The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Let's Encrypt преодолел рубеж в миллиард сертификатов

27.02.2020 21:50

Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, объявил о достижении рубежа в миллиард сгенерированных сертификатов, что в 10 раз больше, чем было зафиксировано три года назад. Ежедневно генерируется 1.2-1.5 миллионов новых сертификатов. Число активных сертификатов составляет 116 млн (сертификат действует три месяца) и охватывает около 195 млн доменов (год назад было охвачено 150 млн доменов, а два года назад - 61 млн).. По статистике сервиса Firefox Telemetry общемировая доля запросов страниц по HTTPS составляет 81% (год назад 77%, два года назад 69%, три года - 58%), а в США - 91%.

Несмотря на то, что за последние три года число охватываемых сертификатами Let's Encrypt доменов возросло с 46 млн до 195 млн, число работающих в режиме полного рабочего дня сотрудников увеличилось с 11 до 13, а бюджет возрос с 2.61 млн долларов до 3.35 млн долларов.

  1. Главная ссылка к новости (https://letsencrypt.org/2020/0...)
  2. OpenNews: Let's Encrypt перешёл к проверке с использованием разных подсетей
  3. OpenNews: Разработанный проектом Let's Encrypt протокол ACME утверждён в качестве интернет-стандарта
  4. OpenNews: Let's Encrypt занял 36% рынка удостоверяющих центров
  5. OpenNews: Доверие к Let's Encrypt обеспечено во всех списках корневых сертификатов
  6. OpenNews: Let's Encrypt опубликовал описание атаки и план по устранению проблемы
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/52448-letsencrypt
Ключевые слова: letsencrypt, crypt, cert, tsl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (32) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 21:52, 27/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Какой смысл меряться количествами, если всех и так загоняют в их стойло?
     
     
  • 2.4, пох. (?), 22:37, 27/02/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Отчет перед спонсорами же ж...

    "Смотрите, смотрите - заносы гуглозиле и огрызкам оправдались, у нас уже миллиард трекаемых ежечасно нашей шпионской сетью сайтов, шлите еще денег!"

     
     
  • 3.7, zzz (??), 23:43, 27/02/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Не "трекаемых", а "трекаемых только вами, господа Брин и Цукенберг". А операторы пусть идут лесом и ничего не имеют с профилирования. Только гугл и пейсбук имеют право этим заниматься, это их корова и только они имеют право её доить.
     
  • 3.10, Аноним (10), 00:42, 28/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Они ведь просто подтверждают твой открытый ключ, какой тогда трекинг? Закрытый ключ они ведь не знают
     
     
  • 4.16, пох. (?), 10:01, 28/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Они ведь просто подтверждают твой открытый ключ

    а ты им "подтверждаешь" айпишники, живость и обслуживаемость сайта, и еще по мелочи, в процессе ежечасных перезапросов.
    Это, разумеется, при условии, что ты не-такой-как-все, и попутно еще и их троянца (самообновляющегося с не тобой контролируемого источника) не поставил, а др...шь руками, вприсядку. Этот факт, кстати, тоже полезно подшить к твоему профилю.

    Поди плохо?

    До недавнего времени еще неплохо было вести перепись всех твоих клиентов с помощью OCSP, на каждый заход на твой сайтик, но, похоже, гугль убедился что и штатная телеметрия вполне сообщает ту же самую информацию, можно за эту услугу больше не платить и с другими не делиться.

    > Закрытый ключ они ведь не знают

    он им не очень нужен - траффик все равно вряд ли идет через подконтрольные им участки сети. Но вот косвенную инфу о тебе подсобрать - вполне можно и без него.


     
     
  • 5.21, Аноним (10), 13:43, 28/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну списки отзыва палят, конечно, но без сертификатов, коли трафик идёт по им подконтрольной сети, они тем более могут все отслеживать. И не только они, а любой кто подключиться сможет весь трафик читать
     
     
  • 6.24, пох. (?), 19:25, 28/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    вот весь прикол в том, что подконтрольной им сети - нет (не было, теперь есть) ни  гугля (google wire как-то пролетел) ни у мурзилы тем более, ни даже у циски с кем там еще... а, внезапно, akamai.
    И ничего узнать о тех гадах, которые смеют размещаться не на их хостах, и при этом не хотят использовать ga, другим способом не получалось.

    > а любой кто подключиться сможет весь трафик читать

    вот весь прикол в том, что этих любых весьма ограниченное количество, и они, обычно, продают услугу, а не занимаются диверсиями и шпионажем.

    Хотя, глядя на провайдеров последней мили, уже и не скажешь точно.

     
     
  • 7.30, Аноним (10), 11:47, 29/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >вот весь прикол в том, что подконтрольной им сети - нет (не было, теперь есть) ни  гугля (google wire как-то пролетел) ни у мурзилы тем более, ни даже у циски с кем там еще...

    Так ты ж сам написал выше

    >траффик все равно вряд ли идет через подконтрольные им участки сети.

     
     
  • 8.31, Аноним (10), 11:48, 29/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ой, там вряд ли было, прошу прощения, я не заметил вряд ли ... текст свёрнут, показать
     
  • 3.11, pin (??), 00:52, 28/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Какими? Все споносоры прямые заинтересанты, которые хотят прогнуть интернет и контролировать доставку контента. Как смогут контролировать, придут к большим дядям и скажут - мы гарантируем доставку вашего контента до биомассы, начинается новая эра заработывания бабла на воздухе.
     

  • 1.2, Аноним (2), 21:57, 27/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Повсеместный https это хорошо.Но то что Let's Encrypt превращается в единую точку отказа- плохо.
     
