| 1.3, Нанобот (ok), 09:48, 25/10/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 >прекращает доверие
как-то это не по-русски звучит. может лучше "перестаёт доверять" или "больше не доверяет"?
| | |
| |
| 2.17, Джо (?), 10:58, 25/10/2016 [^] [^^] [^^^] [ответить]
| +12 +/– |
"В связи с утратой доверия" - во так надо по-русски
| | |
| 2.21, A.Stahl (ok), 11:36, 25/10/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Может таки "перестанет доверять"? А то "перестаёт" как-то... в процессе получается. Всё перестают и перестают, никак не перестанут:)
| | |
| |
| 3.44, Michael Shigorin (ok), 13:15, 25/10/2016 [^] [^^] [^^^] [ответить]
| +/– |
 > Может таки "перестанет доверять"? А то "перестаёт" как-то... в процессе получается.
> Всё перестают и перестают, никак не перестанут:)
"я такая доверчивая, непредсказуемая такая..."
PS: что-то не припоминаю таких метаний MoCo по поводу всё того же Comodo, который куда как серьёзней накосячил. Глянул быренько -- тоже не вижу. Никто не напомнит?
| | |
| |
| 4.62, KonstantinB (ok), 18:08, 25/10/2016 [^] [^^] [^^^] [ответить]
| +3 +/– |
 Комода по всем законам природы должна была ещё в 2011-м проследовать туда же, куда в то же время направился DigiNotar. Полагаю, Комода всех тогда неплохо проспонсировала, и с тех пор это стало регулярной практикой.
| | |
|
|
|
| |
| |
| 3.74, fi (ok), 23:13, 25/10/2016 [^] [^^] [^^^] [ответить]
| +/– |
 зато далее:
> Mozilla оставляет за собой право удалить данные корневые сертификаты в любой момент после марта 2017 года. | | |
|
| |
| 3.95, xm (ok), 18:06, 26/10/2016 [^] [^^] [^^^] [ответить]
| +/– |
 Для А+ там HTTP/2 не нужен, а вот TLS 1.2 и набор шифров подкрутить да. Плюс HSTS для "плюса" :-)
| | |
|
| |
| 3.123, Snaut (ok), 10:18, 07/11/2016 [^] [^^] [^^^] [ответить]
| +/– |
 > хех в первые вижу на опёнке https )))
> пс: врубите блин HSTS
если включить HSTS, то в ближайшие полгода ты не сможешь перейти обратно на работу сайта по http.
| | |
|
| 2.54, Z (??), 15:28, 25/10/2016 [^] [^^] [^^^] [ответить]
| +3 +/– | |
opennet.ru - WoSign
LOR - Comodo
LetsEncrypt - да ну его...
| | |
| 2.121, Snaut (ok), 10:07, 07/11/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> т.е. https://opennet.ru скоро превратится в тыкву?
Он уже давно тыква, посмотрите отчет об уязвимостях https://dev.ssllabs.com/ssltest/analyze.html?d=www.opennet.ru&hideResults=on
он уже дыра на дыре
ну раз есть https, то почему бы хотя бы не логинить пользователей через https. нет же, авторизация по http. мрак
на сервере стоит bginx 1.0.9. выпущен, минуточку, 5 лет назад. там админ вообще супер наивный человек. поражаюсь, как еще не поломали. видимо, просто интереса никакого нет
2011-11-01
nginx-1.0.9 stable version has been released.
| | |
| |
| 3.122, Аноним (-), 10:15, 07/11/2016 [^] [^^] [^^^] [ответить] | +/– | Это не уязвимости, а настройки HTTPS Не нужно слепо верить нагнетаемой вокруг H... большой текст свёрнут, показать | | |
| 3.124, Аноним (-), 10:21, 07/11/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> на сервере стоит bginx 1.0.9. выпущен, минуточку, 5 лет назад.
