https://www.opennet.ru/openforum/vsluhforumID3/102930.html Развиваемый под эгидой организации Linux Foundation проект Let&#8217;s Encrypt (https://letsencrypt.org/), нацеленный на создание простого, общедоступного и контролируемого сообществом удостоверяющего центра, объявил (https://letsencrypt.org/2015/06/04/isrg-ca-certs.html) о создании корневого и промежуточного (https://en.wikipedia.org/wiki/Intermediate_certificate_authorities) сертификатов, а также сертификатов, которые будут использоваться для формирования цифровых подписей для других сертификатов. Запуск сервиса запланирован на середину 2015 года, более точно дата старта будет объявлена в течение нескольких недель. В настоящее время открытые ключи для корневого (https://letsencrypt.org/isrgrootx1.txt) и промежуточных (https://letsencrypt.org/letsencryptauthorityx1.txt) сертификатов (https://letsencrypt.org/letsencryptauthorityx2.txt) уже доступны для загрузки.<br><br><br>Для подписи пользовательских сертификатов будут применяться промежуточные сертификаты, которые кроме подписи корневым сертификатом Let's Encrypt https://www.opennet.ru/openforum/vsluhforumID3/102930.html#40 Fri, 19 Jun 2015 23:27:20 GMT Ну так скрипт напиши.<br> https://www.opennet.ru/openforum/vsluhforumID3/102930.html#39 Tue, 09 Jun 2015 19:13:47 GMT &gt;сертификатом, выданном неизвестно кому новым сертификационным центром, про который ничего не известно?<br><br>Они продемонстрируют соответствие тем же критериям, что и все остальные десятки Root CA, которым доверяет твой браузер.<br><br>&gt;насколько набор непроверенных костылей (скрипт + ACME, который еще не RFC + простая автоматическая верификация) гарантирует оригинальность владельца по сравнению с EV-сертификацией?<br><br>Так они и не будут выдавать EV-сертификацию. Большинство сайтов ее все равно не имеет и получать не собирается. А проверка на обычный сертификат без "зеленой полоски" и так проводится автоматически, за те деньги, которые обычный сертификат стоит, никто не почешется вручную что-то проверять.<br> https://www.opennet.ru/openforum/vsluhforumID3/102930.html#38 Tue, 09 Jun 2015 13:58:25 GMT &gt; Как ты это узнаешь в реалтайме, а, чувак?<br><br>Приложения (например, браузер) спрашивают у сервера его сертификат и подпись этого сертификата удостоверяющим центром.<br> https://www.opennet.ru/openforum/vsluhforumID3/102930.html#37 Tue, 09 Jun 2015 13:37:13 GMT &gt; 3. Вы, как мне кажется, не поняли предлагаемую технологию. Сертификат будет подтверждаться <br>&gt; заранее. Например, как владелец домена, я сегодня генерю свой сертификат, получаю <br>&gt; подпись этого сертификата удостоверяющим центром. И потом через три месяца, когда <br>&gt; ко мне захочет зайти человек из кафешки, я буду знать что <br>&gt; Lets Encrypt подписывал лишь мой личный сертификат. Заметь что Lets Encrypt <br>&gt; никогда не будет заходить на мой сайт через кафешку.<br><br>Как ты это узнаешь в реалтайме, а, чувак?<br><br>&gt; Чтобы реально взломать мой домен используя Lets Encrypt нужно будет взломать соединение <br>&gt; от сервера Lets Encrypt до моего сервера. Это не то же <br>&gt; самое что взломать server to client соединение. Также, я уверен что <br>&gt; в Lets Encrypt будут дополнительные ограничивающие правила.<br><br>Ты точно знаешь или просто уверен на ровном месте? И, кстати, каким теремом эти "правила" тебя ограничат?<br> https://www.opennet.ru/openforum/vsluhforumID3/102930.html#36 Tue, 09 Jun 2015 13:34:36 GMT &gt; да, у pgp такое <br><br>У PKI тоже.<br> https://www.opennet.ru/openforum/vsluhforumID3/102930.html#35 Tue, 09 Jun 2015 12:06:22 GMT 3. Вы, как мне кажется, не поняли предлагаемую технологию. Сертификат будет подтверждаться заранее. Например, как владелец домена, я сегодня генерю свой сертификат, получаю подпись этого сертификата удостоверяющим центром. И потом через три месяца, когда ко мне захочет зайти человек из кафешки, я буду знать что Lets Encrypt подписывал лишь мой личный сертификат. Заметь что Lets Encrypt никогда не будет заходить на мой сайт через кафешку.<br><br>Чтобы реально взломать мой домен используя Lets Encrypt нужно будет взломать соединение от сервера Lets Encrypt до моего сервера. Это не то же самое что взломать server to client соединение. Также, я уверен что в Lets Encrypt будут дополнительные ограничивающие правила.<br> https://www.opennet.ru/openforum/vsluhforumID3/102930.html#32 Mon, 08 Jun 2015 11:48:05 GMT Не мели ерунду, а? Эта штука будет решать ровно ту же задачу, что и нынешние сертификаты - защита коннекшна от average Joe, под что попадает большинство юз-кейсов - от покупок в интернет-магазинах до авторизации в личных блогах. Всё серьёзное использует дополнительные меры - 2FA в разных видах, свои ключи, свой VPN-софт и так далее.<br> https://www.opennet.ru/openforum/vsluhforumID3/102930.html#31 Mon, 08 Jun 2015 08:07:49 GMT Умаешься для каждого поддомена отдельный ключик получать.<br> https://www.opennet.ru/openforum/vsluhforumID3/102930.html#30 Mon, 08 Jun 2015 07:58:40 GMT Как переведут большинство на этот https, так сразу выкатят чтонибудь новое за место https<br>