The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Проект Let's Encrypt опубликовал планы на 2019 год

03.01.2019 11:48

Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, подвёл итоги прошедшего года и рассказал о планах на 2019 год. В 2018 году доля запросов страниц по HTTPS увеличилось с 67% до 77%. Проектом Let's Encrypt выдано 87 млн сертификатов, охватывающих около 150 млн доменов (год назад было охвачено 61 млн доменов и прогнозировался рост до 120 млн к концу 2018 года). В 2019 году сервис планирует преодолеть планку в 120 млн активных сертификатов и 215 млн сайтов.

В 2019 году планируется внедрить многопозиционную систему проверки, при которой подтверждение полномочий на получение сертификата для домена производится с использованием нескольких проверок, выполняемых из территориально разнесённых подсетей, привязанных к разным автономным системам. Данная система позволит минимизировать риски получения сертификатов на чужие домены путём проведения целевых атак, перенаправляющих трафик через подстановку фиктивных марштрутов при помощи BGP. При использовании многопозиционной системы проверки атакующему потребуется одновременно добиться перенаправления маршрутов для нескольких автономных систем провайдеров с разными аплинками, что значительно сложнее, чем перенаправление единичного маршрута.

Из других планов отмечается формирование общедоступного журнала Certificate Transparency (CT), в котором будут отражены все выданные сертификаты. Публичный лог даст возможность проводить независимый аудит всех изменений и действий удостоверяющего центра. Для защиты от искажения данных задним числом при хранении в логе Certificate Transparency применяется древовидная структура "дерево Меркла" (Merkle Tree), в которой каждая ветка верифицирует все нижележащие ветки и узлы, благодаря совместному (древовидному) хешированию. Имея конечный хэш, пользователь может удостовериться в корректности всей истории операций, а также в корректности прошлых состояний БД (корневой проверочный хэш нового состояния базы вычисляется с учётом прошлого состояния).

В наступившем году также планируется ввести в эксплуатацию корневой и промежуточный сертификаты, созданные с использованием алгоритма ECDSA, более эффективного, чем ныне используемый RSA. В планах также упоминается подготовка для nginx модуля для автоматизации получения и обслуживания сертификатов с использованием протокола ACME (Automatic Certificate Management Environment). В прошлом году подобный модуль уже был включён в состав Apache httpd.

Текущая серверная инфраструктура Let's Encrypt обрабатывает примерно 5.5 миллиарда запросов в день. В 2019 году прогнозируется рост нагрузки на 40%. Оборудование размещено в двух датацентрах. Серверы, хранилища, HSM, коммутаторы и межсетевые экраны занимают 55 юнитов в стойках. Поддержанием инфраструктуры занимается команда из шести инженеров, трудоустроенных на постоянной основе. В 2019 году запланировано внедрение более быстрых систем хранения для серверов с СУБД.

Запланированный на 2019 год бюджет составит 3.6 млн долларов, что на 600 тысяч долларов больше, чем бюджет 2018 года. Средства собираются в основном за счёт финансовой помощи от крупных спонсоров, таких как Cisco, OVH, Mozilla, Google Chrome, Electronic Frontier Foundation и Internet Society.

  1. Главная ссылка к новости (https://letsencrypt.org/2018/1...)
  2. OpenNews: Доверие к Let's Encrypt обеспечено во всех списках корневых сертификатов
  3. OpenNews: Проект Let's Encrypt ввёл в строй протокол ACMEv2 и поддержку масок
  4. OpenNews: Let's Encrypt опубликовал описание атаки и план по устранению проблемы
  5. OpenNews: Инцидент с уязвимостью в сервисе Let's Encrypt
  6. OpenNews: Проект Let's Encrypt опубликовал планы на 2018 год
Лицензия: CC-BY
Тип: Обобщение
Ключевые слова: letsencrypt, tls, cert, acme
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (123) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, A.Stahl (ok), 12:17, 03/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –22 +/
    Зашёл, увидел что никто ещё не отписался и попробовал написать какую-то злую шутку.
    Но, блин, проект настолько со всех сторон хорош, что ничего саркатического не придумалось.
    Вот этим он и плох. Плох тем, что в него даже плюнуть нет повода.
    Фух, нашёл таки изъян. Аж полегчало.
     
     
  • 2.2, Аноним (2), 12:24, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Заходит как то в бар по https бесконечное число математиков, а бармен им и говрит: Let's Encrypt!
    Умом не блещу, простити.
     
     
  • 3.4, Аноним (4), 12:31, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это на факториал намек?
     
     
  • 4.60, Sw00p aka Jerom (?), 22:41, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    скорее на теорему Вильсона ;)

    (n - корень из(n)) факториал, не сравним с 0 по модулю n

     
  • 3.68, Аноним (68), 23:59, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Заявка на и получение сертификата - тебя Д Е А Н О Н И М И З И Р У Е Т
     
  • 2.5, Аноним (5), 12:41, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я тебе помогу, смотри:

    "Глобальная централизованная цензура, подконтролем небольшой уютненькой конторки) Зато с иллюзией безопасности)."

     
     
  • 3.14, Аноним (14), 13:08, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    ой. 100500 удостоверяющих центров. И даже бесплатные сертификаты много кто выдает
     
     
  • 4.27, Аноним (27), 14:55, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Зловреды имеют реальные сертификаты. Штыри имеют реальные сертификаты. Совместными усилиями этих как бы противоположностей система сертификации полностью дискредитирована. Вывод - баловство все это. ... Ну кому-то надо было крикнуть: "А король-то голый!"
     
     
  • 5.99, Аноним (99), 14:15, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Зловреды имеют реальные сертификаты.

    А не должны? Шифрование трафика не про безопасность сайта. Шифрование трафика про безопасность передачи данных между клиентом и сервером. Зеленый замок показывает, что данные по пути не доступны посторонним.
    Если ты собрался бороться со зловредами, то борись на уровне доменов и их регистрации. Если есть домен, то владелец должен иметь возможность получить сертификат для шифрования. Цензура на уровне выдачи сертификатов не нужна, и глупо агитировать за введение. Ударит она не только по зловредам уже (как 282). Что там сервер хостит, не CAбачье дело, их дело подтвердить контроль над доменом и выдать сертификат шифрования.
    > Штыри имеют реальные сертификаты.

    Кто?

     
     
  • 6.100, Иван Семеныч (?), 14:54, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Шифрование трафика про безопасность передачи данных между клиентом и сервером

    С этим и ssh справляется, без всяких удостоверяющих центров. А HTTPS ещё и подтверждает, что сервер -- тот за кого себя выдаёт.

     
     
  • 7.116, Аноним (116), 19:49, 05/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В ssh ты соединяешься со знакомым тебе сервером, возможно даже подконтрольным У... текст свёрнут, показать
     
     
  • 8.129, пох (?), 16:16, 11/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    алиса, это сервер, сервер - это алиса если тебя не интересует реальная безопасн... текст свёрнут, показать
     
  • 4.36, EHLO (?), 16:05, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Выдаёт кто угодно, а забанить глобально может одна шарага. Максимум полторы.
     
  • 3.48, rshadow (ok), 18:09, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Вот прилетят рептилоиды, а у вас тут всего лишь какой то сран*й https для защиты Земли.
     
  • 2.15, Аноним (-), 13:10, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Зашёл, увидел что никто ещё не отписался

    Сообщение от opennews (ok), 03-Янв-19, 12:17
    Сообщение от A.Stahl (ok), 03-Янв-19, 12:17

    Не все мониторят опеннет в режиме реального времени, лишь бы оставить свое «первый|-|ах».

    > и попробовал написать какую-то злую шутку. Но, блин, проект настолько со всех сторон хорош, что ничего саркатического не придумалось.

    И далеко не у всех начианает зудеть чуть пониже спины, если не удается отметится в новости.

     
     
  • 3.39, Аноним (39), 17:04, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Сообщение от opennews (ok), 03-Янв-19, 12:17
    > Сообщение от A.Stahl (ok), 03-Янв-19, 12:17

    Сама новость датирована 03.01.2019 11:48
    Время первого сообщения, это не время новости, а время начала обсуждения. Дата первого ответа и исходного сообщения всегда совпадают.

     
  • 2.28, OpenEcho (?), 15:02, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Сидят Цукерберг(Ц) с Брином(Б), пиво пьют:
    Ц- Ок, безмозглое стадо загнали в стойло, а че делать с параноиками ?
    Б- Надо делать то же самое что и с общим стадом, дать им на халяву что нибудь, то что они любят...
    Ц- Кажется они пекуться сильно о их приватных данных которые наxеp никому не уcрались...
    Б- Так давай им дадим шифрование, один хер с нашими мощностями если надо, то ломанем...
    Ц- Классная идея... Давай, я найду хомяков и оплачу им поддержку центра сертификации SSL
    Б- Ок, а я тогда возьму на себя где хранить certificate transparency, нам ведь нужна статистика, мета и граф, а параноикам видимость честности.
    Ц- Ок, то что надо, и волки сыты и овцы целы, на том и порешим, куда мотнемся теперь кайфануть...
     
     
  • 3.50, rshadow (ok), 18:11, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это сработало бы, но они сами относятся либо к первому, либо ко второму типу =) Круг замкнут.
     
  • 3.102, Аноним (102), 20:06, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Дело в том, что ssl в большинстве случае - это шапочка из фольги для скрытия ничего не значащих данных типа обсуждения погоды на сегодня. Ну и помогает это лишь от случайных "хакеров". Опасность социальных сетей в том, что люди добровольно сдают себя службам на 3 буквы, тщательно расписывая свои интересы, контакты, своё прошлое, настоящее и планы на будущее. Потому сами по себе центры SSL-сертификации совсем не опасны, а вот от поведения, характерного для соц. сетей, это ну никак не спасёт.
     
     
  • 4.114, OpenEcho (?), 16:17, 05/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Всем минусувальщикам и вам посвящается Вы очень глубоко заблуждаетесь Каждый... текст свёрнут, показать
     
     
  • 5.127, freehck (ok), 17:35, 09/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну-ну, вы думайте, какие советы даёте Выставлять это глобально -- очень плохая ... текст свёрнут, показать
     
     
  • 6.128, OpenEcho (?), 22:01, 10/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >Ну-ну, вы думайте, какие советы даёте. Выставлять это глобально -- очень плохая затея.

    Да согласен 100%, просто из полезной фичи сделали каку, покупать и ходить в банк онлайн все же реже, чем просто бродить в нете.
    Для банков и покупок вообще-то надо держать отдельный профиль, а для всего остального все же лучше ИМХО прикрыть дыру.
    Вот почему то ходить по дому в трусах, а на работу в костюме - это нормально, а вот держать раздельные учетки экаунтов или профилей - ну это просто страшно аж как тяжело для народа.

     
  • 2.124, Sirota (ok), 04:43, 07/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Кто-нибудь остановит эту свинью Шталя?
    Оно везде, как протечка канализации.
     

  • 1.6, Онаним (?), 12:46, 03/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –16 +/
    Выдачу сертификатов на год внедрить не планируется? Нет. Мимо.
     
     
  • 2.8, Аноним (-), 12:55, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Не осилил автопродление?
     
     
  • 3.16, Онаним (?), 13:12, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • –11 +/
    Не вижу смысла плясать вокруг автопродления и прибиваться гвоздями к сторонней системе, если ныне за $5-$8 можно купить сертификат на год (а на 2-3 выйдет ещё дешевле).
     
     
  • 4.18, Аноним (-), 13:17, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Ясно, не осилил.
     
     
  • 5.20, А (??), 13:27, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Автопродление на вайлдкард как, умник?
     
     
  • 6.21, Аноним (-), 13:30, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Провайдер DNS с API.
     
     
  • 7.23, Онаним (?), 13:56, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Потом это извращение с 6 инженерами сломают, и оно наавтовыдаёт вайлдкардов на чужие домены. Нахер.
     
     
  • 8.24, Онаним (?), 14:06, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Вообще это один из редких случаев, когда доверия к крупным корпорастам с их неме... текст свёрнут, показать
     
     
  • 9.38, имя (?), 16:59, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ага, как к примеру симантек которого все браузеры забанили, ибо админка была с д... текст свёрнут, показать
     
     
  • 10.49, . (?), 18:10, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • –7 +/
    главное - верь симантек плахой, плахой, а вот у шести инженегров транспаренсия ... текст свёрнут, показать
     
     
  • 11.67, .. (?), 23:58, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    И как оно это фиксирует А в других местах не спрашивают кто ты такой совсем Бе... текст свёрнут, показать
     
     
  • 12.92, . (?), 13:15, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а других я меньше склонен подозревать в том, что ответы они сольют гуглю - был, ... текст свёрнут, показать
     
  • 8.44, Аноним (-), 17:30, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Неплохо меняешь тему ... текст свёрнут, показать
     
  • 8.54, Аноним (54), 18:33, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    6 инженеров занимаются серверами, там бы и одного, максимум двух хватило ... текст свёрнут, показать
     
     
  • 9.56, _ (??), 18:42, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Нет сынок, не хватило бы Почитай в энторнетах про 24 7 и про 5-6-7 девяток, зач... текст свёрнут, показать
     
  • 6.53, Ключевский (?), 18:29, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    certbot, не поверишь. Certbot и API твоего провайдера DNS. Все прекрасно работает.
     
     
  • 7.58, хотел спросить (?), 22:06, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Unfortunately, namecheap’s API is not supported in DNS validation, which means you need to enter the DNS records manually. (And renew manually)

    Here are the steps. (From certbot.eff.org 197)
    certbot --manual --preferred-challenges dns (and it will output the txt records you need to add)
    (Remember, it’s two DNS records instead of one!)

     
     
  • 8.104, А (??), 21:12, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Нормальный днс не осилить арендовать или поднять Даже есть специальные днс-серв... текст свёрнут, показать
     
     
  • 9.109, хотел спросить (?), 02:27, 05/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А арендовать и поднять какой-нить VPS , может тогда проще сертификат купить И ... текст свёрнут, показать
     
  • 4.30, . (?), 15:09, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    э, хде, за 5-8? Или там опять какие-то перепродаваны, "вчера еше были по три, а сегодня только по 50" ?

     
     
  • 5.37, Онаним (?), 16:20, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    gogetssl.com
    Естественно, всё когда-то кончится, но пятый год уже по $5-$8 - и это не "распродажа", а стабильный ценник.
     
     
  • 6.41, имя (?), 17:08, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну да, лучше заплатить и довериться какому-то nonamessl, чем проекту где всё прозрачно и бесплатно.
     
     
  • 7.46, . (?), 18:03, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    да, вы ж так любите все бесплатное

    все прозрачно, ага - кроме того, с чего это их такой вдруг альтруизм-то обуял, и почему под зачистку попали ВСЕ достойные конкуренты, совпадение, ну конечно же, просто совпадение.

    Как и создание гуглезилой совершенно невыполнимых условий для появления новых CA.

     
     
  • 8.69, .. (?), 00:01, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Шапочка из фольги не жмёт ... текст свёрнут, показать
     
  • 7.70, Онаним (?), 00:04, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    gogetssl - реселлер, который за $5 ребрендит comodo (а "родной" такой же серт от комодо у них стоит порядка $8), всё равно куда менее ноунейм, чем летсенкрипт
     
     
  • 8.90, Э (?), 12:30, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В 5 вайлдкард тоже входит Я зашел на их сайт, там какие-то 45 за вайлдкард ... текст свёрнут, показать
     
     
  • 9.93, . (?), 13:18, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ну то есть тебя жаба жмет даже за пятерку на сайт, ты еще дешевле хочешь ибо ва... текст свёрнут, показать
     
  • 6.45, . (?), 18:00, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ну я это и подозревал - там проблема, что сертификаты они перепродают причем до... текст свёрнут, показать
     
     
  • 7.71, Онаним (?), 00:06, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Thawte - это "стрёмный CA". По сравнению с LE. Я вас понял.
    Ну и конечно же, LE нигде никаких данных не хранит, альтруисты. Коммерческие CA хотя бы явным образом денег за выпуск сертов получают, а вот насчёт источника доходов LE я бы посомневался.
     
     
  • 8.94, . (?), 13:22, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    так нет же ж уже никакого thawte, корпорация правильных вещей зобанила вместе с ... текст свёрнут, показать
     
  • 7.98, Аноним (99), 13:45, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Кому надо шифрование - современный js вполне способен его обеспечить - end2end, и совершенно независимо от нашлепок над tсp.

    Ого, какой петросян нашелся. А как ты изначальный js передашь неизменным без нашлепок над tcp? Через libastral?

     
  • 2.52, rshadow (ok), 18:12, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Перессылку почтовыми голубями поддерживают? Нет. Мимо.
     

  • 1.7, Аноним (7), 12:52, 03/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    интересно как скоро это дело начнет монетизироваться
     
     
  • 2.9, Аноним (5), 12:59, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В новом дивном коммунистическом мире успешность измеряться будет не в деньгах)
     
     
  • 3.79, Аноним (79), 05:45, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ... а в баллах!
     
  • 2.12, Аноним (12), 13:07, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Не волнуйтесь, наверняка уже. Продают бигдату о серверах и используемом на них софте, а может и поинтереснее вещи. Автоматизация смены сертификата требует рут, все как на ладони.
     
     
  • 3.26, Аноним (26), 14:46, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А чуть дальше "как все", не пробовали?
    Лови - https://github.com/diafygi/acme-tiny
     
     
  • 4.105, А (??), 21:13, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В чем отличие от acme.sh, не подскажете?
     
     
  • 5.115, OpenEcho (?), 16:28, 05/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > В чем отличие от acme.sh, не подскажете?

    Да в принципе - ни чем, за исключением того, что провести аудит кода легче с 200 строчками на питоне, вместо  6288 на shell-e

     
     
  • 6.122, Аноним (122), 19:38, 06/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Есть dehydrated с 1782 строчками на шелле, которые умеют больше (например, проверка доменов через DNS и создание закрытого ключа для новых/обновляемых сертификатов), чем те 200 на питоне.
     
     
  • 7.126, OpenEcho (?), 16:11, 09/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Есть dehydrated с 1782 строчками на шелле

    dehydrated написан на баше. На башизмах. Если уж нужна многофункциональность, то лучше уж acme.sh, который работает на чистом sh

     
  • 3.57, . (?), 19:23, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    вот не надо о них такую хрень думать.
    ocsp они продают - то есть на сайте может не быть гуглоаналитики, но твой заход на него, пусть и не с точностью до урла, уже посчитан и добавлен к твоей истории.
     
     
  • 4.91, Klk (?), 12:58, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Про OCSP Stapling на стороне сервера слышали, не?

    А у себя в браузере запросы OCSP сами выключайте, если на сервере настроен stapling - OK, если нет - нечего отчитываться куда ходили.

     
     
  • 5.95, . (?), 13:28, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    слышал, но в моем сервере ресолвера и прочей опасной хрени, извините, не будет п... текст свёрнут, показать
     
  • 3.117, Аноним (117), 19:54, 05/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Автоматизация смены сертификата требует рут, все как на ладони.

    Кто ж вам такую чушь сказал?

     

  • 1.10, Аноним (10), 12:59, 03/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Всего 6 инженеров для такой инфраструктуры -- это показатель.
     
     
  • 2.17, Аноним (17), 13:16, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Показатель нормы прибыли
     
     
  • 3.33, _ (??), 15:56, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да всё нормально, в малоизвестной лавочке Sun к примеру было правило что региональный офис мог иметь столько инженеров, сколько Лямов в год оне зарабатывают. Ещё тех баксофффф 🧐
     

  • 1.11, Аноним (14), 13:06, 03/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >В планах также упоминается подготовка для nginx модуля для автоматизации получения и обслуживания сертификатов с использованием протокола ACME

    Зачем добавлять глюки и тормоза nginx если webroot работает сразу и хорошо.

     
     
  • 2.13, Аноним (12), 13:08, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы получить бэкдор в нгинкс.
     
     
  • 3.40, имя (?), 17:05, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Какой бэкдор, опенсорц же? Скорее у вас бэкдор мозга.
     
     
  • 4.80, Аноним (80), 07:28, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >Какой бэкдор, опенсорц же?

    А ты, конечно же, перед каждым обновлением _лично_ вычитываешь весь код системы?

     
     
  • 5.82, .. (?), 09:00, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А давайте тогда всех подозревать в бэкдорах, и нгинкс, и линь и все остальные опен сорц проекты.

    Верить только тем только у кого закрытый исходный код, ведь они продают его за деньги, а значит частные и бэкдоров там нет.

     
     
  • 6.83, .. (?), 09:01, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    честные*
     
  • 6.103, Аноним (103), 20:31, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Заявлять об открытости софта, о возможности проверить его на вредоносный код.
    @
    Не читать его код, ведь надо просто верить в непогрешимость опенсорса.

    Это уже что-то из разряда сектантства получается.

     
  • 5.112, Atlz (?), 10:49, 05/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем весь? Достаточно вычитать изменения с прошлого обновления.
     
  • 5.113, Аноним (113), 13:14, 05/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зря анона заминусили. Безопасность опенсорса мнимая. Из тысячи скачавших сотня заглянет в сорцы ради интереса, только десяток будет читать код, из них двое-трое поймут, о чем там вообще идет речь. Если они будут достаточно сознательны, то запостят о найденном майнере, если нет - ваши проблемы. В конце концов это опенсорс, и вам тут никто ничего не обязан.
     
     
  • 6.123, Аноним (122), 19:57, 06/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > двое-трое поймут, о чем там вообще идет речь

    И хорошо, если из этих двоих-троих хотя бы один удосужится проверить соответствие бинарника(-ов) прочитанным исходникам.

    Да и отсутствие условного майнера в условном nginx-е не означает "чистоты" кода сторонних библиотек. Так что либо параноить с вычиткой кода *всех* компонентов системы и самостоятельной их сборкой, либо полагаться на всё ту же честность разработчиков и мейнтейнеров. Опенсорс даже от "secutiry through obscurity" не полностью защищает, о гарантиях безопасности и говорить нечего — их нет.

     

  • 1.19, Аноним (19), 13:19, 03/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    читаю комменты, сообщество обслуживающего системы персонала нынче не то.
     
  • 1.22, Бананим (?), 13:32, 03/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +41 +/
    Ставь лайк, если прочитал это на опеннете без https :)
     
     
  • 2.25, username (??), 14:17, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    D'oh!
     

  • 1.31, Аноним (-), 15:09, 03/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Ставь лайк, если иконка HTTPS Everywhere у тебя красного цвета.
     
     
  • 2.42, Аноним (42), 17:10, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В кино нет иконки HTTPS Everywhere красного цвета, ставьте мою мне и минус чуваку выше.
     
  • 2.43, Аноним (42), 17:11, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Попытка номер 2 :(

    У кого нет иконки HTTPS Everywhere красного цвета, ставьте плюс мне и минус чуваку выше.

     
     
  • 3.61, Аноним (61), 22:49, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Т9?
     
     
  • 4.62, Аноним (62), 23:19, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Т9?

    Жестчайшее :) Да и не привык ещё, постоянно забываю после написания проверять, что он мне там наугадывал.

     
  • 3.81, Аноним (80), 07:29, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Свали на ютуб. Там еще подписку можешь выклянчить.
     

  • 1.32, Это я (?), 15:26, 03/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ECDSA же небезопасен по причине наличия бэкдора... Или тут эта уязвимость не критична?
     
     
  • 2.35, Аноним (61), 16:01, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А пруф будет?
     
     
  • 3.64, Аноним (64), 23:33, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Пруфы, а они такое слово знают вообще? Для начала и конца.
     
     
  • 4.85, Это я (?), 09:13, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Dual EC DRBG
     
     
  • 5.86, Аноним (86), 10:32, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это алгоритм ГПСЧ. Е ECDSA у него общее лишь то, что и там и там используется математика эллиптических кривых.
     
     
  • 6.88, Это я (?), 11:16, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Только этот ГПСЧ является частью стандарта для ECDSA.
     
     
  • 7.111, хотел спросить (?), 02:39, 05/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Только этот ГПСЧ является частью стандарта для ECDSA.

    Уже не является

    В OpenSSL реализованы все части NIST SP 800-90A, включая Dual_EC_DRBG, несмотря на его сомнительную репутацию. При этом создатели OpenSSL отметили, что они стремятся сделать OpenSSL полным и поэтому реализуют даже небезопасные алгоритмы. OpenSSL не использовал Dual_EC_DRBG по-умолчанию, и в 2013 году было обнаружено, что реализация OpenSSL Dual_EC_DRBG не работает и никто не мог ее использовать.[18]

    Брюс Шнайер сообщил в декабре 2007 года, что Майкрософт добавила поддержку Dual_EC_DRBG в Windows Vista, хотя по умолчанию она не включена, и Шнайер предупредил о потенциальном бэкдоре.[26] Windows 10 и более поздние версии будут заменять вызовы Dual_EC_DRBG на вызовы генератора на основе AES.[27]

    9 сентября 2013 года, из-за информации полученной от Сноудена, а также из-за доклада New York Times о бэкдоре в Dual_EC_DRBG, NIST объявил, что переиздает SP 800-90A и открывает SP 800-90B/C для общественного обсуждения. Сейчас NIST «настоятельно рекомендует» не использовать Dual_EC_DRBG.[28][29] Публикация бэкдора в принятом стандарте стало для NIST серьезным конфузом.[30]

    RSA Security сохранила Dual_EC_DRBG как генератор по умолчанию в BSAFE даже после того, как бэкдор стал широко известен. После широко распространившегося беспокойства по поводу бэкдора была предпринята попытка найти программное обеспечение, которое использовало Dual_EC_DRBG, среди которого выделялся BSAFE. В 2013 году, начальник службы безопасности RSA Сэм Карри предоставил сайту Ars Technica обоснование выбора ошибочного стандарта Dual_EC_DRBG по умолчанию по сравнению с альтернативными генераторами.[31] Техническая часть заявления широко критиковалась криптографами.[32] 20 декабря 2013 года агентство Reuters сообщило, что RSA принял секретный платеж в размере 10 миллионов долларов от АНБ, чтобы установить Dual_EC_DRBG по умолчанию в двух продуктах шифрования.[23][33]

     
  • 3.84, Это я (?), 09:07, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Погуглите по этой фразе: "Dual EC: A Standardized Back Door".
     
  • 2.51, . (?), 18:12, 03/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    конечно некритична - пропихивают-то ее именно те, кто этот бэкдор придумали.
     

  • 1.34, Аноним (61), 15:57, 03/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    >контролируемый сообществом

    Это каким? Случайно не https://en.wikipedia.org/wiki/United_States_Intelligence_Community ?

     
  • 1.55, Alexey (??), 18:33, 03/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Хороший проект, и результаты интересные.
     
  • 1.59, Аноним (59), 22:23, 03/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    горькими слезами плачут глупые турки из comodo - их тупо заменили на shell script
     
     
  • 2.97, . (?), 13:34, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    наоборот - им поубивали всех конкурентов.
    но они, конечно, догадываются, кто будет следующим.

     

  • 1.65, Аноним (64), 23:41, 03/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да тут сотрудники провайдеров все слезами заливают. У них то https в каждой бочке бигдату уводит. ESNI и остатки уведет.
    >Certificate Transparency

    А тут пора самим УЦ повеситься на древе Меркла. Дюпами барыжить рожки обломаются.

     
     
  • 2.72, Онаним (?), 00:10, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Конкретно мы абонентский трафик за исключением случаев диагностики никак не анализируем, и вообще за это могут по голове настучать очень больно. За РФ не скажу, может у вас это принято.
     
     
  • 3.75, ы (?), 01:07, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Верим-верим!
     
  • 3.96, . (?), 13:31, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    у крупных не принято, дорого и нафиг не надо.
    А васян-провайдер может, конечно, и содержимым юзерского траффика приторговывать, demdex там или еще что. У него каналы слабенькие, тотальная слежка недорого встанет.

     

  • 1.66, Аноним (68), 23:58, 03/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Заявка на и получение сертификата - тебя Д Е А Н О Н И М И З И Р У Е Т
     
     
  • 2.73, Онаним (?), 00:10, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    So what?
     
  • 2.74, Аноним (64), 01:05, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    https = анонимность ну ты это титан логики и чтения мануалов угу.
     
  • 2.78, Аноним (78), 03:03, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Зашифрованный файл на твоей флешке тебя деанонимизирует.
     
  • 2.87, Аноним (86), 10:38, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Заявка состоит из публичного ключа для его подписи, публичного ключа аккаунта и адреса электронной почты, которые никак на деле не используется, а потому не обязан быть реальным. По факту, это такой description ключа аккаунта для отзыва сетификата, который из-за потенциального задела на будущее должен иметь формат адреса электронной почты.
     
     
  • 3.89, GG (ok), 12:25, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Адрес почты используется как минимум чтобы напоминать о заканчивающихся сертификатах тем недоадминам, которые не осилили автоматизировать их обновление.
     

  • 1.101, Monster (?), 19:26, 04/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    тут, похоже, собрались крутые спецы по LE.. :)
    Вопросик, парни: я так и не смог победить автопродление wildcard сертификата.
    С моим паршивым знанием наглийского, читая инструкции с оффсайта LE, сделал вывод что это невозможно.
    Я правильно понял, или всё-таки можно настроить автопродление wildcard?
    Если можно - не обломайтесь ткнуть в ссылку или хотя бы в ключевые слова, мне не удалось найти способа.
     
     
  • 2.106, А (??), 21:16, 04/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В acme.sh есть, к примеру, скрипты работы с днс-провайдерами, и автопродление они умеют. Вы пробовали его?
     
     
  • 3.107, Monster (?), 00:54, 05/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    мммм... нет.
    Они умеют автопродление именно wildcard?
    У меня в процессе сначала требуется залить в зону запись, потом организовать веб со специфическим урлом для проверки. - Я использую certbot.
    Как-то так сложилось, что первый мануал по LE был по нему. И всё практически сразу заработало. И работало, пока LE не разрешили wildcard. И теперь раз в 3 месяца у меня возникает желание от wildcard отказаться - но с кучей сертов много больше возни.
    Все варианты автоматического продления, что удалось найти в инетах - относятся к простым сертификатам.
    За наводку - спасибо, поковыряю. Я не великий (пока) спец в скриптах, опасаюсь запускать то, что не понимаю. К сожалению, понимаю пока далеко не всё.
     
  • 3.108, Monster (?), 01:43, 05/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да, судя по описанию пакета acme.sh - Вы правы.
    и поиск по acme.sh дал ссылку на гайд. Правда, надо настроить динамическую зону на bind (ни разу ещё не пробовал), и как-то не совсем понятно там... но это из-за слабого знания языка и общей моей "не в темности". Поэксперементирую.
    Ещё раз спасибо за наводку!
     
  • 2.118, Anonim (??), 04:07, 06/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Подтверждение сертификатов на звезду на данный момент работает только через DNS авторизацию. Соотв читать как настроитиь DNS авторизацию автоматом в вашем любимом выписываетеле сертификатов для ЛЕ.
    Я не знаю настолько хорошо петон, чтобы проверить код их бота для выписки (дла еще со всеми зависимостями) и дать ему права на изменения в своем DNSе и своем Вебе, поэтому нашел давно уже dehydrated (когда он еще носил девичью фамилию letsencrypt.sh), прост как пробка, написан на шеле, зависимости только от небольшого количества достаточно стандартных Unix утилит, вся авторизация которая сложнее чем положить файл для веб авторизации, а также для дерганья вашего любимого веб (да и не обязательно веб) сервера  делается через внешние хуки. В интернете легко находятся варианты для всяких популярных DNS сервисов и веб сервсисов, амазонов итд итп. т.к. я ими не пользуюсь, по писал сам. там не сложно написать свой хук на все что угодно. (хук писать нат шеле не обязательно, внешняя программа с известными параметрами, на чем вы её напишите - ваше дело.) При этом у хука не обязательно должны быть права напрямую дергать как ДНС так и веб сервер :) что мне особенно нравится. Например сертификаты я после дополнительной проверки раскладываю папетом.
    есть также помянутый уже acme.sh, он посложнее, там тоже есть дергалки на всякие популярные DNSы итд..
     
     
  • 3.119, пох (?), 11:43, 06/01/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    "читать как настроить в dns кучу дырявого и опасного функционала, которого просто не должно быть в статичных внешних зонах, исключительно для удовлетворения шантажистов из гугля и около".

    или вы руками файл зоны переписываете? (ну, в смысле , ваш скрипт именно его редактирует, а не пользуется динамикой)

     
     
  • 4.120, Anonim (??), 13:12, 06/01/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    мой переписывает специально для него заточенный инклюд и релоадид зону.  Исключительно потому, что у меня нет динамических зон. Можно сделать и динамический апдейт. Кажется я даже примеры видел такие для бинда. Если понимать, как работает апдейт, то не вижу в чем проблема сделать через апдейт.

    Причем у меня это делает не хук, хук кладет куда надо задание, внешний скрипт его подхватывает, проверяет на "вшивость" и только по прохождении проверки делает изменения. (причем на совсем другом хосте, чем крутится выписывальщик сертификатов). Хук ждет положенное время и проверяет, что данные появидись на NSax и только по появлению нужного ответа возвращается к проверке. Если данные почемуто не появились, то шлет писмо мне и фейлится.

     
     
  • 5.121, . (?), 14:00, 06/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > мой переписывает специально для него заточенный инклюд и релоадид зону.

    а, то есть вы пошли самым сложным путем.

    ну да, когда-нибудь примерно так и придется делать. Платить комоде, с ее-то "честностью", за *  просто глупо, да и они рано или поздно попадут под каток.

     
     
  • 6.125, Arch (?), 17:12, 07/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Есть так-то GlobalSign и Entrust еще. Вроде помирать не собираются. В том же LeaderSSL берете (реселлер) и все.
     
  • 2.130, Subcreator (ok), 20:09, 13/01/2019 [^] [^^] [^^^] [ответить]  
  • +/
    "Автопродление wildcard сертификата."

    Не работает оно. certbot и acme.sh - точно!
    В acme багрепорт тупо закрыли.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру