Comments 41
Блин, сколько можно откладывать? :(
Ну видите, 11000 сертов же как-то надо было выдать… Правда, кому? ))
Меня вот берет удивление только в одном: я бы на месте NSA давно бы открыл такой бесплатный центр, да еще и пролоббировал добавление его сертификата в каждый браузер на планете — так вот здесь мы от такой «малины» для этих «охранителей людей от закона» имеем как гарантию только доверие к Let's encrypt, правильно? Т.е. мы будем их использовать только, по сути, из-за цены коммерческих вариантов того же?
Ну и по факту мы получаем картину, когда бесплатному центру доверия чуть больше, чем коммерческим: коммерческие замечались в неблаговидных деяниях, вроде подписывания сертификата на "*." и "*.*", "*.*.*", но это, по сути, только до первого звоночка, правильно?
Меня вот берет удивление только в одном: я бы на месте NSA давно бы открыл такой бесплатный центр, да еще и пролоббировал добавление его сертификата в каждый браузер на планете — так вот здесь мы от такой «малины» для этих «охранителей людей от закона» имеем как гарантию только доверие к Let's encrypt, правильно? Т.е. мы будем их использовать только, по сути, из-за цены коммерческих вариантов того же?
Ну и по факту мы получаем картину, когда бесплатному центру доверия чуть больше, чем коммерческим: коммерческие замечались в неблаговидных деяниях, вроде подписывания сертификата на "*." и "*.*", "*.*.*", но это, по сути, только до первого звоночка, правильно?
Выданные сертификаты публикуются тут: crt.sh/?Identity=%25&iCAID=7395
За ссылку спасибо. Но я, вообще, отвечал на крик души «сколько можно откладывать?», и отвечал шуткой.
P.S. Мне кажется, на сайтах, подобных Хабру, нет необходимости после каждой шутки писать тег «сарказм», разве нет?
P.P.S. Вообще же, когда люди из некоммерческих соображений поднимают столько серьезную штуку, как публичный CA, крики про сроки и отношение вида «давно хочу бесплатно получить то, что у всех стоит денег» выглядит несерьезно. Скажем так, купить positivessl сейчас можно настолько недорого, что кому нужно — тот (уже) купил, а остальные, по факту, видимо, могут себе позволить жить и без шифрования. А вот что многие, держащие сайты на shared хостингах, начнут писать в ТП хостингов с просьбой прикрутить сертификат к их сайтику, а хостинг выразит мысль, что на shared либо не станет это делать, либо сделает, но попросит копейку денег — вот здесь как с халявой быть? ;)
P.S. Мне кажется, на сайтах, подобных Хабру, нет необходимости после каждой шутки писать тег «сарказм», разве нет?
P.P.S. Вообще же, когда люди из некоммерческих соображений поднимают столько серьезную штуку, как публичный CA, крики про сроки и отношение вида «давно хочу бесплатно получить то, что у всех стоит денег» выглядит несерьезно. Скажем так, купить positivessl сейчас можно настолько недорого, что кому нужно — тот (уже) купил, а остальные, по факту, видимо, могут себе позволить жить и без шифрования. А вот что многие, держащие сайты на shared хостингах, начнут писать в ТП хостингов с просьбой прикрутить сертификат к их сайтику, а хостинг выразит мысль, что на shared либо не станет это делать, либо сделает, но попросит копейку денег — вот здесь как с халявой быть? ;)
А может кто объяснить мне, неразумному, почему вообще еще существуют платные сертификаты? Почему только сравнительно недавно стало возможно получать сертификаты бесплатно? Это же торговля воздухом, как мне кажется.
Для платных сертификатов применяется достаточно трудоемкая ручная процедура верификации владельца, с обработкой и проверкой бумажных документов. Без этого стоимость становится дешевле, или, как в данном случае, бесплатно.
Стоит добавить, что при такой процедуре проверки возрастают и риски (грубо говоря, обмануть её шансов больше, чем комплексную проверку живыми специалистами) — и чтобы это компенсировать, сертификаты будут выдаваться на короткие сроки (сейчас 3 месяца, затем планируют уменьшить, и я не удивлюсь, если в итоге это будет неделя, например).
То есть это размен дешевизны проверок на их радикальное учащение. Выглядит разумно.
То есть это размен дешевизны проверок на их радикальное учащение. Выглядит разумно.
Куча CA выдают dv-сертификаты на 1 год и более. Без бумажных документов и с полностью автоматическими проверками. Я, например, пользуюсь positivessl от comodo. Так про 3 месяца — не аргумент.
Какой странный ход мысли. Если кто-то что-то делает, то делать это безопаснее и доступнее не нужно. Ясно.
Т. е. comodo, thawte, verisign на эти риски просто кладут по вашему? Или может всё-таки считают их просто незначительными?
Если сейчас человек владеет доменом и берет на него сертификат, то вполне вероятно, что он не собирается отказываться от этого домена и потом устраивать MitM на свой бывший домен, который кто-то когда-либо купит.
Аргумент про «комплексную проверку живыми специалистами» для платных dv-сертификатов (domain validated) несколько несостоятелен, не находите?
Как вариант, политика краткосрочных сертификатов может быть выбрана, чтобы не влезать на поляну и без того дешевых сертификатов типа comodo positivessl, rapidssl и т. п.
Если сейчас человек владеет доменом и берет на него сертификат, то вполне вероятно, что он не собирается отказываться от этого домена и потом устраивать MitM на свой бывший домен, который кто-то когда-либо купит.
Аргумент про «комплексную проверку живыми специалистами» для платных dv-сертификатов (domain validated) несколько несостоятелен, не находите?
Как вариант, политика краткосрочных сертификатов может быть выбрана, чтобы не влезать на поляну и без того дешевых сертификатов типа comodo positivessl, rapidssl и т. п.
Не важно, как это называть: кладут или считают незначительными. Железобетонный факт состоит в том, что при прочих равных злоумышленник нанесёт тем больше вреда, чем дольше действует скомпрометированый сертификат.
Внезапно, существует не только владелец домена и центр сертификации, в мире множество других людей. Злоумышленник может кратковременно перехватить контроль над доменом, и использовать это для получения долговременного сертификата, и владелец домена может этого не заметить или заметить не сразу.
Это лишь один из вариантов атаки на инфраструктуру доменов, инфраструктуру центров сертификации или на владельца домена. Такие атаки нельзя предотвратить изменением срока действия сертификата, но вот последствия атак зависят от срока действия сертификата. Чем он меньше, тем лучше.
Почему? На мой взгляд, здесь практически всё можно автоматизировать (в т.ч. проверку истории, звонки по контактным телефонам и т.д.), но нельзя отрицать, что если используются ещё и люди, то такая проверка 1. менее предсказуемая, т.е. злоумышленнику сложнее подготовиться и 2. стоит дороже.
Вполне вероятно? А, ну тогда ладно.
Вы хоть на секунду-то задумайтесь, а то пишете так, будто всё хорошо и так и должно быть, раз многие выпускают сертификаты именно так.
Из вашего примера с доменом — давайте посмотрим на ситуацию со стороны покупателя. Когда вы покупаете домен, вы хотите быть уверенным, что к нему ни у кого нет сертификатов? Thawte, Verisign и Comodo ведь очень крутые ребята, и уж конечно могут гарантировать, что при смене владельца домена, выданные ими сертификаты прежнего владельца аннулируются. Ой, оказывается, не могут. Оказывается, они ничего не мониторят. А надо всего-то отслеживать состояние домена (минимум статус, контактные данные), инициировать перепроверку его принадлежности при изменении состояния, и отзывать сертификат в случае непрохождения проверки за несколько дней. Всё просто, но сейчас никто этого не делает.
Вы понимаете, что Let's encrypt абсолютно наплевать, на чью поляну они влезают? Многие текущие участники рынка получают неиллюзорный шанс оказаться на свалке истории. Или эволюционировать.
Конкуренция со стороны компаний, которые делают деньги не на выпуске сертификатов (а именно они составляют ядро Let's encrypt: Mozilla, EFF, Cisco, Akamai) ситуацию точно улучшит. Надеюсь, и проблема выше в конце концов тоже будет решена (тем более, что решение несложное).
Внезапно, существует не только владелец домена и центр сертификации, в мире множество других людей. Злоумышленник может кратковременно перехватить контроль над доменом, и использовать это для получения долговременного сертификата, и владелец домена может этого не заметить или заметить не сразу.
Это лишь один из вариантов атаки на инфраструктуру доменов, инфраструктуру центров сертификации или на владельца домена. Такие атаки нельзя предотвратить изменением срока действия сертификата, но вот последствия атак зависят от срока действия сертификата. Чем он меньше, тем лучше.
Аргумент про «комплексную проверку живыми специалистами» для платных dv-сертификатов (domain validated) несколько несостоятелен, не находите?
Почему? На мой взгляд, здесь практически всё можно автоматизировать (в т.ч. проверку истории, звонки по контактным телефонам и т.д.), но нельзя отрицать, что если используются ещё и люди, то такая проверка 1. менее предсказуемая, т.е. злоумышленнику сложнее подготовиться и 2. стоит дороже.
Если сейчас человек владеет доменом и берет на него сертификат, то вполне вероятно, что он не собирается отказываться от этого домена и потом устраивать MitM на свой бывший домен, который кто-то когда-либо купит.
Вполне вероятно? А, ну тогда ладно.
Вы хоть на секунду-то задумайтесь, а то пишете так, будто всё хорошо и так и должно быть, раз многие выпускают сертификаты именно так.
Из вашего примера с доменом — давайте посмотрим на ситуацию со стороны покупателя. Когда вы покупаете домен, вы хотите быть уверенным, что к нему ни у кого нет сертификатов? Thawte, Verisign и Comodo ведь очень крутые ребята, и уж конечно могут гарантировать, что при смене владельца домена, выданные ими сертификаты прежнего владельца аннулируются. Ой, оказывается, не могут. Оказывается, они ничего не мониторят. А надо всего-то отслеживать состояние домена (минимум статус, контактные данные), инициировать перепроверку его принадлежности при изменении состояния, и отзывать сертификат в случае непрохождения проверки за несколько дней. Всё просто, но сейчас никто этого не делает.
Как вариант, политика краткосрочных сертификатов может быть выбрана, чтобы не влезать на поляну и без того дешевых сертификатов типа comodo positivessl, rapidssl и т. п.
Вы понимаете, что Let's encrypt абсолютно наплевать, на чью поляну они влезают? Многие текущие участники рынка получают неиллюзорный шанс оказаться на свалке истории. Или эволюционировать.
Конкуренция со стороны компаний, которые делают деньги не на выпуске сертификатов (а именно они составляют ядро Let's encrypt: Mozilla, EFF, Cisco, Akamai) ситуацию точно улучшит. Надеюсь, и проблема выше в конце концов тоже будет решена (тем более, что решение несложное).
Вы их неправильно поняли. Выдают сертификаты на корткие сроки совсем по другой причине.
// letsencrypt.org/2015/11/09/why-90-days.html
1. They limit damage from key compromise and mis-issuance. Stolen keys and mis-issued certificates are valid for a shorter period of time.
2. They encourage automation, which is absolutely essential for ease-of-use. If we’re going to move the entire Web to HTTPS, we can’t continue to expect system administrators to manually handle renewals. Once issuance and renewal are automated, shorter lifetimes won’t be any less convenience than longer ones.
// letsencrypt.org/2015/11/09/why-90-days.html
Ну потому-что как правило, надо сначала закупить кучу мощных серверов, поставить и настроить всё это железо, арендовать место в каком-нибудь дц, затем нанять лучших специалистов, которые разбираются в тонкостях и в безопасности, затем договориться с вышестоящими удостоверяющими центрами о делегировании(если ты посредник), или самому стать сам-себе-валидатор (тогда договориться со всеми производителями браузеров и ос, чтобы они тебя добавили в качестве надежного поставщика сертификатов), пройти кучу проверок на защищенность, и в конце концов начать хоть что-то на этом зарабатывать.
Если делать всё бесплатно, то либо
-будет плохо со стабильностью- начиная с безопасности и заканчивая перегрузками и ддос
-либо можно левачить и выдавать левые сертификаты для спецслужб например, но это быстро запалят и в итоге браузеры тебя заьанят
-Ну или жить на пожертвования, как в данном случае
Если делать всё бесплатно, то либо
-будет плохо со стабильностью- начиная с безопасности и заканчивая перегрузками и ддос
-либо можно левачить и выдавать левые сертификаты для спецслужб например, но это быстро запалят и в итоге браузеры тебя заьанят
-Ну или жить на пожертвования, как в данном случае
Как я понимаю, как минимум, из-за этого:
А для выдачи сертификатов с Organization Validation и Extendet Validation в любом случае необходимы трудозатраты. А вообще, лично мне удивительна разница в цене в разы между простым доменным сертификатом и wildcard.
иногда сертификаты с моментальным выпуском попадают на дополнительную ручную проверку Центром сертификации, сертификаты для проверки выбираются случайным образом
А для выдачи сертификатов с Organization Validation и Extendet Validation в любом случае необходимы трудозатраты. А вообще, лично мне удивительна разница в цене в разы между простым доменным сертификатом и wildcard.
А почему в опросе «Используете ли вы сейчас HTTPS для своего сайта» нет варианта с бесплатным сертификатом oт WoSign или StartSSL?
Кроме того, Cloudflare предоставляет бесплатные сертификаты даже на бесплатном тарифном плане — еще один вариант.
Кроме того, Cloudflare предоставляет бесплатные сертификаты даже на бесплатном тарифном плане — еще один вариант.
По ссылке из первого предложения: Public Beta: December 3, 2015
Так что всем, кому особо не терпится, ждать придется на целых два дня меньше.
Так что всем, кому особо не терпится, ждать придется на целых два дня меньше.
Сначала подумал, что новость поменяли, с них станется — сначала обещали 16 ноября открыть, теперь на декабрь перекинули, однако посмотрел у себя в сохраненных — действительно 3 декабря. Куда смотрел и о чем думал — не понятно.
Благодарю за указание неточности — исправил.
Благодарю за указание неточности — исправил.
Кому не терпится, можно послать запрос здесь: https://t.co/C6Q3dPYorp
Это точно.
По бета программе мне дали возможность выпустить 2 сертификата еще 3 ноября, но в действительности я столкнулся с некоторыми сложностями и реально получить сертификаты удалось только на следующий день с третьей по счету попытки (на третьей машине соответственно).
Проблема была связана с «Error: The server could not connect to the client for DV».
Машины были идентичны по настройкам и набору ПО, правилась только запись типа А.
Без поста на community.letsencrypt.org проблема сама по себе не решалась.
Вчера еще одно письмо Let's Encrypt Closed Beta Invite пришло, посмотрим как сейчас дела обстоят.
По бета программе мне дали возможность выпустить 2 сертификата еще 3 ноября, но в действительности я столкнулся с некоторыми сложностями и реально получить сертификаты удалось только на следующий день с третьей по счету попытки (на третьей машине соответственно).
Проблема была связана с «Error: The server could not connect to the client for DV».
Машины были идентичны по настройкам и набору ПО, правилась только запись типа А.
Без поста на community.letsencrypt.org проблема сама по себе не решалась.
Вчера еще одно письмо Let's Encrypt Closed Beta Invite пришло, посмотрим как сейчас дела обстоят.
После первого одобрения, кстати, на другие домены выдавали в течении суток.
Продлил startssl ещё на год. Как раз обкатать успеют. А там посмотрим) можно было бы и самоподписанный — у меня owncloud на домашнем сервере для личных нужд и для синхронизации рабочих материалов лаборатории. Но тут проблема в том, что иногда приходится расшаривать каталоги с другими людьми, а пугать их надписями в браузере не хочется.
Вот https://www.gogetssl.com/domain-validation/comodo-positive-ssl/ просят за Positive-SSL от Comodo за 3 (ТРИ!) года $13.15, что по нынешнему курсу рублей 900. Мне кажется, сам факт, что три года не придется вспоминать об обновлении сертификатов уже приятен, если так хочется не пугать внешних людей при входе на сайт, который (видимо) денег не зарабатывает? Если это только «шашечки», а работать люди все равно с вами будут, то проще самому себе выписать на 100 лет, и забыть о необходимости раз в год качать свежий серт и куда-то на сервере подкладывать.
Зато нет риска остаться без сертификата, если startssl что-то там отзовет (мало ли, случаи были).
Зато нет риска остаться без сертификата, если startssl что-то там отзовет (мало ли, случаи были).
Почти неделю стоит их сертификат, полет нормальный — uniplug.ru
Тестировал только в режиме auth т.е. только герегация и подпись сертификата, без автоматической настройки сервера.
Из сложностей, пожалуй, только плохо описаный режим webroot.
По-умолчанию, для проверки владения доменом он поднимает http сервер на 80 и 443 портах, но на боевом сервере это невозможно. Что бы правильно отработать нужно из папки examples скопировать файл cli.ini в /etc/letsencrypt/cli.ini и расскоментировать
webroot-path должен указывать на папку с doument_root, тогда letsencrypt сделает проверку через статические файлы, без поднятия своего http серавера.
Удачной беты!
Тестировал только в режиме auth т.е. только герегация и подпись сертификата, без автоматической настройки сервера.
Из сложностей, пожалуй, только плохо описаный режим webroot.
По-умолчанию, для проверки владения доменом он поднимает http сервер на 80 и 443 портах, но на боевом сервере это невозможно. Что бы правильно отработать нужно из папки examples скопировать файл cli.ini в /etc/letsencrypt/cli.ini и расскоментировать
authenticator = webroot
webroot-path = /var/www/html/
webroot-path должен указывать на папку с doument_root, тогда letsencrypt сделает проверку через статические файлы, без поднятия своего http серавера.
Удачной беты!
Что-то не открывается ваш сайт :)
Хром ругается, плюётся и никак не разрешает перейти на этот сайт
Хром ругается, плюётся и никак не разрешает перейти на этот сайт
Сайт uniplug.ru использует шифрование для защиты вашей информации. Однако идентификационные данные, которые мы получаем от uniplug.ru сейчас, отличаются от тех, которые он отправляет обычно. Либо вредоносный сайт пытается выдать себя за uniplug.ru, либо страница подключения к сети Wi-Fi прервала соединение. Ваша информация по-прежнему в безопасности, так как Chrome прервал подключение до обмена данными.
Перейти на сайт uniplug.ru невозможно, так как его идентификационные данные зашифрованы, и Chrome не может их обработать. Это могло произойти из-за ошибки сети или атаки на сайт. Скорее всего, он заработает через некоторое время.
А почему отказались от Let's encrypt и перешли на "Google Trust Services LLC" ?
Я одно не пойму, у них там есть wildcard или нет?
зачем? наоборот, наконец-то можно раздельные серты иметь на каждый сервис и тем самым снизить риски.
да нет, у меня просто сервис с автоматически создающимися сабдоменами, я не могу знать их точное количество. Как в такой ситуации быть?
Увы, не всегда получается так легко. Скажем, есть у вас сайт, где в основном домене domain.ru заводятся поддомены для каждого города России (moskva.domain.ru — не суть как написано, но для целей разделения информации сделано так, скажем). Города заводятся в системе, разумеется, автоматом, так вот wildcard тут прямо очень полезен.
Ессно, заплатить за серт никто не удавится в такой глобальной системе, но я пример привел, когда и как оно может понадобиться.
Второй вариант: почтовый сервер откликается и на mail.domain.ru, и на smtp.domain.ru, и на pop.domain.ru, и на imap.domain.ru. Этим мало кто пользуется, но «исторически сложилось» так. Wildcard решает в этом смысле массу сложностей. Тоже, как пример.
Ессно, заплатить за серт никто не удавится в такой глобальной системе, но я пример привел, когда и как оно может понадобиться.
Второй вариант: почтовый сервер откликается и на mail.domain.ru, и на smtp.domain.ru, и на pop.domain.ru, и на imap.domain.ru. Этим мало кто пользуется, но «исторически сложилось» так. Wildcard решает в этом смысле массу сложностей. Тоже, как пример.
Это-то всё ладно, в таких случаях можно действительно один раз завести пачку сертификатов или заводить для каждого поддомена по мере необходимости, через апи.
Есть более сложные случае, когда есть, например, CNAME с *.domain.ru на domain.ru и никаких фиксированных поддоменов вообще нет. Например, ныне почивший сервис jpg.to использовал имена поддоменов в качестве поискового запроса (хотите найти котика, идёте на котик.jpg.to), тогда новый сертификат можно генерировать только в момент обработки запроса, что безумно.
Есть более сложные случае, когда есть, например, CNAME с *.domain.ru на domain.ru и никаких фиксированных поддоменов вообще нет. Например, ныне почивший сервис jpg.to использовал имена поддоменов в качестве поискового запроса (хотите найти котика, идёте на котик.jpg.to), тогда новый сертификат можно генерировать только в момент обработки запроса, что безумно.
Sign up to leave a comment.
Let's encrypt: старт публичной беты с 3 декабря