forum.opennet.ru

"Let's Encrypt внедрил расширение для координации обновления сертификатов"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "Let's Encrypt внедрил расширение для координации обновления ..."	+/–
Сообщение от Анон_облегчился (?), 27-Мрт-23, 16:41
Срок жизни сертификатов напрямую связан с безопасностью точно так же как и срок жизни самого длинного пароля на свете. Ручное обновление сертов прямой риск безопасности, если бы не ACME так бы до сих пор и дрoчили руками файлики. Кому нужна автоматизация действия которое нужно делать раз в два года? Люди к закрытым ключам доступа иметь не должны вообще никак. Серт/ключ не должен проходить цепочки с подрятчиками, техдиректорами и прочими "бизнесами", а должен генерироваться там где он нужен на минимально возможный срок. ACME протокол спас людей от всего этого ада. С ACME работают многие провайдеры даже платные, а если бы не летсенкрипт ждали бы этого еще 20 лет. Боитесь американского суда? Так пользуйтесь минцифры или невероятными по своей надежности китайскими провайдерами вместе с яндыкс браузером. Какое вам дело до американского суда или информационной безопасности? Это все не для вас явно. 90 дней жизни серта это на 89 дней больше чем необходимо для смены CA вашего сертификата.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Let's Encrypt внедрил расширение для координации обновления сертификатов, opennews, 26-Мрт-23, 07:50 [смотреть все]

Но при этом всё равно требуется запрашивать инфу с их серверов поллингом, судя п, BrainFucker, 26-Мрт-23, 09:00 (6) //
- Нагрузка на веб-апи это ничто Вебапи можно заскейлить до космических масштабов п, Аноним, 26-Мрт-23, 13:36 (64) //
  - могли бы просто дёргать URL на сайте через POST , Аноним, 26-Мрт-23, 13:53 (69)
  - Не сам, а по крону клиент certbot или аналог слал запрос на сервер LE, тот в отв, BrainFucker, 26-Мрт-23, 14:26 (79) //
    - Несколько серверов чего именно REST API Их и так несколько Тормозит совершенн, Аноним, 26-Мрт-23, 17:21 (105)
  - Почти бесплатно тут лишнее - до космических масштабов скейлится стоимостью кос, Tron is Whistling, 26-Мрт-23, 15:24 (95) //
    - Ну давай прикинем хотя бы порядок этих 171 космических 187 денег Предположи, Аноним, 26-Мрт-23, 18:15 (106)
      - Переиграл и уничтожил , anonym444, 27-Мрт-23, 22:07 (150)
        
        Ды ладно Там как обычно - килобайт данных На сколь либо серьёзное применение , Tron is Whistling, 04-Апр-23, 00:58 (176)
      - А теперь увеличь килобайт до пары мегабайт, и давай посчитаем , Tron is Whistling, 04-Апр-23, 00:56 (175)
  - Ну и дураки Берём корневой сертификат, им подписываем N сертификатов для N серв, pashev.ru, 26-Мрт-23, 16:37 (102) //
    - Локалхостов, так что ж ты им не объяснишь как надо-то Показал бы класс А то он, Аноним, 26-Мрт-23, 18:22 (107)
  - Это какой-то позор, сервис, на который завязали половину интернета, держится на , Аноним, 27-Мрт-23, 12:39 (141) //
    - При этом у них собралосьно весь бизнес висит на одной железке , Аноним, 27-Мрт-23, 12:51 (142)
    - Там скорее всего и от второго сокета толку никакого Строго последовательная обра, пох., 27-Мрт-23, 17:01 (147)
не хотите нагрузку - сделайте сертификаты на 25 лет, и никому не надо будет их о, Аноним, 26-Мрт-23, 09:17 (8) //
- этак интернетом смогут пользоваться все, а не только кому дозволено , Аноним, 26-Мрт-23, 09:48 (11) //
  - https www opennet ru opennews art shtml num 54206https www opennet ru openne, Аноним, 26-Мрт-23, 14:36 (83) //
    - не вижу связи, не ставьте такой сертификат ca - , Аноним, 27-Мрт-23, 08:41 (133)
- И сразу выкладывайте этот сертификат на 25 лет в общий доступ Нам нечего скры, Аноним, 26-Мрт-23, 12:04 (31) //
  - И трусы от банковской карточки, Аноним, 26-Мрт-23, 12:31 (38)
  - Анонимус не в курсе, что сертификаты, включая корневой, и так в открытом доступе, pashev.ru, 26-Мрт-23, 16:39 (103)
  - Только сертификат - не парольНу обновляй все пароли на всех ресурсах через день , Бывалый Смузихлёб, 27-Мрт-23, 07:16 (129) //
    - именно кто контролирует выпуск сертификатов- контролирует интернет , Аноним, 27-Мрт-23, 08:42 (134)
    - Срок жизни сертификатов напрямую связан с безопасностью точно так же как и срок , Анон_облегчился, 27-Мрт-23, 16:41 (145)
      - Ну да, ну да - ручное обновление с контролем за ручками раз в три года - плоха, , пох., 27-Мрт-23, 17:05 (148)
        
        Кроме сертбота полно других реализаций, но обычно реализация ACME нативно реализ, Аноним, 28-Мрт-23, 01:10 (152)
        
        ну то есть вообще зашибись - сразу конечное приложение работает от рута или от е, пох., 28-Мрт-23, 09:26 (153)
        
        Отлично запускается и не от рута Даже на одной машине он может быть не один, эт, К.О., 01-Апр-23, 09:53 (166)
- Наоборот, ни продвигают идею сокращения срока их жизни и более частого обновлени, Kuromi, 26-Мрт-23, 14:27 (81)
Они открыли для себя openssl x509 -dates , судя по примеру , Sadok, 26-Мрт-23, 09:38 (9) //
- openssl не покажет, что сертификат будет досрочно отозван , Аноним, 26-Мрт-23, 09:40 (10) //
  - да, не проснулся касаться вопроса какого карлика CA отзывает сертификат не б, Sadok, 26-Мрт-23, 10:44 (17) //
    - Каэшн не будем, ты ведь пишешь идеальный софт в котором не может быть уязвимосте, Аноним, 26-Мрт-23, 12:33 (41)
      - сколько бесполезных слов и обвинений но не упоминается главного, Бывалый Смузихлёб, 27-Мрт-23, 07:27 (130)
Ну почему не использовать стандартный URL, как в обновлении https example com , Аноним, 26-Мрт-23, 10:03 (12) //
- потому что wildcard, Sadok, 26-Мрт-23, 10:46 (18) //
  - Именно для единообразной обработки по wildcard и надо if string match lighty env, Аноним, 26-Мрт-23, 12:57 (55)
Сообществом корпоратов , Анонус, 26-Мрт-23, 10:04 (13) //
- Мой комментарий снесли Кстати, а у кого ключ от корневого сертификата , pashev.ru, 26-Мрт-23, 10:46 (19) //
  - для больших CA, ключ от корневого серта, вроде как, лежит в железе, без возможно, амоним, 26-Мрт-23, 11:51 (24) //
    - А потом, внезапно, узнаётся, что из железа, при очень большом желании, его тоже , Аноним, 26-Мрт-23, 12:34 (43)
      - Ага, при помощи секретных нибируанских технологий Но только с благословления ве, Аноним, 26-Мрт-23, 20:13 (113)
Но ведь отзыв сертификата по инициативе УЦ, а не его владельца - это какой-то бр, Аноним, 26-Мрт-23, 10:04 (14) //
- CRL и OCSP не содержат подписей, сделанных самими сертификатами, что позволяет У, Аноним, 26-Мрт-23, 10:22 (15) //
  - И мне ходить по сайтам и доверять корневому сертификату, подписанным тобой Ну уж, Sha4096, 26-Мрт-23, 10:43 (16) //
    - Подписанному Гуглом У Гуглага достаточно рычагов, чтобы отнять у CA возможность, Аноним, 26-Мрт-23, 10:47 (20)
      - За каким хером тянуть гугл туда где он не нужен Вот именно для этого и есть нек, Sha4096, 26-Мрт-23, 10:58 (21)
        
        Гугл уже монополист со своим хромом, и может приструнить центры Mozillу же цент, Аноним, 26-Мрт-23, 11:55 (28)
        
        Жажда сапога в жoпe или что У нас есть замечательный некомерчнский центр сертифи, Аноним, 26-Мрт-23, 12:18 (35)
        
        Ключи на стороне клиента генерируются В таких случаях нужно сначала одновреме, Аноним, 26-Мрт-23, 12:31 (39)
        
        Подпись на стороне ца Конечный подписанный серт генерируется на стороне ЦА Мир , Аноним, 26-Мрт-23, 12:43 (49)
        
        У клиента может быть уязвимая реализация гспч У центра уязвимая реализация - во, Аноним, 26-Мрт-23, 13:11 (58)
        ЦА - это профессиональные обеспичители безопасности Им за это и платят - чтобы , Аноним, 26-Мрт-23, 13:49 (68)
        
        Касательно кейса с банками - как-то был опыт, что у банка одного стух сертификат, Kuromi, 26-Мрт-23, 14:38 (85)
        
        Как же вы задрали, мамкины экономисты На рынке сильно больше двух бесплатных бр, Аноним, 26-Мрт-23, 12:42 (48)
        
        telnet exe, например , Аноним, 26-Мрт-23, 12:53 (54)
        
        Не может Вообще никакого вляния не имеет Прежде чем нести чушь, разобрался бы , Аноним, 26-Мрт-23, 20:21 (114)
    - А зачем тебе при этом вообще корневой сертификат Доверяй self-signed - вообще-т, пох., 26-Мрт-23, 11:36 (22)
      - Расскажите об этом минцифры , Аноним, 26-Мрт-23, 11:53 (27)
        
        А им чем поможет, там же не только ру и рефе, они ж и com и любые другие домены , пох., 26-Мрт-23, 12:32 (40)
        А зачем им что-то рассказывать Кто они вообще Может им ещё и доверять начать , Аноним, 26-Мрт-23, 12:43 (50)
        
        Не вижу проблемы, если сертификатом минцифры будут подписаны только gov ru и , Аноним, 26-Мрт-23, 12:50 (53)
        
        Не вижу разницы между сертом минцифры и самоподписаным тобой Хотя вижу, к тебе , Аноним, 26-Мрт-23, 13:00 (56)
        
        Единственная разница между самоподписанными корневыми сертификатами - это то, ку, Аноним, 26-Мрт-23, 13:33 (62)
        
        Вся эта итерика с не продлят пока ниочем По тому что я наблюдаю организации в, Kuromi, 26-Мрт-23, 14:48 (86)
        
        Разумеется, ни о чём Хотели бы - уже бы просто отозвали , Аноним, 26-Мрт-23, 15:04 (92)
        
        Не ставил, не пользовался, не нужны Кому наплевать на приватность - могут ставит, Tron is Whistling, 26-Мрт-23, 15:26 (96)
        
        Кому приходится получать зарплату на сбер - будет ставить Впрочем, там дальше в , пох., 26-Мрт-23, 23:09 (123)
        
        Ды не, ну зачем жо В тухуслугах уже давно ничего не надо, а нало овой проще один, Tron is Whistling, 30-Мрт-23, 09:12 (157)
        я рад за тебя, чувак без загранпаспорта А мне вот - надо Зарегистрировался кст, пох., 01-Апр-23, 11:51 (168)
        К счастью, успел загранник обновить в начале 2022, и даже шенген за пару недель , Tron is Whistling, 01-Апр-23, 11:55 (169)
        С правами тоже проблем не было - просто чуть дольше ожидание Хотя в последний р, Tron is Whistling, 01-Апр-23, 11:56 (170)
        А вот это - вообще тема Сейчас юзеры начнут огульно кликать установить сертифи, Tron is Whistling, 01-Апр-23, 11:57 (171)
        Кстате да, с сертификатами у терминалов забавно получилос , Tron is Whistling, 30-Мрт-23, 09:13 (158)
        
