| |
| |
| |
| |
| 5.32, Какаянахренразница (ok), 05:53, 04/12/2015 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
 >> (nginx support is experimental, buggy, and not installed by default)
> странно, почему апач в приоритетах ?
Версия: не хватает людей. Кто-то запилил поддержку апача, а на nginx просто не нашлось человека.
| | |
| 5.65, Аноним (-), 15:59, 04/12/2015 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– |
Да, в общем, разницы в том приоритете...
Тулзень нормально складывает сертификаты и ключи в одно место, а прописать их руками в конфиг сервера какая проблема?
| | |
|
|
|
| |
| |
| |
| 5.33, Какаянахренразница (ok), 05:56, 04/12/2015 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– | |
> Всем выдавали, кто делал запрос.
Нет. Я просил раз и мне выдали. А недели две назад попросил ещё для одного домена, так мне ответили, что закрытая бета заканчивается и предложили подождать до открытой беты.
| | |
|
| |
| 5.102, Аноним (-), 19:23, 08/12/2015 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
>> все, кому дозволили тестировать, а не просто все
> Я — маленький админ маленького хоста. Почти что локалхоста. Написал, спросил, дали.
> ЧЯДНТ?
Очевидно же: говорите за всех.
| | |
| |
| 6.103, scorry (ok), 19:38, 08/12/2015 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
 >>> все, кому дозволили тестировать, а не просто все
>> Я — маленький админ маленького хоста. Почти что локалхоста. Написал, спросил, дали.
>> ЧЯДНТ?
> Очевидно же: говорите за всех.
И где в моём предложении хотя бы одно обобщение?
| | |
|
|
|
|
|
| 1.4, AlexF (??), 21:50, 03/12/2015 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +31 +/– |
"Ожидается, что снятие барьера на получение подтверждённых сертификатов поможет поднять на новый уровень степень внедрения HTTPS в Web."
Казахстан уже готов! Каждому https-узлу дополнительный бесплатный сертификат от удостоверяющего центра КГБ Казахстана.
| | |
| |
| 2.47, Аноним (-), 10:42, 04/12/2015 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– |
> "Ожидается, что снятие барьера на получение подтверждённых сертификатов поможет поднять
> на новый уровень степень внедрения HTTPS в Web."
> Казахстан уже готов! Каждому https-узлу дополнительный бесплатный сертификат от удостоверяющего
> центра КГБ Казахстана.
Ты б не врал. Не каждому узлу - а каждому клиенту в браузер по СА от КНБ. Дабы трафик бампать. Причем все это будет сделано силами самих подон.... простите, пользователей. Вы сами должны поставить и доверить серту. А иначе хрен вам а не https.
| | |
| |
| 3.61, Chupaka (?), 14:33, 04/12/2015 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– |
 CA подписывает сертификат (с открытым ключом), а чтобы бампить трафик, нужен закрытый ключ. Его из сертификата не вытянешь, поэтому остаётся только сгенерировать новый подставной (а для того, чтобы бравзер не ругался - подписать его своим CA). Именно это и имел в виду AlexF.
| | |
| |
| 4.94, Аноним (-), 14:15, 06/12/2015 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –1 +/– |
> CA подписывает сертификат (с открытым ключом), а чтобы бампить трафик, нужен закрытый
> ключ. Его из сертификата не вытянешь, поэтому остаётся только сгенерировать новый
> подставной (а для того, чтобы бравзер не ругался - подписать его
> своим CA). Именно это и имел в виду AlexF.
Я случайно в курсе, как работае бамп. Спасибо, кэп.
| | |
|
|
|
| |
| 2.11, lucentcode (ok), 22:11, 03/12/2015 [^] [^^] [^^^] [ответить] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +3 +/– |
 SSL на большинстве сайтов внедряют для защиты от MITM-атак, совершаемых злоумышленниками. При этом большинству потребителей абсолютно всё равно, будет ли трафик к их сайту изучать АНБ.
| | |
| |
| 3.12, Michael Shigorin (ok), 22:16, 03/12/2015 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– |
 > SSL на большинстве сайтов внедряют для защиты от MITM-атак
Это хорошо согласуется с "и лишена бюрократических проволочек в вопросах проверки владельца", но плохо -- с самой бизнес-идеей CA.
| | |
| 3.42, Аноним (-), 09:45, 04/12/2015 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– | |
>SSL на большинстве сайтов внедряют для защиты от MITM-атак, совершаемых злоумышленниками. При этом большинству потребителей абсолютно всё равно, будет ли трафик к их сайту изучать АНБ.
Тут я завис. Если АНБ каким-то образом получило чужой трафик значит они уже совершили MITM атаку и уже являются злоумышленниками. Я всё-таки всегда считал что жертве хакерской атаки совершенно всё равно кто там его взломал, хоть Папа Римский, хоть АНБ. Преступник есть преступник, не зависимо от того кем он себя считает, войном аллаха или разведслужбой, он преступник.
| | |
| |
| 4.59, Crazy Alex (ok), 14:09, 04/12/2015 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– |
 Утрируя - если ты покупаешь бронзовую статуэтку обезьянки в интернет-магазине - тебе, вероятно, будет важно, чтобы данные твоей кредитки не уплыли "налево", но вот АНБ вряд ли будет тревожить. И таких ситуаций - подавляющее большинство.
| | |
| |
| 5.75, anonymous (??), 18:50, 04/12/2015 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
> Утрируя - если ты покупаешь бронзовую статуэтку обезьянки в интернет-магазине - тебе,
> вероятно, будет важно, чтобы данные твоей кредитки не уплыли "налево", но
> вот АНБ вряд ли будет тревожить. И таких ситуаций - подавляющее
> большинство.
Как сказать. Если завтра начнут записывать в "террористы" за покупки бронзовых статуэток - не так уж и пофиг. Ну их к чертям.
| | |
|
|
|
| |
| |
| 4.24, Гостёнок (?), 00:20, 04/12/2015 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
В случае с этим регистратором, так не получится. Они каждый выданный сертификат нумеруют.
Есть подробный лог.
Пруф не дам, я сам только один раз смотрел туда, узнав о возможности поучаствовать в бета-тестировании.
| | |
| |
| 5.31, angra (ok), 05:46, 04/12/2015 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +2 +/– |
 Я тебе скажу страшное, подставной сертификат может выписать любой CA, которому доверяет браузер, и никакая нумерация или любые другие действия letsencrypt на это не повлияют.
| | |
| |
| 6.44, Аноним (-), 10:38, 04/12/2015 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –1 +/– |
> Я тебе скажу страшное, подставной сертификат может выписать любой CA, которому доверяет
> браузер, и никакая нумерация или любые другие действия letsencrypt на это
> не повлияют.
Что означает лишь то, что весь HTTPS вкупе с PKI - как волосы на лобке. Прикрывают - но ни фига не защищают в реале.
| | |
|
|
|
|
|
| 1.19, angra (ok), 23:32, 03/12/2015 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –2 +/– |
Для получения сертификата надо поставить на сервер их софт, запустить его от рута, а в случае если у тебя не апач, еще и на время погасить основной вебсервер.
А не пошли бы они далеко и надолго с такими гнилыми заходами. Мне как то больше нравится вариант заполнения веб формы с получением email у wosign, который не требует поселения никакой дряни на моем сервере.
| | |
| |
| |
| |
| 4.41, Аноним (-), 09:36, 04/12/2015 [^] [^^] [^^^] [ответить] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –2 +/– | |
>что выдаваемые сертификаты имеют срок 90 дней и их надо регулярно обновлять
ахахахаха я так и знал, что будет ограничение по времени, уж лучше startssl у них на год выдают и все делается через заполнение форме на сайте без левых клиентов.
| | |
| |
| 5.51, ZiNk (ok), 12:07, 04/12/2015 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
 StartSSL выдаёт только для некоммерческих использований.
Короткий срок сертификата именно для того чтобы мотивировать всех настроить автоматическое получение сертификата и избавиться уже к чертям от порочной практики накатывания ключей вручную.
Если пугает клиент - сорцы у него открыты. Если паранойа даже кушать не даёт - то можешь сам написать автоматизацию, спеки на всё открыты, никто их никуда не прячет.
| | |
| |
| 6.83, Аноним (-), 21:51, 04/12/2015 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– |
> Короткий срок сертификата именно для того чтобы мотивировать всех настроить автоматическое
> получение сертификата и избавиться уже к чертям от порочной практики накатывания
> ключей вручную.
Особенно удобно будет тем, кто генерирует ключ для винды. Ведь их клиент с IIS не работает, да и вообще в Windows. Ах да, must die.
| | |
| |
| 7.87, 1111 (??), 00:58, 05/12/2015 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– |
Короче бесплатный совет. Заметь совсем бесплатный.
1) завести юникс сервер, хотя скорей всего он уже есть где нибудь в углу какую нибудь скромную задачу делает. Если нет можно завести виртуальгый. ( для совсем отморозков можно попробвывать адаптировать под cygwin)
2) настроить автополучение сертов в определенную папочку.
3) расшать папочку
4) Из планировщика задач вин с некоторой регулярностью скриптом забирать серты и подсовывать серву
5) ПРОФИТ
Сложней чем под линь? А винь вообще геморней админить)
| | |
|
|
|
| 4.54, Dzmitry (??), 12:58, 04/12/2015 [^] [^^] [^^^] [ответить] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
Они специально пушают всех автоматизировать процесс. Чтобы не приходилось руками заполнять формы никакие. Поэтому и сертификаты такие кратко живущие.
А то админ уволился, а через 2 года выяснилось что никто не знает как обновить серт. Так хоть автоматически можно настроить.
| | |
|
|
| 2.39, Аноним (-), 09:18, 04/12/2015 [^] [^^] [^^^] [ответить] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +2 +/– |
и что в этом такого? Исходники клиента открыты и лежат на гитхабе, а насчет "погасить веб-сервер" - если ваш апач не умеет обновлять конфигурацию без перезагрузки, то это проблемы либо апача, либо, скорее всего, ваших кривых рук. Nginx например умеет.
| | |
| |
| 3.79, Аноним (-), 20:54, 04/12/2015 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
Он пишет о том, что по умолчанию клиент предлагает грохнуть апача, чтобы самому занять 80 порт. Правда если долго изучать доки, то можно выяснить, что можно скормить ему директорию, а не запускать NIH-вебсервер.
| | |
|
| 2.82, Михрютка (ok), 21:47, 04/12/2015 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
 > Для получения сертификата надо поставить на сервер их софт, запустить его от
> рута, а в случае если у тебя не апач, еще и
> на время погасить основной вебсервер.
> А не пошли бы они далеко и надолго с такими гнилыми заходами.
> Мне как то больше нравится вариант заполнения веб формы с получением
> email у wosign, который не требует поселения никакой дряни на моем
> сервере.
вангую кстати что когда появится клиент под виндовс он будет ставить в систему всякие тулбарчики для файрфокса и прочие ускорители интернета
| | |
|
| |
| 2.22, Аноним (-), 00:07, 04/12/2015 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –1 +/– |
Ну да. Просто потому, что его нет. А давай продвинем твою идею дальше и сделаем ОпеннНет, на котором ты пишешь, также самым защищённым и безопасным сайтом.
| | |
| |
| 3.23, pavlinux (ok), 00:15, 04/12/2015 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –5 +/– |
 >... потому, что его нет.
И это равносильно халявным сертификатам, диплому МГУ из перехода метро, ЕГЭ,
резиновой женщине, фаллоимитаторам, мясо из сои, электронным сигаретам,
безалкогольному пиво, орбиту с клубникой, мерседесу из Калуги, D&G из Вьетнама.
Вам пыль в глаза, а вы и рады.
| | |
| |
| 4.84, Михрютка (ok), 21:54, 04/12/2015 [^] [^^] [^^^] [ответить] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
>>... потому, что его нет.
> И это равносильно халявным сертификатам, диплому МГУ из перехода метро, ЕГЭ,
> резиновой женщине, фаллоимитаторам, мясо из сои, электронным сигаретам,
> безалкогольному пиво, орбиту с клубникой, мерседесу из Калуги, D&G из Вьетнама.
> Вам пыль в глаза, а вы и рады.
в етом треде остро не хватает какого-нибудь ника женскаго полу с каментом о пользе фаллоимитаторов
| | |
|
|
|
| |
| 2.27, Эргил (ok), 02:30, 04/12/2015 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– |
 > wosign уже давно раздает, у них только проблема с доступностью сайта бывает.
А еще у них OCSP не отвечает часто. Ну и не сравнивайте ручное получение и получение скриптом.
| | |
|
| |
| 2.46, Аноним (-), 10:41, 04/12/2015 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +2 +/– |
> Отличная подстааа для MITM атак
> Для проксев так вообще золотое дно
Проксям нужен CA. Или, как минимум, RA. Который тебе фиг кто выпишет. Разве что если не сделать как в Казахстане - но там проблемы реальные еще и не начинались. Pinning, например, так не взломать.
> Даже тор не поможет
Нде? Тор использует собственные самоподписные цепочки, которым - и только - доверяет. Помимо того, что он не проксируется. И вообще идет мимо кассы. Изучи вопрос.
| | |
|
| 1.53, Silver Ghost (ok), 12:24, 04/12/2015 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
 Не больше 2-х сертификатов на домен? Да ну нах...
An unexpected error occurred:
There were too many requests of a given type :: Error creating new cert :: Too many certificates already issued for: lyalyuev.info
Please see the logfiles in /var/log/letsencrypt for more details.
| | |
| |
| |
| 3.89, аноним89 (?), 10:14, 05/12/2015 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
Спасибо, вы мне очень помогли. Прикол в том, что если нет, до и доки читать нет смысла. Мы для доступа к служебным ресурсам извне исп. сертификат типа р12. Основанный на self-signed ругается в браузере, но работает. Хотелось бы просто эту ругань убрать...
| | |
| |
| 4.97, Аноним (-), 14:18, 06/12/2015 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
> Спасибо, вы мне очень помогли. Прикол в том, что если нет, до
> и доки читать нет смысла. Мы для доступа к служебным ресурсам
> извне исп. сертификат типа р12. Основанный на self-signed ругается в браузере,
> но работает. Хотелось бы просто эту ругань убрать...
Тебе уже сказали - марш доки читать. По openssl.
| | |
| 4.98, Михрютка (ok), 17:12, 06/12/2015 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
> Спасибо, вы мне очень помогли.
> Мы для доступа к служебным ресурсам
> извне исп. сертификат типа р12.
я тебе не помог - через интернеты к сожалению трудненько взять человека за шкирку и потыкать носом в доки чтобы он не писал глупостей про "сертификат типа p12"
если ты не знаешь, что конкретно читать - так и скажи. вот тут тебе подскажут.
если тебе охота смешить читателей опеннета и дальше, продолжай в духе "Прикол в том, что если нет, до и доки читать нет смысла." Может быть, добьешься славы "Мне маны читать некогда, я программист!" (с) Andrew Wingorodov
| | |
|
|
|
| |
| 2.91, Аноним (-), 13:59, 05/12/2015 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
> когда там wildcard можно будет выписать на домен? у меня с пару
> десятков внутренних ресурсов, которым я бы впилил https.
учитывая кол-во ограничений с их стороны - скорее всего никогда
да и клиент муть какая-то на питоне. все это можно было бы в несколько десятков строк на shell+curl+openssl сделать
| | |
|
| 1.104, Аноним (-), 22:36, 09/12/2015 [ответить] [﹢﹢﹢] [ · · · ] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
главная идея SQL и идея сабжа - между собой интерферируют :)
если хотят изолировать - пусть в контейнеры засунут базы и апликухи, желательно не софтовые, вроде докера, квм а что-нить вроде qubes с принудительной изоляцией "учего" с транспарентной юзабельностью, несмотря на :)
| | |
|
