| |
| 2.52, azure (ok), 14:36, 05/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
 Пост-фактум всегда все "ожидаемо". А пруф в виде ссылочки на такие ожидания месячной и более давности не найдется ли?
| | |
|
| 1.2, Аноним (-), 00:24, 01/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +30 +/– |
Кто там в каждой новости про Let's Encrypt плевался и советовал использовать StartSSL? :-) Теперь настоящие профессионалы показали своё истинное лицо. Даже не верится, что в CA может быть такая некомпетентность.
| | |
| |
| 2.26, arisu (ok), 11:53, 01/07/2016 [^] [^^] [^^^] [ответить]
| +4 +/– |
 > Даже не верится, что в CA может быть такая некомпетентность.
это после дигинотара‐то?
| | |
|
| 1.3, Аноним (-), 00:31, 01/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Ждём аналогичную историю про Comodo. Их хоть не жалко растерзать будет.
| | |
| 1.4, Аноним (-), 00:32, 01/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
В Let's Encrypt, кстати, проблема с редиректом всплывала на ранней стадии бета-тестирования.
| | |
| |
| 2.8, Crazy Alex (ok), 01:42, 01/07/2016 [^] [^^] [^^^] [ответить]
| +4 +/– |
 Ну вот разница в том числе в том, что там было огромное долгое бета-тестирование
| | |
| |
| 3.42, Аноним (-), 20:28, 01/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Ну вот разница в том числе в том, что там было
> огромное долгое бета-тестирование
Которое ничего не вылавливает, на самом деле. Что неоднократно практика и показывала с другими софтами и продуктами. Британская Энциклопудия.
| | |
| |
| 4.48, XoRe (ok), 14:46, 02/07/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
 >> Ну вот разница в том числе в том, что там было
>> огромное долгое бета-тестирование
> Которое ничего не вылавливает, на самом деле. Что неоднократно практика и показывала
> с другими софтами и продуктами. Британская Энциклопудия.
Практика показала на ситуацию с другими софтами и продуктами, а не с Let's Encrypt.
| | |
|
|
|
| 1.5, izyk (ok), 01:03, 01/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
 Да, было дело получал у них бесплатный сертификат, но столько проблем было. Получить смог только авторизовавшись под IE и т.д. Сложилось впечатление что это недоделанная чья та курсовая, но никак не серьезный проект. Номер кредитки я бы им не доверил. Как они поднялись не ясно. Не иначе как связи.
| | |
| 1.6, dlazerka (ok), 01:14, 01/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –10 +/– |
 Я, как вебмастер, вообще не хочу иметь доступ к приватным ключам своих сертификатов. Пускай мой хостер или name server их у себя хранит/обновляет, как AWS Certificate Manager делает.
| | |
| |
| 2.10, Аноним (-), 05:43, 01/07/2016 [^] [^^] [^^^] [ответить]
| +8 +/– |
Какая прелесть. Сегодня вроде первое июля, а не первое апреля.
| | |
| 2.14, Аноним (-), 08:34, 01/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
На aws закрытые ключи лежат в днс, чтобы вебмастер не мог их достать?
| | |
| 2.49, XoRe (ok), 14:48, 02/07/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Я, как вебмастер, вообще не хочу иметь доступ к приватным ключам своих
> сертификатов. Пускай мой хостер или name server их у себя хранит/обновляет
Чего мелочиться, сразу в роскомнадзор шли.
| | |
|
| 1.7, Нуб (?), 01:24, 01/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
БРАВО!!!!
рукоплескаем!
впрочем это было предсказуемо, еще в прошлой новости.
| | |
| 1.16, хрю (?), 08:51, 01/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
>Проблема присутствует в реализации механизма проверки принадлежности домена заявителю.
проблема присутствует в самой концепции ssl-сертификатов в том виде в котором они есть сейчас. защита https - это по большому счету мираж.
| | |
| |
| 2.21, тоже Аноним (ok), 09:30, 01/07/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Вообще-то защита https - это как минимум два фактора:
1. Удостовериться, что имеешь дело именно с тем сайтом, на который зашел. Это работает, прямо скажем, неидеально.
2. Шифрование общения между пользователем и сайтом. А вот это нормально работает, причем с любым - хоть самоподписанным - сертификатом. Если, конечно, какие-нибудь защитнички не влезли в процесс со своими интересами.
| | |
| |
| 3.25, Аноним (-), 11:24, 01/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
Можно подробнее про первый пункт? (Вебмастер-мимокрокодил, не особо разбирающийся в тонкостях)
| | |
| |
| 4.33, тоже Аноним (ok), 13:12, 01/07/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
Загляните нормальным браузером на https-сайт уважающей себя конторы (vtb, например) - увидите рядом с замком сертификата "подтвержденье, что в пакете - не ослиная моча, а прекрасный вкусный сок".
| | |
| |
| 5.38, scorry (ok), 13:35, 01/07/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > Загляните нормальным браузером на https-сайт уважающей себя конторы (vtb, например) - увидите
> рядом с замком сертификата "подтвержденье, что в пакете - не ослиная
> моча, а прекрасный вкусный сок".
Вообще-то это подтверждение не сайта, а конкретного лица либо корпорации, стоящих за сайтом.
| | |
| |
| 6.39, тоже Аноним (ok), 13:42, 01/07/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Если вам нужна точность - то это подтверждение принадлежности сервера, с которым вы установили соединение, тому самому лицу. Правда, не вижу, в чем тут практическая разница.
| | |
|
|
|
| 3.28, Аноним (-), 12:27, 01/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
Бывают еще EV/OV сертификаты которые кроме домена подтверждают личность/организацию.
| | |
| 3.34, . (?), 13:15, 01/07/2016 [^] [^^] [^^^] [ответить] | +2 +/– | к сожалению, они работают только в комплексе точнее, никогда не работали и не б... большой текст свёрнут, показать | | |
| |
| 4.37, тоже Аноним (ok), 13:26, 01/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
Cистемой, выполняющей ваши требования безопасности, для серфинга настолько же невозможно будет пользоваться, как браузером, работающим только с HTTPS и дропающим запросы к HTTP.
Разве что для пульта, работающего с одним конкретным сервером, желательно вам же и подконтрольным.
| | |
|
|
| 2.32, Crazy Alex (ok), 12:49, 01/07/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Скажем так - SSL (именно в "стандартном" виде, и иерархией CA) сильно ограничивает круг тех, кто может влезть в ваш трафик. Настолько сильно, что, к примеру, для абсолютного большинства бизнеса этого абсолютно достаточно. Точно так же, как достаточно для защиты от всяких мелких хакеров, любителей снифить общественный вайфай и т.д. Для дефолта, достающегося задарма - более чем.
| | |
| |
| 3.43, Аноним (-), 20:31, 01/07/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Скажем так - SSL (именно в "стандартном" виде, и иерархией CA) сильно
> ограничивает круг тех, кто может влезть в ваш трафик. Настолько сильно,
> что, к примеру, для абсолютного большинства бизнеса этого абсолютно достаточно. Точно
> так же, как достаточно для защиты от всяких мелких хакеров, любителей
> снифить общественный вайфай и т.д. Для дефолта, достающегося задарма - более
> чем.
Туфта. Себя успокаиваешь?
| | |
| |
| 4.47, Аноним (-), 21:46, 01/07/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну я же как-то онлайн-банкингом пользуюсь и деньги не украли. На счет сильно ограничивает - автор предыдущего комментария перегнул. Я бы сказал сильно увеличивает стоимость атаки (относительно, а не абсолютно). Вот и выходит так, что от того, кто может себе это позволить нет смысла защищать ибо он и так может влезть в дела большинства (мелкий, средний) бизнеса. Так и живем - чем дальше тем страшнее.
| | |
|
|
|
| |
| 2.44, Аноним (-), 20:32, 01/07/2016 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Сама идея публичных УЦ и вся отрасль сертификатов - одна сплошная уязвимость.
Абсолютно с тобой согласен, Анон.
Это тот самый случай, когда иллюзия безопасности много хуже полной небезопасности.
| | |
|
| 1.23, Аноним (-), 10:13, 01/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
И что, теперь CA, который использовали под это дело заблэклистят во всех дистрибутивах? С другими УЦ, которые были скомпрометированы поступали ведь именно так
| | |
| |
| 2.35, . (?), 13:19, 01/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
> И что, теперь CA, который использовали под это дело заблэклистят во всех
> дистрибутивах? С другими УЦ, которые были скомпрометированы поступали ведь именно так
там, скорее всего, достаточно самому startssl отозвать скомпроментированный intermediate (который был отдельный для этой автоматической херни)
Но что-то мне подсказывает - не дождемся даже этого.
| | |
|
| |
| 2.45, Аноним (-), 20:33, 01/07/2016 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Теперь все сертификаты StartSSL отзовут?
Надо бы. Но это вряд ли.
| | |
|
|