        Если бы было желание создать альтернативу западным CA, это не проблема Проблема, Аноним, 26-Мрт-23, 16:42 (104)
        
        Это проблема Западные CA внезапно трастятся всем миром и сотоварищи А вот с мест, Tron is Whistling, 30-Мрт-23, 09:13 (159)
        
        ну судя по требованиям, выкаченным Честному Ахмаду - в общем я бы на твоем месте, пох., 01-Апр-23, 12:00 (172)
        Самым оптимальным был бы да, децентрализованный CA со строгими процедурами и нез, Tron is Whistling, 01-Апр-23, 17:37 (173)
      - Ну была такая инцииатива - Opportunistic Security, она и состояла в том чтобы да, Kuromi, 26-Мрт-23, 14:50 (87)
        
        А, да, ошметки по сей день видны в старой паленой луне и еще где-то Казалось бы , пох., 26-Мрт-23, 16:16 (101)
      - Почему Какие-то ограничения в браузерах , Аноньимъ, 27-Мрт-23, 02:26 (127)
        
        Угу С селф-сайнед уже давно не работают всякие кросс-сайт штуки Даже с вручную , пох., 27-Мрт-23, 07:47 (131)
        CORS нет, выставлять заголовки, в случае с самоподписанным сертом не помогает -, пох., 27-Мрт-23, 09:36 (136)
- верьти нам, мы харошие А праведному Ахмеду так и не дали стать CA P S а владеле, пох., 26-Мрт-23, 11:39 (23) //
  - Ну отзыв фундаментально полагается на третьих лиц Которых придётся уговаривать , Аноним, 26-Мрт-23, 11:52 (25) //
    - в блокчейн можно было бы напрямую добавлять запись об отзыве Но эта технология , пох., 26-Мрт-23, 12:34 (42)
      - Но заносить всей сети, путём нахождения блока уплаты transaction fee - обязатель, Аноним, 26-Мрт-23, 12:41 (47)
      - В блок можно заносить хеши от записи в DHT И не битком единым Вообще самая бол, Аноним, 26-Мрт-23, 12:46 (51)
        
        беспринципными неолибералами, Аноним, 26-Мрт-23, 13:35 (63)
  - сложность в том, что владельцу нужно как-то доказать, что это его серт, и его ну, амоним, 26-Мрт-23, 12:01 (30) //
    - Если серт утёк, то он должен быть отзыван Поэтому нет никакой проблемы, если ли, Аноним, 26-Мрт-23, 12:10 (32)
    - получая серт, ты в принципе доверяешь весь свой трафик владельцам CA Запросы име, Аноним, 26-Мрт-23, 12:16 (33)
      - Не совсем Для этого им нужгы сообщники - хозяева каналов связи между тобой и са, Аноним, 26-Мрт-23, 12:17 (34)
    - ммм тебя совершенно не смущает тот факт что для получения того серта - ничего, пох., 26-Мрт-23, 12:27 (36)
      - Ну вообще-то попросили доказать, что доменное имя ведёт к ним Это может владеле, Аноним, 26-Мрт-23, 12:37 (45)
        
        Потом попросят предъявить право на вход в интернет , Аноним, 26-Мрт-23, 14:03 (72)
      - А сейчас даже веб-морда не нужна, на ужас ручных админов OCSP 8212 лажа уровн, Аноним, 26-Мрт-23, 20:31 (115)
        
        Ага, не нужна - сп-ли у тебя сертификат - ну и что, сиди дальше надувай щеки, вс, пох., 26-Мрт-23, 21:22 (120)
        
        И как тут OCSP поможет А никак Он тебе скажет 171 серт годный 187 и ты это, Аноним, 27-Мрт-23, 01:13 (125)
        
        А, ну так-то конечно ок Сертификаты с временем жизни в час всех спасут , пох., 27-Мрт-23, 07:48 (132)
  - Во-первых, никто не может запретить праведному Ахмеду стать CA Скачал easy-rsa , Аноним, 26-Мрт-23, 18:42 (108) //
    - этот даже на троюродного племяша не тянет - Ахмед-то сразу сказал зачем ему быть, пох., 26-Мрт-23, 20:49 (118)
- Так уж получилось, что IP адрес одного из моих поддоменов в облаке оракла неизве, Аноним, 27-Мрт-23, 14:16 (143)
8212 Слыш, пупкинбанк ком, смени сертификат 8212 пупкинбанк ком сгенериру, Аноним, 26-Мрт-23, 11:53 (26) //
- Ну смена серта самим сайтом скомпрометировать его не должна, но вот расследовани, Аноним, 26-Мрт-23, 11:58 (29)
- А НЕ ТО А НЕ ТО по сути все правильно, но это не просьба, а угроза Не сменишь -, пох., 26-Мрт-23, 12:30 (37) //
  - то есть plain http - лучше , Аноним, 26-Мрт-23, 12:39 (46) //
    - других вариантов кроме дрянь-PKI и plain http в принципе нет или вы о них не , ivan_erohin, 26-Мрт-23, 13:33 (61)
      - Да, других вариантов в принципе нет У них нет шансов быть включенными в браузер, Аноним, 26-Мрт-23, 13:38 (66)
        
        Как включили так и выключат о, догадливый С ftp уже расправились Через этот плэ, пох., 26-Мрт-23, 14:03 (73)
    - Лучше Никакой шиткрипт не сможет заблокировать доступ к твоему сайту , отозвав , пох., 26-Мрт-23, 14:01 (71)
      - при всем моем уважении это раньше ты на сайты ходил а сейчас просто через гугл , амоним, 26-Мрт-23, 14:11 (76)
        
        которые, амоним, 26-Мрт-23, 14:12 (77)
        ты не в курсе недавней истории как она рассеянским пропаган 0нам рассказала ин, пох., 26-Мрт-23, 16:10 (98)
        
        ftfy, Аноним, 26-Мрт-23, 19:58 (111)
        
        я хотел бы купить реализацию rootCA interCA CRL AIA OCSP респондер на op, ivan_erohin, 27-Мрт-23, 10:56 (139)
- Оборжаться Что ещё расскажешь , Аноним, 26-Мрт-23, 20:32 (116) //
  - а в чем проблема-то зеленых плашек с именем организации в адресной строке нет, пох., 26-Мрт-23, 21:29 (121) //
    - Когда будут, тогда и обсудим Пока что это даже не гипотеза, так 8212 шёпот г, Аноним, 27-Мрт-23, 02:09 (126)
сообществом кого , Аноним, 26-Мрт-23, 13:10 (57)
А слабо по 7 дней сертификаты делать , Аноним, 26-Мрт-23, 13:23 (59) //
- Тебе никто не мешает менять сертификаты хоть каждый день , Аноним, 26-Мрт-23, 13:57 (70)
- ну к этому все и идет ведь , пох., 26-Мрт-23, 14:05 (74) //
  - всё идет к тому, что смертификаты будут выдавать на один час, и только если на, Аноним, 26-Мрт-23, 14:15 (78) //
    - Ситауция с сертификататми вообще странная Все говорят надо бороться с слежкой, Kuromi, 26-Мрт-23, 15:01 (91)
      - Если у тебя нет TLS, то тебе можно инъектировать вредоносный JavaScript С экспл, Аноним, 26-Мрт-23, 15:11 (93)
        
        Вот только примочки вроде WebUSB давно уже требует Secure Context и без HTTPS да, Kuromi, 26-Мрт-23, 15:17 (94)
        
        Тут же народ об обрезании функционала для сайтов без TLS ноет Совсем житья не д, Аноним, 26-Мрт-23, 19:31 (109)
        
        ну давай, инъектируй мне чего нибудь, прямо здесь, на этом сайте ты же можешь , Аноним, 26-Мрт-23, 15:57 (97)
        
        ОПСОС может Более того, активно этим занимается Привет, мегавонь , Аноним, 27-Мрт-23, 14:20 (144)
        я не смогу а вот опсосы из РФ вставляли рекламу клиентам в http успешно и провин, ivan_erohin, 31-Мрт-23, 07:52 (163)
    - Вот, я который раз и говорю мыши дохли, травились, но продолжали жрать бесплат, InuYasha, 27-Мрт-23, 10:35 (138)
  - Семь дней это дофигаВон mjg59 вообще задвигает что каждую минуту менять надоThe , Аноним, 27-Мрт-23, 16:44 (146) //
    - Тут скорее - не можешь победить - возглавь То есть чувак считает норм что в депл, пох., 28-Мрт-23, 00:02 (151)
      - все уже придумано лет 5 как хашикорп ваулт безопастно выдает девопс-автоматике к, ivan_erohin, 31-Мрт-23, 07:58 (164)
- скажу больше - какой-нибудь mesh в кластере может менять сертификаты гораздо чащ, амоним, 26-Мрт-23, 14:08 (75) //
  - Угу, потом пара десятков нод из него выпадут, а взлетать придётся руками Хотя од, Tron is Whistling, 30-Мрт-23, 09:17 (160) //
    - Угу , вторую неделю не могли провести рутинную операцию в кластере этих ляпнутых, пох., 31-Мрт-23, 13:42 (165)
Надевает он гамаши, говорят ему - не Ваши Надевает он пальто, говорят ему - не , Ыкспёрт опённета, 26-Мрт-23, 14:27 (80) //
- Больше Лакомств Явы да ты в своём уме, Аноним, 26-Мрт-23, 14:53 (90)
- минут Ишь чего захотел, 30 дней , пох., 26-Мрт-23, 16:12 (99)
и чем это упрощает жизнь Может тогда еще внедрят по 30 дней в каждом месяце В, Аноним, 26-Мрт-23, 14:50 (88) //
- не тебе же а летсшиткрипту Вот ты и бесишься , пох., 26-Мрт-23, 16:13 (100)
С letsencryptom не знаком, потому прошу консультации, люди добрые Можно ли вы, Чукча, 26-Мрт-23, 20:42 (117) //
- нет Нужно подтвердить что ты владеешь доступом к домену или сайту ну например , пох., 26-Мрт-23, 20:56 (119) //
  - Спасибо, но понимания больше не стало То ли я туп, то ли Вы - плохой разсказщик, Чукча, 30-Мрт-23, 15:33 (161) //
    - вообще-то этот сайт давно уже годится только для троллинга, а не просветительско, пох., 30-Мрт-23, 18:56 (162)
      - gt оверквотинг удален Спасибо за ответ Углублюсь в тему на досуге , Чукча, 18-Апр-23, 14:21 (177)
Непонятно что значит сообществом , подскажите пожалуйста -1 что это за сообще, Аноним, 26-Мрт-23, 23:41 (124) //
- 8211 2 - неужели мой вопрос такой сложный пусть оно не имеет названия, л, Аноним, 28-Мрт-23, 15:52 (154) //
  - Ну, как тебе попроще вот смотри, теравады одно из самых старых и респектабел, пох., 28-Мрт-23, 22:21 (155) //
    - А эту вот карму , КТО контролирует - Тоже сообщество Ну типа - садятся и р, Аноним, 29-Мрт-23, 22:42 (156)
Вот какая заботливая компания, всё для людей , Аноним, 27-Мрт-23, 04:56 (128)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру