бы желание - а импортозамещение найдется

     
     
  • 8.49, Аноним (49), 16:33, 26/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Гoвно твой startpage. Есть duckduckgo.
     
     
  • 9.89, Аноним (-), 04:43, 27/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Оба они гoвно. Лучше федеративного searx ничего нет.
     
  • 8.59, Ivan_83 (ok), 17:40, 26/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Я не знаю кто за ними стоит.
    Грош им всем цена если у них манагемент от амеров.
     
     
  • 9.93, Аноним (93), 08:01, 27/06/2018 [^] [ответить]    [к модератору]  
  • +/
    чо за неадекватный антиамериканизм? штаны постирал?
     
  • 7.58, Аноним (58), 17:38, 26/06/2018 [^] [ответить]     [к модератору]  
  • +/
    searx, startpage бывший ixquick , fireball и MetaGer ровесники гугла , Fragfin... весь текст скрыт [показать]
     
     
  • 8.64, Аноним (-), 18:23, 26/06/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    И все они ничего не найдут... зато "свободные".
     
     
  • 9.84, Аноним (-), 00:04, 27/06/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    https searx me q site 3Aopennet ru 20 22 D0 98 20 D0 B2 D1 81 D0 B5 20 D0 BE ... весь текст скрыт [показать]
     
  • 7.69, Gannet (ok), 19:57, 26/06/2018 [^] [ответить]    [к модератору]  
  • +/
    "что-то своё"? "По странному стечению обстоятельств"? Сразу бы сказал, что это был сарказм.
     
  • 7.91, Вася (??), 07:06, 27/06/2018 [^] [ответить]     [к модератору]  
  • +/
    Ну Китай сейчас лидер по цифровому контролю за населением Чего стОят их разрабо... весь текст скрыт [показать]
     
     
  • 8.94, Аноним (93), 08:03, 27/06/2018 [^] [ответить]    [к модератору]  
  • +/
    китайское коммунистическое рабство и нам хотят привить посредством импортозамещения
     
  • 5.15, Аноним (-), 14:03, 26/06/2018 [^] [ответить]    [к модератору]  
  • +/
    > В инете не должно было централизации и гигантов.

    И как этому противостоять?

     
     
  • 6.22, Ivan_83 (ok), 14:32, 26/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Не пользоваться и других агитировать.
     
     
  • 7.28, Steve (??), 14:44, 26/06/2018 [^] [ответить]     [к модератору]  
  • +4 +/
    Давно бросил затею агитировать родственников Люди даже не понимают чем плоха бл... весь текст скрыт [показать]
     
     
  • 8.56, Ivan_83 (ok), 17:36, 26/06/2018 [^] [ответить]     [к модератору]  
  • +/
    Телеграм зло Это централизованный сервис, даже если поверить в то, что крипта т... весь текст скрыт [показать]
     
     
  • 9.62, Аноним (-), 18:20, 26/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Симка в метро или один из 100500 сервисов виртуальных номеров.
     
     
  • 10.70, Аноним (-), 20:23, 26/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Там проблема в архитектуре.
    Весь трафик идет через сервера.
    В теории шифрованный нужно б было p2p
     
  • 10.80, Ivan_83 (ok), 21:48, 26/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Не нужны такие сложности, уж лучше джаббер и токс.
     
     
  • 11.87, progserega (ok), 02:50, 27/06/2018 [^] [ответить]    [к модератору]  
  • +/
    или matrix.org :-)
     
     
  • 12.107, Аноним (-), 13:18, 27/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Фигня это. Тогда уж Tor/Ring лучше.
     
  • 6.41, Аноним (40), 16:08, 26/06/2018 [^] [ответить]    [к модератору]  
  • +/
    п2п/ф2ф/федерации - вот это вот все. Совсем от централизации не спасут - по опыту биткоина видно, например. Но от монополии - да
     
     
  • 7.55, Ivan_83 (ok), 17:34, 26/06/2018 [^] [ответить]     [к модератору]  
  • +/
    п2п и федерации они плохо централизуются п2п вообще никак, а федерация только е... весь текст скрыт [показать]
     
  • 5.25, Аноним (-), 14:39, 26/06/2018 [^] [ответить]    [к модератору]  
  • +/
    И ты конечно за Российский кваймен руками и ногами? :)
     
  • 5.51, Аноним (51), 17:18, 26/06/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Гуглы активно продвигают свою систему мониторинга за сертификатами Насколько я ... весь текст скрыт [показать]
     
     
  • 6.57, Ivan_83 (ok), 17:38, 26/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну а гугл кому принадлежит и где сидит?
    Так нет разницы между произволом УЦ и произволом силовиков.
     
  • 6.76, пох (?), 21:12, 26/06/2018 [^] [ответить]     [к модератору]  
  • +/
    слежка, это слово переводится так И еще - как систему шантажа и уничтожения кон... весь текст скрыт [показать]
     
  • 4.85, Аноним (85), 00:44, 27/06/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    А имея контроль над запросами США в Интерпол, тоже можно выключать любой неугодн... весь текст скрыт [показать]
     
  • 3.115, Адекват (ok), 10:10, 28/06/2018 [^] [ответить]     [к модератору]  
  • +/
    они сделают тоньше - с самого детства тебе будут прививать правильное мышление ... весь текст скрыт [показать]
     
  • 2.16, Аноним (16), 14:04, 26/06/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    >Товарищ майор и так имеет доступ к популярным почтовым сервисам.

    А товарищ админ промежуточного узла? Или товарищ китайский хакер? Товарищ майор — не единственная угроза в сети.

     
  • 2.30, Аноним (30), 15:16, 26/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Иметь почтовый ящик на территории неподконтрольной тов. майору?
     
  • 2.38, Аноним (38), 15:50, 26/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Шифруй. Подписывай. КТО МЕШАЕТ?
     
     
  • 3.43, Аноним (40), 16:09, 26/06/2018 [^] [ответить]    [к модератору]  
  • +/
    > Шифруй. Подписывай. КТО МЕШАЕТ?

    речь не про МЕШАЕТ, а про отсутствие необходимости принуждать к названному в статье

     
     ....нить скрыта, показать (41)

  • 1.6, dimcha (??), 12:50, 26/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    не взлетит.
     
     
  • 2.13, anono (?), 13:52, 26/06/2018 [^] [ответить]     [к модератору]  
  • +/
    я попробовал свой домен проверить не шмогло оно пытается подключаться с кучей ... весь текст скрыт [показать]
     
  • 2.27, Аноним (-), 14:41, 26/06/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Взлетит, димка, взлетит.
     
  • 1.11, Аноним (11), 13:36, 26/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    >Более того, около половины всех почтовых серверов с поддержкой STARTTLS используют самоподписанные сертификаты, не заверенные удостоверяющим центром.

    И правильно делают

     
  • 1.17, Аноним (17), 14:18, 26/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А у STARTTLS есть SNI или что-то вроде этого? Если сервер отвечает за множество доменов, то проверка сертификатов не ломается?
     
     
  • 2.33, Sw00p aka Jerom (?), 15:29, 26/06/2018 [^] [ответить]     [к модератору]  
  • +/
    по идее нет если прописать все домены, в постфиксе обычно так smtp_tls_policy_ma... весь текст скрыт [показать]
     
  • 2.65, Аноним (65), 18:47, 26/06/2018 [^] [ответить]     [к модератору]  
  • +/
    In order for your certificate to be valid for your email domain, it should be un... весь текст скрыт [показать]
     
  • 1.18, Аноним (18), 14:18, 26/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –4 +/
    Извините что не по теме, но это просто хохот!!!

    Firefox Setup 60.0.2 проверенный в VirusTotal выдал это: "Trojan/Win32.SGeneric".

     
     
  • 2.36, Аноним (36), 15:48, 26/06/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Видимо ты виндyзятник и скачал файрфокс на ваpезнике. :)
     
     
  • 3.110, Аноним (110), 14:39, 27/06/2018 [^] [ответить]     [к модератору]  
  • +/
    Я и линуксойд и временный виндyзятник, но Вы не правы, я скачал с официального с... весь текст скрыт [показать]
     
  • 2.39, НяшМяш (ok), 16:02, 26/06/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    Всё правильно написал. Win32 - это Generic Trojan.
     
  • 2.68, тоже Аноним (ok), 19:22, 26/06/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Не позорьте почтенный сервис и столь же почтенную программу Просто назовите дв... весь текст скрыт [показать]
     
     
  • 3.111, Аноним (110), 14:47, 27/06/2018 [^] [ответить]     [к модератору]  
  • +/
    Какой антивирус нашёл зловред я не помню и я качал с оффициального сайта Я же н... весь текст скрыт [показать]
     
  • 1.19, yet another anonymous (?), 14:22, 26/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    Угрозы упомянутые Ivan_83 вполне реальные, а ценность шифрования почтового траффика "от сервера до сервера" выглядит довольно сомнительной.
     
     
  • 2.32, sasasa (?), 15:28, 26/06/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    А вы чужую почту хотите читать по работе или просто интересно ... весь текст скрыт [показать]
     
     
  • 3.66, yet another anonymous (?), 18:51, 26/06/2018 [^] [ответить]    [к модератору]  
  • +/
    То, что предлагается в топике, к собственно защите содержимого имеет слабое отношение.

    Если есть необходимость, содержимое можно (и нужно) шифровать/верифицировать
    без предложенного.

     
  • 2.48, Аноним (-), 16:31, 26/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Тов. майор, залогиньтесь!
     
  • 2.95, Аноним (93), 08:09, 27/06/2018 [^] [ответить]    [к модератору]  
  • +/
    у вас "свобода - это рабство"
     
     
  • 3.100, yet another anonymous (?), 12:45, 27/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Нет. Это у Вас.
     
     
  • 4.106, Кремень (?), 13:17, 27/06/2018 [^] [ответить]    [к модератору]  
  • +/
    А у вас хохлов не так? Чего добились то? А добились цензуры похлеще Рocкомпoзора.

    https://roskomsvoboda.org/39875/

     
     
  • 5.116, Аноним (116), 19:31, 28/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Уже ввели белые списки?
     
  • 1.20, Аноним (-), 14:24, 26/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Норм тема, давно пора!
     
  • 1.23, Александр (??), 14:36, 26/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +17 +/
    Пользоваться чем то кроме ProtonMail в наши дни - былинный идиотизм. В яндексе, жмыле и мейлсру нет GPG шифрования - зато есть майор. Как минимум 2 из них (яндекс и мейлсру) сотрудничают с ФCБ и автоматически блокируют аккаунты по ключевым словам. Помню когда собирались с ребятами на митинг пpотив кoррyпции в Москве, и обсуждали это дело по яндекс почте - аккаунты заблокировали в этот же день по подозрению на якобы "необычную сетевую активность", у кого-то писали что-то про взлом (хотя заходы всегда были с одного девайса). Понятно что это бред и у всех одновременно никто не мог ничего взломать - была блокировка по ключевым словам. После этого потребовали ввести номер телефона для идентификации линости и разблокировки аккаунта. Естественно никто этого делать не стал, ящики так и остались забанеными. С тех пор общаемся через ProtonMail и не **** себе мозги идиотской шпионской почтой.
     
     
  • 2.29, sasasa (?), 14:56, 26/06/2018 [^] [ответить]    [к модератору]  
  • –8 +/
    > Пользоваться чем то кроме ProtonMail в наши дни - былинный идиотизм.

    Примерно как доверять чужому пообещавшему их хранить дяде свои секреты или ещё хуже?

     
     
  • 3.74, Аноним (-), 20:37, 26/06/2018 [^] [ответить]    [к модератору]  
  • +/
    >> Пользоваться чем то кроме ProtonMail в наши дни - былинный идиотизм.
    > Примерно как доверять чужому пообещавшему их хранить дяде свои секреты или ещё
    > хуже?

    А кто не чужой?

     
  • 2.34, Аноним (30), 15:30, 26/06/2018 [^] [ответить]    [к модератору]  
  • –7 +/
    "Ограничения
    Поддержка POP3/IMAP/SMTP отсутствует."
    Увы, это сводит ценность этого почтового сервера на нет.
     
     
  • 3.35, xxx_stalker (?), 15:47, 26/06/2018 [^] [ответить]    [к модератору]  
  • +8 +/
    Бред же, все есть - для платных пользователей.

    https://protonmail.com/bridge/

    алсо читай иногда прежде чем вбрасывать.

    https://protonmail.com/support/knowledge-base/paid-plans/

    > IMAP Support via ProtonMail Bridge

     
  • 2.37, abi (?), 15:50, 26/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Как проверяете, что ProtonMail не отдал вам js с дыркой?
     
     
  • 3.75, Аноним (-), 20:39, 26/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Как найти альтернативу?
     
  • 2.47, Аноним (47), 16:28, 26/06/2018 [^] [ответить]     [к модератору]  
  • –16 +/
    Cool story, bro Такая драма, прямо одновременно рыдаю и пылаю праведным гневом ... весь текст скрыт [показать]
     
     
  • 3.86, Тож аноним (?), 01:44, 27/06/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    Кстати, у меня тоже был длительный бокс по переписке с яндексом по поводу блокир... весь текст скрыт [показать]
     
  • 2.53, 1 (??), 17:33, 26/06/2018 [^] [ответить]    [к модератору]  
  • –18 +/
    Алексей, идите воруйте лес. Это у Вас получается лучше !
     
  • 2.83, 2 (?), 23:37, 26/06/2018 [^] [ответить]     [к модератору]  
  • –6 +/
    Яндекс и Мэйлру ясен пень сотрудничают с ФСБ, как и Гугл с Яху сотрудничают с АН... весь текст скрыт [показать]
     
  • 2.90, Аноним (-), 06:29, 27/06/2018 [^] [ответить]     [к модератору]  
  • –6 +/
    Хорошая рекомендация, молодец In April 2017, we received a request from the Swi... весь текст скрыт [показать]
     
  • 2.96, asdfasdf (??), 08:52, 27/06/2018 [^] [ответить]    [к модератору]  
  • –6 +/
    Ой, можно подумать, что в яндексе нельзя использовать нормальный дистрибутивный gpg через почтовый клиент. И да, за это почему-то не всех банят.
     
  • 2.108, страпер (?), 14:08, 27/06/2018 [^] [ответить]    [к модератору]  
  • –4 +/
    Теперь напейши в протоне, ка ты будешь убивать рокфеллера и сношать Трампа на крыльце белого дома.
    О результатах не сообщай, мы их и так узнаем.

     
     
  • 3.112, mr. horosho (?), 15:53, 27/06/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    И не такое писал. Полет нормальный. :)
     
  • 1.52, Влад (??), 17:33, 26/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Это ваше Let's encrypt позволит мне получить сертификат, с помощью которого я смогу подписывать сертификаты для моих нужд в моем домене?
     
     
  • 2.54, 1 (??), 17:34, 26/06/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    > Это ваше Let's encrypt позволит мне получить сертификат, с помощью которого я
    > смогу подписывать сертификаты для моих нужд в моем домене?

    Да, до первого зелёного свистка вверх

     
     
  • 3.60, Влад (??), 17:43, 26/06/2018 [^] [ответить]    [к модератору]  
  • +/
    не понял...
     
     
  • 4.98, 1 (??), 10:35, 27/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Сертификат выдаётся на 3 месяца.
    Когда наберётся критическая масса леммингов, он ВНЕЗАПНО, станет платным.

    Со всеми вытекающими.

     
  • 2.61, Аноним (-), 18:18, 26/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Вассал моего вассала... ну ты понел)
     
  • 2.67, yet another anonymous (?), 18:58, 26/06/2018 [^] [ответить]     [к модератору]  
  • +/
    Если я правильно понимаю эту структуру, то нет то есть да, но это стоит очень ... весь текст скрыт [показать]
     
  • 2.78, Аноним (9), 21:34, 26/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Нет. Там пометка стоит, что серт нельзя использовать как СА.
     
     
  • 3.79, Влад (??), 21:44, 26/06/2018 [^] [ответить]     [к модератору]  
  • +/
    Прелестно Вебсервер, smtl, imap, openvpn сервер и все openvpn клиенты - на них ... весь текст скрыт [показать]
     
     
  • 4.109, страпер (?), 14:10, 27/06/2018 [^] [ответить]     [к модератору]  
  • +/
    Ниасилил автоматизацию и мониторинг ... весь текст скрыт [показать]
     
  • 2.102, Аноним (-), 13:05, 27/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Не позволит.
     
  • 1.77, Аноним (9), 21:32, 26/06/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    Когда всем серверам навяжут сертификаты и шифрование, то возьмутся за клиентов ... весь текст скрыт [показать]
     
     
  • 2.103, Аноним (-), 13:07, 27/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Выдыхай, параноик...
     
  • 1.81, Аноним (81), 21:58, 26/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Этим очевидно с продаж сертификатов капает потому как только ненормальный может поверить в надежность публичных сервисов шифрования.
     
     
  • 2.104, Аноним (-), 13:08, 27/06/2018 [^] [ответить]    [к модератору]  
  • +/
    А ты в какой сервис веруешь?
     
     
  • 3.113, Аноним (81), 19:27, 27/06/2018 [^] [ответить]    [к модератору]  
  • +/
    В тот который пишется исключительно своими ручками...
     
  • 1.82, Аноним (82), 23:21, 26/06/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Соответствие имени почтового сервера и хоста в email с указанным в сертификате ... весь текст скрыт [показать]
     
  • 1.97, Аноним (97), 09:41, 27/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Техническую реализацию инициативы, похоже, доверили даже не студентам, а выпускникам младших классов. Их чекалка не шмогла в разбор MX корректно настроенного домена.
     
     
  • 2.105, Kobalt (?), 13:11, 27/06/2018 [^] [ответить]    [к модератору]  
  • +/
    Современные школьники знают только доту, а студенты пьют ягу и играют в пугбе в общаге...
     
  • 1.114, Адекват (ok), 10:00, 28/06/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Какая же это все-таки бредятина.
    В том же thunderbird можно добавить свой само-подписанный сертификат один раз и он не будет более парить вам мозги по поводу своей самоподписанности, и если случится MITM, то мой почтовый клиент спросит меня - хочу ли я использовать этот сертификат.
    Далее, если сертификат я сделал сам у себя - все закрытые ключи будут ТОЛЬКО У МЕНЯ, а не "еще у добрых дядек".
    Технически можно выпустить валидный сертификат хоть для microsoft и использовать его для MITM (чтобы из своего Усть-перезассанска прикидываться серверами майкрософт), все зависит от подкупаемости и совестливости конкретного сотрудника УЦ.
    ЗЫ: Использование самоподписанных сертификатов - безопаснее, чем чем пользование сертификатами от УЦ.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor