https://opennet.dev/openforum/vsluhforumID3/113257.html Сервис Let's Encrypt опубликовал (https://community.letsencrypt.org/t/2018-01-09-issue-with-tls-sni-01-and-shared-hosting-infrastructure/49996) описание уязвимости, из-за которой сегодня утром был отключен (https://www.opennet.ru/opennews/art.shtml?num=47882) метод проверки владения доменом TLS-SNI-01.<br><br><br>Уязвимость позволяла получить сертификат на чужой домен, обслуживаемый на том же совместном хостинге в рамках одного виртуального хоста, доступного через тот же IP, что и сайт атакующего. При этом уязвимость затрагивает только хостинги, на которых на одном IP поднято несколько виртуальных хостов и пользователю предоставлены средства для загрузки в настройки http-сервера сертификатов с произвольным именем домена без подтверждения владения этим доменом. <br><br><br><br>Например, если атакующий имеет доступ к хостинг-окружению, что и сайт жертвы (например, "example.com"), то он может запустить клиент ACME, инициировать проверку TLS-SNI-01, получить случайны токен, сгенерировать проверочный одноразовый сертификат и загр https://opennet.dev/openforum/vsluhforumID3/113257.html#41 Fri, 12 Jan 2018 17:20:50 GMT &gt;&gt;&gt;&gt; меланин в молоке<br>&gt;&gt;&gt; Удивился. Загуглил. Ты долбoёб. Меланин &#8212; это пигмент, совершенно безвредный, вырабатывается в коже, волосах<br>&gt;&gt; Удивился. МелаМин?<br>&gt; Да, удивился, что кто-то путает меламин с меланином.<br><br>Неуклюжая попытка юлежа и спрыга. Зарепорть #25, а то палишься аж два раза )<br><br>А вообще, да. Кто-то может и очепятывается или пусть даже и путает меламин с меланином. <br>Но cамое забавное, что всегда найдутся те, кто даже не знает тривиальных и базовых вещей: <br>что такое меланин и почему он не может вырабатываться в волосах (для этого достаточно примерно догадываться, что из себя представляют волосы), зато гордо и важно надувает щечки, величая других долбодятлами ) <br><br><br> https://opennet.dev/openforum/vsluhforumID3/113257.html#40 Fri, 12 Jan 2018 13:21:50 GMT &gt; Удивился. МелаМин?<br><br>Да, удивился, что кто-то путает меламин с меланином.<br><br>&gt; Нашумевшие скандалы в Китае?<br><br>Меня китайские проблемы мало трогают, своих хватает. Так что либо я про это не слышал, либо благополучно забыл за десять-то лет.<br> https://opennet.dev/openforum/vsluhforumID3/113257.html#39 Thu, 11 Jan 2018 17:27:10 GMT У меня даже идей нет, как из моих слов можно было сделать столь идиотский вывод. <br> https://opennet.dev/openforum/vsluhforumID3/113257.html#37 Thu, 11 Jan 2018 13:11:48 GMT &gt;&gt; меланин в молоке <br>&gt; Удивился. <br><br>Удивился. МелаМин? Нашумевшие скандалы в Китае? Но нет, кое-кто умудрился не услышать, видимо за пределами родного Гадюкино ничего не интересно. <br>&gt; Загуглил. Ты долбoёб.<br><br>Странно. Гугл &#171;мелаНин молоко&#187; исправно выдает &#171;МелаМиновый скандал &#8212; скандал с китайским молоком&#187; и прочее на всю первую страницу результата.<br><br>&gt; И правильно. Отсутствие шифрование выгодно только гебне (всех стран) и ворью. Ты <br>&gt; дважды дoлбoёб.<br><br>Нет. О такой крайности, как полное отсутствие шифрования, никто не говорит. Но повальное использование сертификатов, учитывая именно олигополию - это другая, ничем не лучшая крайность.<br><br>Еще раз, на всяк пожарный, для спецов-гугловщиков с &#171;обширным&#187; кругозором подчеркиваю &#8211; проблема не в шифровании, как таковом, а именно в навязывании одной группой и отсутствию альтернатив.<br><br> <br><br><br> https://opennet.dev/openforum/vsluhforumID3/113257.html#36 Thu, 11 Jan 2018 12:24:24 GMT Такая-то возможность выстрелить с отличным прибыльным бизнесом и показать и этим недоучкам, и их идиотам, как надо. Но ты вместо этого сидишь и комменты на опеннет строчишь&#8230; Придётся и дальше LE пользоваться?<br> https://opennet.dev/openforum/vsluhforumID3/113257.html#35 Thu, 11 Jan 2018 12:17:39 GMT Если ты не в курсе, это давно уже нормальная практика на многих хостингах применительно к другим CA.<br> https://opennet.dev/openforum/vsluhforumID3/113257.html#34 Thu, 11 Jan 2018 12:17:16 GMT То есть, если писать короче и без обличительного тона, LE обладает всеми теми же недостатками, что и любой другой CA, только делает это бесплатно. В чём проблема, не пойму?<br> https://opennet.dev/openforum/vsluhforumID3/113257.html#33 Thu, 11 Jan 2018 11:29:13 GMT Проблема не в том, чтобы выдавать сертификат на запрошенный домен, а в том, чтобы не выдавать его кому-попало.<br>Ущербен сам подход, что тот кто живет в квартире по адресу 3-я улица Строителей, д. 3. кв. 3 и знает ответ на вопрос: "У Вас продается славянский шкаф?" и есть Иванов. Особенно в случае если по этому адресу коммуналка.<br> https://opennet.dev/openforum/vsluhforumID3/113257.html#32 Thu, 11 Jan 2018 11:24:16 GMT Об чем и речь.<br>Только вот должен ли? Одно дело, когда провайдер может предложить посреднические услуги (хоть xthtp LE, хоть через еще кого). Другое дело, когда по сговору с LE эти услуги навязываются.<br>