Pull to refresh

Comments 19

О, зашевелились чертяки продающие воздух. Советуют не доверять тем, кто даёт воздух бесплатно.
Мне нравится отдельно про обновление LE сертов «напоминание»:
Вы можете, конечно, перевыпускать сертификат каждые 3 месяца, но обязательно следите за сроками.

Автоматическое обновление. Этот способ подразумевает, что вы принимаете автоматические настройки, предусмотренные Центром сертификации. И тут нужно понимать, что вы таким образом даёте свое согласие на то, что ЦС может вносить изменения по своему усмотрению в ПО и настройки вашего сервера.


Бред и бред же: с сертом от других ЦС обновлять можно только руками (так что следить и следить, да еще ходить по всяким личным кабинетам, чтобы забрать серт), а что автообновление сертификата позволяет «вносить изменения по своему усмотрению в ПО и настройки вашего сервера» — это прямо раскидистая клюква.

Теперь, правда, GlobalSign себя загнал в ловушку: если сделают автообновление их сертификатов, то подпадут под свою же «критику номер два», если не сделают — отгребают по своей критике про то, что «следить надо».

Но самое важное: GS стыдливо замалчивает момент того, что в 99% случаев вполне хватает DV-сертификатов (чем и занимается LE), и отличные, в принципе, серты от GS как бы нужны (и стоят своих денег) только для оставшегося 1%.
А не нужно сертификаты расценивать как то, чем они не являются. Они сделаны для шифрования и для проверки, с какой стороной мы разговариваем. Они не сделаны, чтобы автоматически сделать оплату на сайте безглючной, или чтобы обойти мошенников, или еще чего-то.

LE борется за безопасность — чуть не единственные, кто сразу же среагировал и начал думать над решением. Платные ЦС обычно молчат тихо и патчат по возможности, но не публично: потому что им не выгодно привлекать к сертификатам внимание в разрезе доверия к ним.

Общий маркетинг сертификатов — если вы за них не платите, вам не доверяют, но если вы платите за них, проблемы сами собой пропадают. А чем больше вы платите, тем меньше проблем. Фигушки, как говорится — 99% посетителей сайтов EV отметят только по приятному зеленому цвету в адресной строке, но на том дело и закончится.
Да даже хуже, в статье по ссылке говориться о том, что, например, браузер Safari не показывает URL для EV сертификатов. Вместо этого отображается название компании. Как по мне, так лучше уж черная ссылка, чем такая зеленая надпись.
Ждем теперь такого рода посты про всех конкурентов GS — потому что LE оторвет от рынка приличный кусок, и всех старым (и привыкшим зарабатывать) компаниях придется делить меньший кусок доходов, пихаясь локтями и стараясь оказаться самыми-самыми.

Притом заслуга здесь не их, а авторов списка ЦС, встренного в браузер — кто в нем оказался, никак не останется без денег, даже если будет вести себя как можно более вызывающе (вспомним тему с Symantec). Некая цифровая богоизбранность?
Перевыпуск сертификата можно осуществить тремя способами: вручную, за счет настройки планировщика задач cron или автоматически

одного не понял: почему крон — это не "автоматически", и что такое тогда "автоматически"?

Видимо, под "автоматически" имеется в виду автоматический режим официального клиента, который работает с правами root и, в теории, может быть скомпрометирован. Хотя под капотом он всё равно cron использует. Под вторым вариантом, видимо, подразумевают ручную настройку клиента с ограниченными правами.

ну типа если в кроне ошибка, а вывод ошибок ты отправил в /dev/null — результат все сломалось значит нужно следить
ну или нужен сложный танец с бубном что бы мониторить валидность сертификата, срок действия сертификата и успешность процеса обновления.

Можно добавить что выпуск сертификатов на три года теперь невозможен (с 1 марта 2018). Так что обычные поставщики сертификатов потеряли один из плюсов.
А задержка с выпуском в прод wildcard сертификатов это очень грустно. Буквально сидел и ждал когда настанет 27-е февраля…
UFO just landed and posted this here
3. Если вдруг произойдёт взлом бесплатного сертификата, то денежную компенсацию никто вам не предоставит.
впервые слышу про взлом выданных сертификатов. Там уж скорее были случаи, когда выдавались вторые, и третьи сертификаты.
GlobalSign решил раздуть из мухи слона и нажиться на временном неудобстве Let's Encrypt?
По этому все ссылки с UTM-метками utm_campaign=lets%20encrypt
3. Если вдруг произойдёт взлом бесплатного сертификата, то денежную компенсацию никто вам не предоставит.


А были случаи когда кто то выплачивал эту компенсацию?
Эти слова важны не простым людям, а юристам из банков и прочих «сурьезных» людей — а они, думаю, получат отсудят что нужно.
А сурьезным нужно оно в т.ч. и для повышения своего рейтинга в момент выхода на IPO, например — мол, они таки не плюют на безопасность, и платят вот каким ответственным ЦА.
Цепочка веры друг в друга, да.
Let's Encrypt выдаёт очень много сертификатов вредjносным сайтам, которые используются для фишинга. Например, между 1 января 2016 года и 6 марта 2017 года Let's Encrypt выдал сертификаты для 15 720 доменов со словом “PayPal” в названии

А ведь до этого кто-то зарегистрировал эти домены. Что-то не слышно крика что «регастраторы выдают слишком много доменных имен, использующихся для фишинга».
Так и Let's Encrypt тут совершенно не при чем.
  1. Если вдруг произойдёт взлом бесплатного сертификата, то денежную компенсацию никто вам не предоставит.

Я тут посмотрел размер гарантий для расширенных сертификатов.
1,25 миллиона долларов США для OrganizationSSL и 1,5 миллиона долларов США ExtendedSSL.
Интересно, а прецеденты были?
А то так можно с одним взломанным сертификатом и бизнес прикрыть.
Кстати, не вижу размера гарантийных обязательств для самого дешевого сертификата (кстати, 294$ за обычный сертификат на год, серьёзно?!).

Sign up to leave a comment.