https://www.opennet.ru/openforum/vsluhforumID3/119850.html Некоммерческий удостоверяющий центр Let&#8217;s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, объявил о внедрении новой схемы подтверждение полномочий на получение сертификата для домена. Обращение к серверу, на котором размещён используемый в проверки каталог "/.well-known/acme-challenge/", теперь будет осуществляться с использованием нескольких HTTP-запросов, отправляемых с 4 разных IP-адресов, размещённых в разных датацентрах и принадлежащих к разным автономным системам. Проверка признаётся успешной только, если как минимум 3 из 4 запросов с разных IP оказались успешными...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52419<br> https://www.opennet.ru/openforum/vsluhforumID3/119850.html#174 Fri, 28 Feb 2020 07:19:48 GMT &gt; Что сертификаты для всех внутренних сервисов придется выписывать на 1 год.<br><br>чего это на год? Это просто временное решение, на переходный период. Сертификат надо выписывать на час! Иначе это нисесюрно-нисисюрно и его кто-то уже мог перехватить! <br><br>&gt; Вот мне больше делать нечего чем каждый год перевыписывать сертификаты на все <br>&gt; системы и по новому их дружить между собой.<br><br>поэтому тебя заставят отказаться от доверия сертификатам вообще - даже самовыписанным.<br><br>Поставишь чудесный самоапдейтящийся сервис в докере под докером в докере (по другому этот набор палок и костылей, обмазанных дерьмом, запустить будет все равно нельзя), и он тебе будет автоматически раз в час все перегенерять. Доверять ты должен исключительно гуглезиле, они лучше тебя знают, что безопастно.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/119850.html#173 Fri, 28 Feb 2020 07:15:37 GMT &gt; Что за бред? Как SNI влияет на ценность сертификата?<br><br>банально - сертификат теперь не подтверждает что сервер принадлежит или хотя бы частично находится под контролем того, кому он выдан. Он всего лишь подтверждает то, что тот, кому он выдан, подарил свой закрытый ключ еще и этим васянам, помимо широкого круга неизвестных тебе лиц.<br><br>Ну а попутно светит всем желающим, куда ты пришел. Я вот даже не знаю - это и правда "хуже чем преступление", и васяны дорвавшиеся до права коммитить свои правки, реально были такие т-пые (могу поверить, поскольку их нашествие именно с этими событиями и совпало), или все же кто-то кому-то хорошо занес.<br><br>Причем механизм определения хоста в протоколе http прекрасно без этого мусора обходится, а дальше можно было бы, при большом желании, переустановить сессию с правильным сертификатом - уже закрытую тем, который предъявлен по умолчанию. Но так бы ты мог узнать кое-что лишнее о том, кому на самом деле доверил свой траффик, и даже, о ужас, самостоятельно решить, стоит ли ему вер https://www.opennet.ru/openforum/vsluhforumID3/119850.html#172 Thu, 27 Feb 2020 20:19:35 GMT &gt; Начали с введения SNI. Сводящему ценность сертификата к х..ю, а заодно светящим кому попало, куда ты пришел.<br><br>Что за бред? Как SNI влияет на ценность сертификата? И почему ты винишь SNI (внедренный в браузерах в 2006) в палеве, когда сертификаты вплоть до TLS 1.3 (который стандартизирован только в 2018) как раз прекрасно выполняли эту функцию палева прямо со времен SSL (1995), т.к. передавались без шифрования. Или эксперт не в курсе элементарных вещей?<br><br>&gt; Продолжили сдвигом окна Овертона, когда mitm от кого надо не является mitm и вообще никто не видит в нем ни малейшей проблемы.<br><br>Во-первых, окно Овертона пропагандистский миф.<br>Во-вторых, кто должен запрещать владельцу сайта вставлять между собой и юзерами mitm Cloudflare? CF не сам влез, его пригласила одна из сторон, между которыми идет трафик. Точно так же как юзеру никто не мешает поставить в систему антивирус, который будет митмить весь https трафик юзера и потенциально сливать создателю и спецслужбам, восприниматься как mitm это не будет, хотя сог https://www.opennet.ru/openforum/vsluhforumID3/119850.html#171 Wed, 26 Feb 2020 14:43:14 GMT Судя по описанию, это какая-то сеота. Вот уж точно пофиг на проблемы сеошников.<br> https://www.opennet.ru/openforum/vsluhforumID3/119850.html#170 Tue, 25 Feb 2020 19:41:48 GMT Мы за него боремся. К сожалению, основные орудия борьбы конфисковали проклятые норвежцы, поэтому решение об экстрадикции все еще вполне возможно - у нас, конечно, поставки диверсифицированы, но пока происходит обмен товар-деньги-товар, суд уже может принять нежелательное решение, тем более что в эту игру может играть и вторая сторона. <br><br> https://www.opennet.ru/openforum/vsluhforumID3/119850.html#169 Tue, 25 Feb 2020 19:33:04 GMT Дело не в этом - у меня овер 1500 сайтов, я что, буду разбираться в чем-то,что не массово используется на хостингах?<br><br>Есть хостинг, есть ISP 5 Lite в быстрым API, есть 100-200 доменов на аккаунт (на 40-70 IP), есть код (в php, или cgi) который все эти домены может быстро спаковать и перенести и развернуть на другом хостинге с ISP 5 Lite - расскажите плиз мне про инструменты, чтобы я мог по DNS 200 доменов этих подтвердить и перенести к другому хостеру с сертификатами?<br> https://www.opennet.ru/openforum/vsluhforumID3/119850.html#168 Tue, 25 Feb 2020 18:30:36 GMT Let's Encrypt основана не корпорацией, а правозащитной организацией EFF.<br> https://www.opennet.ru/openforum/vsluhforumID3/119850.html#167 Tue, 25 Feb 2020 18:23:58 GMT А я аккаунт не удалил, но после того как они повторно меня забанили (был забанен на хабре, разбанился на гиктаймсе, написав статью (на хабре не стал разбаниваться, ибо его внесли в Реестр, а ГТ - нет), после слияния хабра и ГТ разбаненный акк потерялся, а поддержка дала явно понять, что такие им не нужны) я на этот ресурс, относящийся к пользователям как к говну, не напишу ничего. На медиум, кстати, тоже ничего не напишу, там хоть кармадрочерства и нет, но отношение такое же сквозит сразу с формы логина. Да и логотип иногда включают цвета ЛГБТ флага, пришлось написать скрипт, убирающий это, чтобы знакомые не подумали, что я из "этих".<br> https://www.opennet.ru/openforum/vsluhforumID3/119850.html#166 Tue, 25 Feb 2020 17:54:39 GMT Не туды запостил<br>