Покажите хоть одну дыру в nginx 1.0.9, серьёзных дыр в нём не было. А вот в более новых версиях, обросших http2 и прочим кодом не из рук Сысоева не факт, что дыр меньше и найдут их в первую очередь.
| | |
|
|
| |
| 2.7, Тыквонимус (?), 10:00, 25/10/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Не стреляйте в тапера, он играет как умеет. Когда приспичит, переведут на вменяемое, что вы зубоскалите.
| | |
| |
| 3.81, Аноним (-), 09:55, 26/10/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
Нафига на сайте размещено 100500 статей о Let's encrypt? Давайте еще форум на ASP.NET перепишем, чего уж там.
| | |
|
| 2.18, Аноним (-), 10:59, 25/10/2016 [^] [^^] [^^^] [ответить]
| +/– |
>> opennet.ru
>> Verified by: WoSign CA Limited
> Ахахаха
Там SHA-256, поэтому действия Mozilla его не накроют.
| | |
| 2.36, А (??), 12:52, 25/10/2016 [^] [^^] [^^^] [ответить]
| +/– | |
Да ладно, Opennet доберется и прикрутить Let's Encrypt, да и все, проблема-то. Прямо по теме сайта и будет.
А вот куча народа, набравшая себе "бесплатных", но не беспалевных сертов от китайцев, они не все осилят запилить LE себе (почему-то).
| | |
| |
| 3.49, Аноним (-), 13:27, 25/10/2016 [^] [^^] [^^^] [ответить]
| –3 +/– |
Let's Encrypt на 3 месяца выдаёт, а WoSign на три года
LE идёт лесом
| | |
| |
| |
| |
| 6.75, Crazy Alex (ok), 00:21, 26/10/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
 У меня есть инструменты для автоматизации апдейтов. И то же самое относится к сертификатам.
| | |
|
|
| 4.52, Аноним (-), 15:06, 25/10/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
А есть разница? Да хоть на неделю. Разве что вы собрались их руками обновлять...
| | |
| |
| 5.73, Sw00p aka Jerom (?), 23:04, 25/10/2016 [^] [^^] [^^^] [ответить]
| +/– |
> А есть разница? Да хоть на неделю. Разве что вы собрались их
> руками обновлять...
а чем вы раньше обновляли ? япосмотрю как вы EV будете обновлять.
пс: ждите, скоро повалит в новостях как через ЛЕ подписывают сертификаты на чёжие домены.
| | |
| |
| 6.76, Crazy Alex (ok), 00:25, 26/10/2016 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Ну как бы вся идея IT в том, чтобы переложить ручной труд на машину. А с EV - пройдёт пара лет, устаканится протокол Let's Encrypt, повыловят баги - там и поглядим. Когда-то и файлик hosts вручную между машинами тягали.
А то, что уязвимости могут быть - так ясен пень. Вот поэтому и надо подождать с серьёзным применением, как и с любыми другими новинками. Но это ж, блин, не повод хотеть вечно руками сертификаты пихать!
| | |
| |
| 7.86, Sw00p aka Jerom (?), 13:07, 26/10/2016 [^] [^^] [^^^] [ответить]
| +/– | |
По поводу автоматизации, она нужна тем у кого парк серверов, сам ЛЕ расчитан на одиночные массовые vps-ки, а что касается крупных игроков с парком серверов то им легче свой CA поднимать, чем пользоваться ЛЕ.
Пс: касаемо vps-ок, то я считаю, что каждый уважающий себя (крупный) хостер должен выдавать своим клиентам бесплатно.
Пс2: 1 раз в год - не вечность, зачем нужно было менять период валидности сертитката? Тут и всплывает возмущение, зачем нужно каждые 90 дней оюновлять его, если стандартная практика - один раз в год. Халявщиков, даже если и минута, будет устраивать, отнекиватьс автоматизацией не нужно, механизм автоматизации ЛЕ - костыль. Верификацию нужно было делать на базе днс, и толкать всех узать днссек.
| | |
| |
| |
| |
| 10.101, xm (ok), 23:28, 26/10/2016 [^] [^^] [^^^] [ответить] | +/– | Срок действия короток не от того, что он не продакшн реди , а секьюрности ради ... текст свёрнут, показать | | |
| |
| |
| 12.104, xm (ok), 00:40, 27/10/2016 [^] [^^] [^^^] [ответить] | +1 +/– | Ну так тоже секурность - А я и так У меня скриптом на базе Let s Encrypt Ав... текст свёрнут, показать | | |
|
|
|
|
|
|
| 6.78, Аноним (-), 00:56, 26/10/2016 [^] [^^] [^^^] [ответить]
| +/– |
Lets Encrypt, если не ошибаюсь, не выдает EV-сертификаты, поэтому их не придется обновлять руками.
| | |
| |
| 7.85, Sw00p aka Jerom (?), 12:52, 26/10/2016 [^] [^^] [^^^] [ответить]
| +/– |
Ну ясен пень, кто знаком с EV поймет, что просто по API его не получишь, и нуно ждать 3 дня звонка. А ЛЕ просто не осилило продумать этот механизм
| | |
|
|
|
|
|
|
| 1.8, abi (?), 10:22, 25/10/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Отлично, ну и куда мигрировать? Стартком удобен был для личного почтового сервера.
| | |
| |
| |
| |
| 4.19, Аноним (-), 11:03, 25/10/2016 [^] [^^] [^^^] [ответить]
| +/– |
Неужели трудно запустить рядом с почтовым сервером и http-сервер? В Let's Encrypt он даже из коробки есть.
| | |
| 4.25, angra (ok), 12:14, 25/10/2016 [^] [^^] [^^^] [ответить]
| –2 +/– |
 Если у тебя нет http сервера, то какая тебе разница чему доверяет или не доверяет браузер?
| | |
| |
| 5.83, abi (?), 10:33, 26/10/2016 [^] [^^] [^^^] [ответить]
| +/– | |
Браузер - никакой разницы, но Thunderbird будет в бешенстве, да и на спамоловках наверняка накинут штрафных баллов.
Видимо, придётся внутри поднять простейший www-сервер и пробрасывать http в клетку.
| | |
|
|
| 3.15, Аноним (-), 10:57, 25/10/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
Корневой сертификат Let's Encrypt только в хранилище Mozilla. В Google, Apple и MS его ещё не приняли, поэтому он держится только на кросс-сертификате от IdenTrust, т.е. полностью зависит от IdenTrust. IdenTrust может закрыться, он может быть скомпрометирован или просто отозвать кросс-сертификат. Поэтому с Let's Encrypt не всё так хорошо как кажется.
| | |
| |
| 4.34, Аноним (-), 12:50, 25/10/2016 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>> IdenTrust может закрыться
Это не аргумент, поскольку он применим вообще к любому УЦ.
| | |
| |
| 5.45, Michael Shigorin (ok), 13:17, 25/10/2016 [^] [^^] [^^^] [ответить]
| +3 +/– |
>>> IdenTrust может закрыться
> Это не аргумент, поскольку он применим вообще к любому УЦ.
Это аргумент, который применим к любому УЦ.
| | |
| |
| 6.79, Аноним (-), 00:58, 26/10/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
>>>> IdenTrust может закрыться
>> Это не аргумент, поскольку он применим вообще к любому УЦ.
> Это аргумент, который применим к любому УЦ.
Окей, но это не аргумент против _конкретного_ УЦ.
| | |
|
|
| 4.37, А (??), 12:53, 25/10/2016 [^] [^^] [^^^] [ответить]
| +/– | |
С китайцами вообще ничего не хорошо, кроме того, что давали одно времени на 3 года бесплатно. Ну и покупка тайная криво выглядит, зачем они так?
> Поэтому с Let's Encrypt не всё так хорошо как кажется. | | |
| 4.96, xm (ok), 18:13, 26/10/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> IdenTrust может закрыться
Они будут в числе последних тогда, поскольку поддерживают инфраструктуру крупнейших мировых финансовых учреждений, а также ряда американских государственных структур.
| | |
|
|
|
| 1.16, rmrm (?), 10:57, 25/10/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
Ну что ж, картель CA успешно потопил посмевших раздавать бесплатные сертификаты "наглецов", сейчас ещё прикроют Let's Encrypt (под тем или иным предлогом, либо сам закроется), и у миллионов человек не останется никакого выхода кроме как покупать платные сертификаты. Пути миграции с HTTPS обратно на HTTP нет никакого, даже если поставить редирект - чтобы браузер не нарисовал красную страницу на весь экран, с HTTPS-стороны обязательно должен быть валидный сертификат. Возможно таким и был план с самого начала, в том числе причина запуска LE как такового. Подсадить всех на HTTPS, потом поубирать один за другим бесплатные варианты (два из трёх только что прибили одним махом), и вуаля, кол-во клиентов которым нужны серты увеличивается на порядок.
| | |
| |
| 2.27, pkdr (ok), 12:14, 25/10/2016 [^] [^^] [^^^] [ответить]
| +7 +/– |
 При этом дырявый comodo мозилла что-то не хочет убирать.
| | |
| 2.30, arzeth (ok), 12:28, 25/10/2016 [^] [^^] [^^^] [ответить] | –3 +/– |  Да какой ещё тут корыстный умысел, тут обычный здравый смысл который иногда жес... большой текст свёрнут, показать | | |
| 2.35, Аноним (-), 12:51, 25/10/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
А вести дела добросовестно - не? Или надо обязательно придерживаться принципа дядюшки Ляо - если продукт выглядит как настоящий, то этого достаточно, чтобы выйти с ним на рынок?
| | |
| |
| 3.47, Michael Shigorin (ok), 13:21, 25/10/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> А вести дела добросовестно - не?
Это в принципе не про коммерческие CA, как мне кажется. Также не про банки и страховщиков.
| | |
|
| 2.39, Аноним (-), 12:57, 25/10/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Ну что ж, картель CA успешно потопил посмевших раздавать бесплатные сертификаты "наглецов",
> сейчас ещё прикроют Let's Encrypt (под тем или иным предлогом
Расследование всех этих инцидентов инициировала и провела сама Mozilla. А теперь они потопят свой же Let's Encrypt?
Вы там завязывайте пороть чушь с умным видом.
| | |
| 2.46, Michael Shigorin (ok), 13:20, 25/10/2016 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Пути миграции с HTTPS обратно на HTTP нет никакого
Ну почему, самоподписанный в качестве полпожара. Но ведь ещё на всякий HSTS подпёрли и "небезопасностью" нешифрованного соединения в браузерах (расскажите это "исключительным" спецслужбам, ага).
| | |
| 2.59, Аноним (-), 16:42, 25/10/2016 [^] [^^] [^^^] [ответить]
| +/– | |
>сейчас ещё прикроют Let's Encrypt
Пусть прикрывают. Эти ребята изначально хотели всех насадить на свою систему, чтобы потом бабло вытягивать. Но, общество поняло и послало их намерия. Они от безысходности начали делать "как правильно", но было уже поздно. Так что пусть загнутся. И чем раньше, тем лучше. А китайцы, вот, молодцы, тихо, удобно, без накруток и выкрутасов стали известны на весь мир.
| | |
| 2.93, нах (?), 17:29, 26/10/2016 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Ну что ж, картель CA успешно потопил посмевших раздавать бесплатные сертификаты "наглецов"
+1
> сейчас ещё прикроют Let's Encrypt
не прикроют, это член картеля. Собственно, для него и старались.
> и у миллионов человек не останется никакого выхода кроме как покупать платные сертификаты
или научиться устанавливать цепочки доверия вручную. Что и следовало сделать с самого начала.
Я, вероятно, пойду этим путем, а не установкой LE с его чудо-скриптами с двойным дном.
| | |
|
| |
| 2.31, Crazy Alex (ok), 12:31, 25/10/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Проблемы с почтой были во времена бета-тестирования. Но если кто его собирается применять для чего-то важного в течение хотя бы года ещё - ССЗБ. Понятно, что должно пройти время и быть выловлены косяки. А так - подкрутят/пофиксят, делов-то.
| | |
| 2.33, XXXasd (ok), 12:43, 25/10/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > Mozilla, как учредитель Let's Encrypt, устраняет конкурентов?
и лучше бы устранил их всех..
(вся этп продажа воздуха -- очень вредит конечным потребителям)
..а после внедрения DNSSEC (DANE) пусть и Letsencrypt тоже устранят
| | |
| |
| 3.41, Crazy Alex (ok), 13:01, 25/10/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
DANE/DNSSEC - тупая идея. Заставляет доверять не выбранной тобой сущности, а владельцу домена верхнего уровня. Да и ключи там убогие. Единственное здравое зерно - возможность гвоздями прибить CA ещё до того, как клиент первый раз зашёл на сайт (потому что после это можно сделать через Certificate Pinning).
| | |
| |
| 4.94, Sw00p aka Jerom (?), 17:45, 26/10/2016 [^] [^^] [^^^] [ответить]
| +/– |
> DANE/DNSSEC - тупая идея. Заставляет доверять не выбранной тобой сущности, а владельцу
> домена верхнего уровня.
Родили меня мои родители, а я им не доверяю )) Роди меня святой дух пжлста. (как указал выше там цепь доверия - иерархия, что логично)
Certificate Pinning, HSTS это всё костыли, если реализовать безопасную схему ДНС(СЕК) то всё автоматом встанет на свои места. Умрут все CA, и валидно для сайта то, что прописано у него в домене.
цитата из вики:
Принцип работы
Перед установлением безопасного соединения (HTTPS, TLS для любого поддерживающего протокола) клиент совершает ряд дополнительных DNS-запросов. В ответах на эти запросы клиенту передаются параметры сертификата или сам сертификат. При этом клиент устанавливает связь с сервером, адрес которого валидирован DNS-сервером клиента посредством DNSSEC. После открытия соединения клиент верифицирует ответ сервера при помощи имеющегося сертификата либо его цифрового отпечатка (fingerprint).
а для всего этого достаточно ввести надёжный механизм получения этих данных из ДНС, что и есть ДНССЕК.
| | |
| |
| 5.97, xm (ok), 18:19, 26/10/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Certificate Pinning, HSTS это всё костыли, если реализовать безопасную схему ДНС(СЕК) то всё автоматом встанет на свои места
"Смешались в кучу кони, люди..."
| | |
| |
| 6.98, Sw00p aka Jerom (?), 21:58, 26/10/2016 [^] [^^] [^^^] [ответить]
| +/– |
Чаво? Все сводится к вайтлистингу самого домена (hsts) и его ключа (certifiate pinning) на стороне клиента, собственно браузера, аналогия с временами hosts файла когда не было dns, а раз уж есть dns и механизм защищенной передачи данных (dnssec) почемубы не хранить сертификаты, хеши публичных ключей и всякую хрень в самом dns? Dane как раз для этого и нужен
| | |
| |
| 7.99, xm (ok), 23:03, 26/10/2016 [^] [^^] [^^^] [ответить]
| +/– |
Я ничего против DANE не имею и даже планирую его реализовать на своих серверах в ближайшей перспективе. Однако не вижу причин автоматической аннуляции использования HSTS и HPKP, каковые уже реализованы. Последние же, как вы верно подметили, реализуются на уровне клиента.
То есть налицо ещё один уровень защиты, отнюдь не лишний.
| | |
|
|
|
| 4.100, xm (ok), 23:16, 26/10/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> DANE/DNSSEC - тупая идея. Заставляет доверять не выбранной тобой сущности, а владельцу домена верхнего уровня
А в случае с сертификатами TLS (о ужас!) заставляет доверять владельцам сертификатов более высокого уровня.
И да, прибивать CA идея хреновая, потому что, например, с его помощью (до дефекту реализации, как это случилось у WoSign и иже с ним или по злому умыслу) может выпустить левый сертификат для вашего домена.
Так что прибивать надо leaf'ы.
| | |
| |
| 5.107, Crazy Alex (ok), 03:27, 27/10/2016 [^] [^^] [^^^] [ответить]
| +/– | |
Вопрос в другом: Что бывает, когда ловят CA - мы знаем. Что будет, когда поймают за руку RIPN? Обычно всё же CA и владельцы доменов первого уровня сильно различаются по "весу" (Verisign - мрачное исключение).
Опять же - не надо давать держателям доменов первого уровня лишний соблазн - CA поменять просто, а в другой домен уйти - морока гораздо большая.
А что прибивать надо leaf-ы - согласен, конечно.
| | |
| |
| 6.109, Sw00p aka Jerom (?), 12:21, 27/10/2016 [^] [^^] [^^^] [ответить]
| +/– |
На счет CA сделали демократию, позволили любому стать CA спокойно, зависимости в одной точке нет, что и порождает всякие неприятные и не доверительные доводы. В случае с DNS все иерархично от одного корня и вниз по дереву, что порождает обязательную цепочку доверия, любые казусы на любом уровне можно пресечь, не на корневом уровне, хотя я сталкивался с казусом когда все это произошло на одном из корневых зеркал отвечающих за мой TLD, возникает вопрос - с кого спрашивать за это? Альтернативы нет, без так называемого вакуумного доверия подругому не построиш систеиу. Как по мне лучше бы CA также организовали от одного корня,
| | |
|
|
|
|
| 2.50, arzeth (ok), 13:48, 25/10/2016 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Бесплатные сертификаты WoSign и StartCom значительно удоблее и не нужно раз в три месяца продлять.
Удобнее в краткосрочном плане. В долгосрочном же:
1) Можно забыть обновить серты. Люди постоянно забывают что-нибудь, даже если на почту слать письма. Let's Encrypt эту *уязвимость* (когда коммерческий сайт не доступен, деньги не появляются, следовательно это уязвимость) у Homo Sapiens Sapiens частично исправляют тем, что дают нам возможность это автоматизировать И создают нам мотивацию настроить крон.
2) Надо каждый N лет заходить на сайт CA и выкачивать серт для каждого домена. У меня 40 доменов, я же замучаюсь. А ведь ещё можно попасть в больницу/запой/армию; или интернет отключат на неделю, пока находишься в глухой деревне.
3) Наверное, это у меня такое было, но я зашёл в декабре 2015 на сайт StartCom, хотел обновить серт (за день до истечения), а авторизоваться не смог, потому что StartCom не принимал их специальный серт для авторизации (несколько браузеров пробовал и всё обгуглил), хотя раньше принимал.
> Какой-то однобокий подход, в Let's Encrypt тоже были проблемы и база email пользователей утекала.
Косяков не делает тот, кто ничего не делает. И если косяки и негигантские, и признаются, и исправляются быстро, то такому CA доверять стоит.
| | |
| |
| 3.71, alex53 (ok), 20:43, 25/10/2016 [^] [^^] [^^^] [ответить]
| +/– |
 1. Сам себе злобный буратино. startcom уведомляет об истечении сертификата за 2 недели.
2. У startcom недавно появился API. Теперь все можно скриптовать.
3. См п.1
| | |
|
|
| 1.22, mva (??), 11:55, 25/10/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 1) утёкшая база E-mail это, всё же, не выпуск задним числом и не выпуск на чужой домен.
Согласитесь, разного порядка косяки-то
2) на самом деле, есть ещё один способ получать бесплатные сертификаты (даже вайлдкарды) подписанные GlobalSign, но я вам его не скажу, лол :)
| | |
| |
| 2.38, А (??), 12:54, 25/10/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
> 1) утёкшая база E-mail это, всё же, не выпуск задним числом и
> не выпуск на чужой домен.
> Согласитесь, разного порядка косяки-то
> 2) на самом деле, есть ещё один способ получать бесплатные сертификаты (даже
> вайлдкарды) подписанные GlobalSign, но я вам его не скажу, лол :)
https://www.globalsign.com/en/ssl/ssl-open-source/ ?
| | |
| 2.40, Аноним (-), 12:58, 25/10/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
> 2) на самом деле, есть ещё один способ получать бесплатные сертификаты (даже
> вайлдкарды) подписанные GlobalSign, но я вам его не скажу, лол :)
Жадинаговядина :Ь
| | |
|
| 1.24, Аноним (-), 12:07, 25/10/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Если кто-то использует старый браузер, где он может взять списки действительных и отозванных сертификатов?
Можно ссылки?
| | |
| |
| |
| 3.42, Crazy Alex (ok), 13:02, 25/10/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
А тот же файрфокс ими пользуется в результате? Я вот смутно вспоминаю, что нет.
| | |
| |
| |
| 5.60, Ergil (ok), 17:23, 25/10/2016 [^] [^^] [^^^] [ответить]
| +/– |
 Проверяется просто. Mozilla Firefox и его производные используют собственные встроенные списки. Chromium и его производные используют системные той системы в которой установлены.
| | |
| |
| 6.64, Аноним (-), 18:44, 25/10/2016 [^] [^^] [^^^] [ответить]
| +/– |
Спасибо.
А если кто-то использует старый Firefox, где он может взять списки действительных и отозванных сертификатов?
Можно ссылки?
| | |
|
|
|
|
|
| 1.58, Аноним (-), 16:37, 25/10/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Е-моё. Скоро Мозилла превратится в Оракл и начнет требовать бабло "чтобы в нашем броузере ваши серты были валидными". Кому какое дело откуда сертификаты, если люди, которые ими пользуются частные лица и используют их для частных нужд? Да и вообще, идиотов мозилловцы не вылечат, если человек при совершение баблосделок не проверяет сертификаты, источники, название сайта, кто, что, как, куда, зачем, то ЭТО (забота о центрах сертификации) их НЕ спасет. Как окручивали л--ов, так и будут. С вмешательством мозилловцев или без их участия.
| | |
| |
| 2.63, Аноним (-), 18:13, 25/10/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
Думаете как совок! Другие браузеры тоже внедряют прозрачную валидацию и поддерживают фонды Lets Encrypt
| | |
| |
| 3.108, Аноним (-), 11:23, 27/10/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Думаете как совок! Другие браузеры тоже внедряют прозрачную валидацию и поддерживают фонды
> Lets Encrypt
Но с аддонами они именно это и сделали - залочили все подписями, без возможности добавить свой ключ. Денег правда пока еще не требуют, но это наверное временно.
| | |
|
|
| 1.67, CHERTS (??), 20:01, 25/10/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– |
 Гори в аду чертова Мозилла вместе с Let's Encrypt!
WoSign единственный CA который выпускал бесплатно сертификаты > 1 года, теперь не осталось альтернатив, покупайте платные сертификаты называется.
Посмотрим что будет когда Let's Encrypt облажается и выпишет сертификат на google.com левому человеку.
| | |
| |
| 2.77, Crazy Alex (ok), 00:29, 26/10/2016 [^] [^^] [^^^] [ответить]
| +/– |
Да что будет - найдут дыру и поправят. А найдут быстро - на то есть pinning и CT.
| | |
| 2.113, Адекват (ok), 15:07, 27/10/2016 [^] [^^] [^^^] [ответить]
| +/– |
 > Гори в аду чертова Мозилла вместе с Let's Encrypt!
> WoSign единственный CA который выпускал бесплатно сертификаты > 1 года, теперь не
Виновата не моззила, а WoSing.
Это как "правильный пацан", который сначала по синей лавочек отпинал прохожего (ни в чем не виноватого), а потом слезы льет, что на него дело завели. И его кореша еще к отпинаному предъявляют - ну ты че не мужик, с кем не бывает, ну отпинали тебя, у тебя поболит и пройдет, а наш кореш на зону отправиться !!
| | |
|
| 1.80, FSA (??), 07:27, 26/10/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Всё-таки я не понял, StartCom - это тот самый, что выдаёт сертификаты на StartSSL.com или нет?
| | |
| 1.84, Пользователь StartSSL (?), 11:29, 26/10/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Они уже отреагировали, вот что в в их панели управления:
Mozilla decided to distrust all StartCom root certificates as of 21st of October, this situation will have an impact in the upcoming release of Firefox in January. StartCom will provide an interim solution soon and will replace all the issued certificates from that date in case of requested. Meanwhile StartCom is updating all their systems and will generate new root CAs as requested by Mozilla.
| | |
| 1.112, Аноним (-), 14:22, 27/10/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
Меня неприятно удивляет количество комментаторов, для которых важен только срок действия сертификата.
// И даже никто не посетовал о wildcard'ах...
| | |
| |
| 2.114, Адекват (ok), 15:09, 27/10/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Меня неприятно удивляет количество комментаторов, для которых важен только срок действия
> сертификата.
> // И даже никто не посетовал о wildcard'ах...
А нам это не нужно, нам нужно, чтобы на моем джаббер-сервере были валидные сертификаты на cs2 и s2s соединения. И да - обязательное межсерверное шифрование.
| | |
|
|
