Comments 30
Вот почему нужно использовать сертификаты с автопродлением, вроде LE.
Качество статьи (с точки зрения орфограции и пунктуации) — как всегда на «уровне».
Не понимаю — куда опять люди, которые публикуют, спешат!?
Качество статьи (с точки зрения орфограции и пунктуации) — как всегда на «уровне».
Не понимаю — куда опять люди, которые публикуют, спешат!?
UFO just landed and posted this here
Сертификат был подписан доверенным центром сертификации GoDaddy, но не обновлялся с момента его истечения 17 декабря 2018 года.Ну, тут шотдаун не при чём, он начался только 22 декабря.
Оказывается не только у наших бюджетных учреждениях такая фигня :)…
UFO just landed and posted this here
У нас в России вообще самому нужно нужные корневые сертификаты ставить, чтобы всё корректно работало.
Один из аргументов против https everywhere. Идея хорошая, реализация — г-но на палочке, потому что все сертификаты expires.
Сделали бы on first visit сертификат, на всё последующее — молчаливое доверие ключу (как у ssh) — проблем бы не знали.
Сделали бы on first visit сертификат, на всё последующее — молчаливое доверие ключу (как у ssh) — проблем бы не знали.
Сделали бы on first visit сертификат
И ответственность за валидацию того, куда сходил пользователь, ложится на его плечи?
не-е-е-е-е, чего-то какой-то неправильный пример.
Т.е. да — сравнение сертификата, который сейчас и который был — это несомненно нужно.
Но точно — не бездумное сохранение первого, который отдается on first visit
Я ж и сказал: сертификат. Сертификат отличается от просто ключа наличием подписи от CA. Пришёл на сервер первый раз — долго мучительно проверяешь репутацию и думаешь, оно это или нет.
Как только поверил — сохранил сертификат, после этого веришь ключу. Можно глянуть CRL, но больше никакой валидации сертификата на сроки и т.д. Если мы доверяли сайту в прошлом, то пока нам явно не скажут «отозвано», то мы этому сайту продолжаем доверять.
… Но такое никто не будет делать, потому что всем нравится стричь бабло за краткосрочные сертификаты, экспайр которых ставит бизнес раком.
Как только поверил — сохранил сертификат, после этого веришь ключу. Можно глянуть CRL, но больше никакой валидации сертификата на сроки и т.д. Если мы доверяли сайту в прошлом, то пока нам явно не скажут «отозвано», то мы этому сайту продолжаем доверять.
… Но такое никто не будет делать, потому что всем нравится стричь бабло за краткосрочные сертификаты, экспайр которых ставит бизнес раком.
… Но такое никто не будет делать, потому что всем нравится стричь бабло за краткосрочные сертификаты, экспайр которых ставит бизнес раком.
эм… как можно стричь бабло на Let's Encrypt? Не совсем понимаю. Расшифруйте, пожалуйста.
Let's Encrypt делает вид, что решает эту проблему, а на самом деле он делает её ещё хуже.
Сейчас он гробит коммерческие конторы с продажей сертификатов, с одной стороны.
С другой стороны, если CA от LE ляжет, то мы останемся без половины интернета (а то и больше) в течение пары месяцев. Причём, LE настаивает на certbot'е, т.е. если с коммерческими сертификатами люди привыкли обновлять сами раз в N лет, то на LE все привыкают в режиме «включил — само работает».
Это пример дичайшей централизации единой точки отказа. Возможно, оборов лобби от PKI, они смогут заняться улучшением стабильности, но сейчас они работают строго в противоположном направлении.
Сейчас он гробит коммерческие конторы с продажей сертификатов, с одной стороны.
С другой стороны, если CA от LE ляжет, то мы останемся без половины интернета (а то и больше) в течение пары месяцев. Причём, LE настаивает на certbot'е, т.е. если с коммерческими сертификатами люди привыкли обновлять сами раз в N лет, то на LE все привыкают в режиме «включил — само работает».
Это пример дичайшей централизации единой точки отказа. Возможно, оборов лобби от PKI, они смогут заняться улучшением стабильности, но сейчас они работают строго в противоположном направлении.
С другой стороны, если CA от LE ляжет, то мы останемся без половины интернета (а то и больше) в течение пары месяцев.Чё это? Как минимум на файрфоксе, если просроченный сертификат, можно «Добавить исключение» и посмотреть сайт. Так пишите, как будто прям всё отрубится с концами.
Ну LE это не только одна конкретная компания, но и протокол ACME.
Будем надеяться, что какой-нибудь условный гугл реализует свой ЦА на ACME, сможет продавить его корневой везде (или так же кросс-подпиской сделает, как LE в молодости), а остальные подтянутся позже.
Проблема, правда, в том, что IT-отрасль сейчас стагнирует, очень много ресурсов уходит на попытки успеть за динамично развивающимся законодательством (и это не наша локальная проблема) — все компании ушли в себя и не делают ничего общественно полезного (да и качество продуктов хромать стало). Хотя можно Паше Дурову идейку подкинуть, может у него в команде есть руки на подобное.
Будем надеяться, что какой-нибудь условный гугл реализует свой ЦА на ACME, сможет продавить его корневой везде (или так же кросс-подпиской сделает, как LE в молодости), а остальные подтянутся позже.
Проблема, правда, в том, что IT-отрасль сейчас стагнирует, очень много ресурсов уходит на попытки успеть за динамично развивающимся законодательством (и это не наша локальная проблема) — все компании ушли в себя и не делают ничего общественно полезного (да и качество продуктов хромать стало). Хотя можно Паше Дурову идейку подкинуть, может у него в команде есть руки на подобное.
От того, что их будет больше, проблема не станет меньше. Точнее станет, но не существенно. Все они хотят частого обновления сертификатов, а это строго противоречит идее «работать, даже если чужой дядя лёг». И так у нас есть «core internet infrastructure» в форме DNS, не надо туда ещё одну централизованную сущность дотаскивать.
> Точнее станет, но не существенно.
Ну почему. Проблему можно решить указанием нескольких CA в конфиге certbot-а. Не работает первый (именно не работает, а не не проходит валидацию) — идём в следующий.
> И так у нас есть «core internet infrastructure» в форме DNS
А система сертификатов и так централизована by design. Просто мы привыкли к тому, что регистратора можно сменить в любой момент. Если ACME (и протокол, и инфраструктура вокруг него) будет позволять то же самое — почему нет?
Ну почему. Проблему можно решить указанием нескольких CA в конфиге certbot-а. Не работает первый (именно не работает, а не не проходит валидацию) — идём в следующий.
> И так у нас есть «core internet infrastructure» в форме DNS
А система сертификатов и так централизована by design. Просто мы привыкли к тому, что регистратора можно сменить в любой момент. Если ACME (и протокол, и инфраструктура вокруг него) будет позволять то же самое — почему нет?
А еще лучше использовать какой-нибудь thawte, который уже попал в CRL, но клиент об этом не знает, потому что кривой OCSP.
Можете прокомментировать habr.com/post/332730?
Можете прокомментировать habr.com/post/332730?
Спасибо, прочитал. Узнал много нового для себя. Это всё ещё не выглядит как решение проблемы децентрализации и зависимости от third party (хотя частично и ослабляет все эти CRL-заморочки).
Я знаю! Я знаю!!! Чтобы быть на волне хайпа — можно все сертификаты хранить в блокчейне )))) И все довольны.
/если что — это шутка/
/если что — это шутка/
Это не шутка. Я бы даже сказал, что хранить надо CRL. И он должен быть общий между CA, а все желающие должны иметь возможность синкнуть его. Как только приватный ключ CA/intermediate CA экспайрнулся, все сертификаты должны быть expired и такую штуку из чейна можно вытирать без вопросов. А дальше вопрос исключительно распределённого пула CA. Мне нравится. Очень.
Можно даже обязать все CA в белосписных в браузерах поддерживать общий пул и предоставлять OSCP-подобную штуку для всех (включая конкурентов).
Можно даже обязать все CA в белосписных в браузерах поддерживать общий пул и предоставлять OSCP-подобную штуку для всех (включая конкурентов).
Товарищ amarao дело говорит.
> ows2.usdoj.gov
Network Error (gateway_error)
An error occurred attempting to communicate with an HTTP or SOCKS gateway.
The gateway may be temporarily unavailable, or there could be a network problem.
Может он там и не нужен?
Network Error (gateway_error)
An error occurred attempting to communicate with an HTTP or SOCKS gateway.
The gateway may be temporarily unavailable, or there could be a network problem.
Может он там и не нужен?
Около 400 000 федеральных служащих в настоящее время находятся в вынужденном отпуске
Если отпуск оплачиваемый то у Трампа появилось 400 000 дополнительных потенциальных избирателей.
Если отпуск оплачиваемый то у Трампа появилось 400 000 дополнительных потенциальных избирателей.
Sign up to leave a comment.
Из-за шатдауна правительства США не продлены более 80 сертификатов TLS