     
  • 2.8, zzz (??), 23:46, 27/02/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    И что хорошего в том, что бигдатой владеет только гугл&ко? Ты с этого не получаешь ничего, оператор не получает ничего. В чем поинт, не пойму? В очередной суете неуловимого Джо?
     
     
  • 3.12, Хуизнаеним (?), 05:51, 28/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Как бы самому себе сертификат сделать и не париться?
     
     
  • 4.15, mommy (?), 08:57, 28/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так и сделал, и кладу большую каку на ваши летскрыпты
     
     
  • 5.18, пох. (?), 10:05, 28/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Так и сделал, и кладу большую каку на ваши летскрыпты

    ну если твоих посетителей только ты и твои воображаемые друзья - это работает.

    А невоображаемых друзей будет немного сложно уговорить поставить твой васян-сертификат в доверенные. Если они вообще умеют это делать.

    Ну и не говоря уже о том, что гуглемурзилы уже всерьез начали с васян-сертификатами бороться. Поскольку это таки не смотря на все вышеизложенное - последний серьезный конкурент летсшиткрипту.

     
  • 2.14, Тот_Самый_Анонимус (?), 07:35, 28/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Повсеместный https это хорошо.

    Для вас. Когда уже вы отучитесь говорить за всех?

     
     
  • 3.17, Онанимус (?), 10:02, 28/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "Для всех, за исключением небольшой кучки отщепенцев". Так лучше?
     
     
  • 4.19, пох. (?), 10:06, 28/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > "Для всех, за исключением небольшой кучки отщепенцев"

    не желающих строем в электронный концлагерь. Твари!

    > Так лучше?

    конечно!


     
     
  • 5.28, р (?), 05:14, 29/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    крыстелеком?
     
  • 4.29, Тот_Самый_Анонимус (?), 06:20, 29/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > "Для всех, за исключением небольшой кучки отщепенцев". Так лучше?

    Тогда пишите «для неразборчивого б ы д л а». Вот так лучше. И нас не оскорбляет, и вам позволяет испытать ваш гнилой приём на себе.

     

  • 1.3, Аноним (3), 22:12, 27/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Самое время начать монетизацию
     
     
  • 2.5, пох. (?), 22:38, 27/02/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Не хочу вас расстраивать, но монетизация началась с момента его появления.
    Просто вы еще не осознали, что продают тут - вас.

     
     
  • 3.9, zzz (??), 23:50, 27/02/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Продавали бы и без LE. Просто без LE на бигдате кормились бы все звенья цепи, а с LE и повальным https - гугл, пейсбук и свои сукины сыны, которым раз в год скинуться по миллиону долларов на то, чтобы никто из других участников не получил доступ к бигдате - семечки.
     

  • 1.6, Аноним (6), 23:14, 27/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Миллиард фишинговых сайтов обзавелись бесплатными сертификатами...
     
     
  • 2.20, Аноним (20), 11:51, 28/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а оставшиеся 10тыс купили сомнительные у безмозглого комодо и все равно истекают желчью
     

  • 1.13, aa (?), 06:25, 28/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    а если бы выдавали не на 3 месяца, а на неделю, то было б уже за 10 миллиардов.
     
  • 1.22, xm (ok), 15:26, 28/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Для тех, кто не хочет в уютненькое стойло Let's Enсrypt, альтернатива с поддержкой протокола ACME из Норвегии
    https://www.buypass.com/ssl/products/acme
     
     
  • 2.25, пох. (?), 22:06, 28/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Для тех, кто не хочет в уютненькое стойло Let's Enсrypt, альтернатива с
    > поддержкой протокола ACME из Норвегии
    > https://www.buypass.com/ssl/products/acme

    только учтите - с херовенькой поддержкой ACME. Ну или с херовенькой поддержкой того acme, который навязывает letshitcrypt, и местами отличается от того что на бумаге.

    ньюансы: certbot генерит неправильный csr (без CNAME вообще) - которые тот бодро подписывает как есть, в отличие от LE, который таки оверрайдит cname правдоподобным текстом, выковырянным из Alt, что ломает древние браузеры, в том числе - мобильные, которые так просто не поменять -  нужно создать правильный csr одновременно с CNAME и altNames самому. dehydrated с http challenge не работает вообще (не надо им вообще пользоваться, безмозглый разработчик), acme-tiny требует патча, можно найти в issues. uacme единственный, автор которого умеет кодить и отлаживать, и попатчил сам, баг сдал обратно норвегам - традиционно, забившим х.й.

     

  • 1.23, Аноним (23), 15:28, 28/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да ничего такого и не было б в этом Let's Encrypt, можно было бы юзать, если бы не приседания клиентом(ами). Как бы даже не склоняют к автоматизации, а прям таки загоняют.
     
     
  • 2.26, пох. (?), 22:13, 28/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > не склоняют к автоматизации, а прям таки загоняют.

    автоматизация - хорошо. Плохо - безконтрольная автоматизация и отказ от доверия _сертификату_, заменяемому доверием CA.
    И вот кто-то очень, очень хочет, чтобы сертификаты невозможно стало проверять в принципе.

    Последняя история с safari, собравшейся _после_ проcpанного голосования (то есть даже т-пые м-ки из "комитета" по осчастливливанию всех ненужно-шифрованием не набрались храбрости ТАК нагло всех вертеть на х.ю) - единолично объявить недоверенными сертификаты со сроком годности больше года - конечно же, для вашей безопасТносте, как иначе - очень показательна.

    И да, бритва Хэнлона тут неприменима - у ябла достаточно денег, чтобы не считать их кретинами. Они не кретины, они полезный трактор.

     

  • 1.27, Аноним (-), 22:59, 28/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Такие графики делаются в Gnuplot?
     
     
  • 2.32, Аноним (32), 14:07, 01/03/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В том числе и в нем.
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру