Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, объявил о реализации в своей инфраструктуре поддержки ARI (ACME Renewal Information), расширения протокола ACME, позволяющего передавать клиенту сведения о необходимости обновления сертификатов и рекомендовать оптимальное время для обновления. Спецификация ARI проходит процесс стандартизации комитетом IETF (Internet Engineering Task Force), занимающимся развитием протоколов и архитектуры интернета, и находится на стадии проверки чернового варианта...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=58870
> Кроме того, ARI позволяет эффективно сглаживать пиковую нагрузку на серверы Let's Encrypt, выбирая время для обновления с учётом загруженности инфраструктуры. GET https://example.com/acme/renewal-info/Но при этом всё равно требуется запрашивать инфу с их серверов поллингом, судя по примеру?
Нагрузка на веб-апи это ничто.
Вебапи можно заскейлить до космических масштабов почти бесплатно и обрабатывать хоть все запросы разом от всего человечества.Нагрузку создаёт генерация новых сертификатов, раньше пользователь по крону генерил сам в удобное время ему. Теперь будет генерить в удобное для ЦА время.
У летсенкрипт серевер генерации в единственном экземпляре и заскейлить его очень проблематично.
https://letsencrypt.org/2021/01/21/next-gen-database-servers...
могли бы просто дёргать URL на сайте через POST...
> Нагрузку создаёт генерация новых сертификатов, раньше пользователь по крону генерил сам в удобное время ему. Теперь будет генерить в удобное для ЦА время.Не сам, а по крону клиент certbot или аналог слал запрос на сервер LE, тот в ответ слал ответный запрос для валидации и потом выдавал подписанный ими сертификат.
> У летсенкрипт серевер генерации в единственном экземпляре и заскейлить его очень проблематично.Не вижу проблемы. Там уже есть API https://acme-v02.api.letsencrypt.org/directory через который происходит запрос нового сертификата, поднять несколько серверов и распределить нагрузку не проблема.
Сдаётся мне что статью просто перевели криво и дело не в нагрузках.
> поднять несколько серверов и распределить нагрузку не проблемаНесколько серверов чего именно? REST API? Их и так несколько. Тормозит совершенно в другом месте.
"Почти бесплатно" тут лишнее - до космических масштабов скейлится стоимостью космических же денег.
Ну давай прикинем хотя бы порядок этих «космических» денег.Предположим, что все 8 миллиардов человек один раз в месяц пишут и читают 1 килобайт статических данных. На AWS S3 получем за хранение и доступ к данным:
Tiered price for: 8192 GB
8192 GB x 0.0230000000 USD = 188.42 USD
Total tier cost = 188.4160 USD (S3 Standard storage cost)
8,024,057,190 PUT requests for S3 Standard Storage x 0.000005 USD per request = 40,120.2859 USD (S3 Standard PUT requests cost)
8,024,057,190 GET requests in a month x 0.0000004 USD per request = 3,209.6229 USD (S3 Standard GET requests cost)
9,216 GB x 0.0007 USD = 6.4512 USD (S3 select returned cost)
9,216 GB x 0.002 USD = 18.432 USD (S3 select scanned cost)
188.416 USD + 3,209.6229 USD + 40,120.2859 USD + 6.4512 USD + 18.432 USD = 43,543.21 USD (Total S3 Standard Storage, data requests, S3 select cost)
S3 Standard cost (monthly): 43,543.21 USDЗа трафик:
Inbound:
Internet: 9216 GB x 0 USD per GB = 0.00 USD
Outbound:
Internet: 9216 GB x 0.09 USD per GB = 829.44 USD
Data Transfer cost (monthly): 829.44 USDИтоговая сумма: 44,372.65 USD
Пока что космических денег не наблюдается. Я работал с несколькими компаниями, у которых месячные счета были в четыре раза больше.
Но статические данные это не очень интересно. Всё же API предполагает собой какую-то динамику, да и размер в 1 килобайт какой-то смешной. Пусть это будет те же 16 миллиардов запросов к AWS API Gateway (REST API) в месяц:
Tiered price for: 16000000000 requests
333000000 requests x 0.0000035000 USD = 1165.50 USD
667000000 requests x 0.0000028000 USD = 1867.60 USD
15000000000 requests x 0.0000023800 USD = 35700.00 USD
Total tier cost: 1165.50 USD + 1867.60 USD + 35700.00 USD = 38733.1000 USD (REST API requests)
Tiered price total for REST API requests: 38,733.10 USD
3.80 USD per hour x 730 hours in a month = 2,774.00 USD for cache memory
Dedicated cache memory total price: 2,774.00 USD
38,733.10 USD + 2,774.00 USD = 41,507.10 USD
REST API cost (monthly): 41,507.10 USDВсё ещё тривиальные суммы, особенно учитывая планетарный масштаб. Но ответы на запросы к API Gateway приходят не из вакуума, что-то на том конце должно посчитать и выдать ответ. Для этого мы будем использовать AWS Lambda. Предположим, что запросы обсчитываются с p99 в районе 1 секунды и коду требуется не больше 128 мегабайт памяти и 512 мегабайт дискового пространства для обработки 1 запроса:
16,000,000,000 requests x 1,000 ms x 0.001 ms to sec conversion factor = 16,000,000,000.00 total compute (seconds)
0.125 GB x 16,000,000,000.00 seconds = 2,000,000,000.00 total compute (GB-s)
2,000,000,000.00 GB-s - 400000 free tier GB-s = 1,999,600,000.00 GB-s
Max (1999600000.00 GB-s, 0 ) = 1,999,600,000.00 total billable GB-s
Tiered price for: 1999600000.00 GB-s
1999600000 GB-s x 0.0000166667 USD = 33326.73 USD
Total tier cost = 33326.7333 USD (monthly compute charges)
16,000,000,000 requests - 1000000 free tier requests = 15,999,000,000 monthly billable requests
Max (15999000000 monthly billable requests, 0 ) = 15,999,000,000.00 total monthly billable requests
15,999,000,000.00 total monthly billable requests x 0.0000002 USD = 3,199.80 USD (monthly request charges)
0.50 GB - 0.5 GB (no additional charge) = 0.00 GB billable ephemeral storage per function
33,326.7333 USD + 3,199.80 USD = 36,526.53 USD
Lambda costs - With Free Tier (monthly): 36,526.53 USDНе будем забывать, что исходящий трафик не бесплатный. Цена за гигабайт интернет-трафика в самом дешёвом регионе 0.09USD. 16 миллиардов запросов, минимум 2КБ на запрос обойдутся в 32,768 GB * 0.09 USD = 2,949.12 USD.
Итого получаем: 80982.75USD в месяц до скидок и оптимизаций. Всё ещё тривиальная сумма, для проекта такого масштаба это действительно почти бесплатно.
Переиграл и уничтожил. :)
Ды ладно. Там как обычно - "килобайт данных".
На сколь либо серьёзное применение это не скейлируется никак вообще.
А теперь увеличь килобайт до пары мегабайт, и давай посчитаем :)
> У летсенкрипт серевер генерации в единственном экземпляреНу и дураки. Берём корневой сертификат, им подписываем N сертификатов для N серверов, а уже ими подписываем остальные или ещё несколько уровней.
Но мне кажется, что анонимус сам не в теме.
Локалхостов, так что ж ты им не объяснишь как надо-то? Показал бы класс. А то они тупые, какие-то HSM дорогущие покупают, зачем-то их сетапят в секьюрных датацентрах. А могли бы по простому, скачать с твоего локалхоста пару скриптов на баше, а то и там же выполнять всё. А что, openssl точно такие же сертификаты генерит!
Это какой-то позор, сервис, на который завязали половину интернета, держится на одном аппаратном сервере, причем они с трудом его доапгрейдили (апгрейдят) до всего лишь Dell PowerEdge R7525, который новый стоит не более 10 килоевро. Почему не поставить тогда сервак сразу не с двумя, а с четырьмя сокетами? И за столько лет никто не переделал их boulder на возможность распределенной работы? Вопросы, вопросы...
При этом у них собралось
> $17M that we’ve used to change the Internetно весь бизнес висит на одной железке.
Там скорее всего и от второго сокета толку никакого.
Строго последовательная обработка - я даже примерно догадываюсь, почему.> И за столько лет никто не переделал их boulder на возможность распределенной работы?
к счастью. А то бы твои сертификаты уже достались кому-нибудь.
не хотите нагрузку - сделайте сертификаты на 25 лет, и никому не надо будет их обновлять.
этак интернетом смогут пользоваться все, а не только кому дозволено.
>всеhttps://www.opennet.dev/opennews/art.shtml?num=54206
https://www.opennet.dev/opennews/art.shtml?num=56830
не вижу связи, не ставьте такой сертификат ca :-)
И сразу выкладывайте этот сертификат *. на 25 лет в общий доступ.
Нам нечего скрывать! И обновление паролей/сертификатов нам не нужны!
И трусы от банковской карточки
Анонимус не в курсе, что сертификаты, включая корневой, и так в открытом доступе.
Только сертификат - не парольНу обновляй все пароли на всех ресурсах через день. А потом - забавы для попробуй вспомнить к чему-то не часто используемому если комп накрылся или с бэкапами что-то приключилось
В случае с неприлично короткоживущими сертификатами сабжа дело, похоже, вообще ни в какой не в абстрактной безопасности соединения - может так оказаться, что, по очередному решению американского суда, возомнившего себя мировым, конторе просто отрубят доступ к получению нового сертификата и гарантировано что она сможет проработать не более 3-х месяцев
Хотя забавней будет, если посредством нового функционала просто тишком будут выдавать рекомендуемые даты обновления за пределами срока действия сертификата )
именно!
кто контролирует выпуск сертификатов- контролирует интернет.
Срок жизни сертификатов напрямую связан с безопасностью точно так же как и срок жизни самого длинного пароля на свете.
Ручное обновление сертов прямой риск безопасности, если бы не ACME так бы до сих пор и дрoчили руками файлики. Кому нужна автоматизация действия которое нужно делать раз в два года?Люди к закрытым ключам доступа иметь не должны вообще никак. Серт/ключ не должен проходить цепочки с подрятчиками, техдиректорами и прочими "бизнесами", а должен генерироваться там где он нужен на минимально возможный срок.
ACME протокол спас людей от всего этого ада. С ACME работают многие провайдеры даже платные, а если бы не летсенкрипт ждали бы этого еще 20 лет.
Боитесь американского суда? Так пользуйтесь минцифры или невероятными по своей надежности китайскими провайдерами вместе с яндыкс браузером. Какое вам дело до американского суда или информационной безопасности? Это все не для вас явно.
90 дней жизни серта это на 89 дней больше чем необходимо для смены CA вашего сертификата.
Ну да, ну да - ручное обновление с контролем за ручками раз в три года - плоха, плоха и нибизапастна.Отдать все управление работающему от рута самообновляющемуся из неконтролируемого источника сертботу - так побидим.
Все ок, только можно я свалю куда-нибудь в Парагвай, где вообще еще нет компьютеров?
>работающему от рута самообновляющемуся из неконтролируемого источника сертботуКроме сертбота полно других реализаций, но обычно реализация ACME нативно реализована на прокси или в логике конечных приложений если прокси нет.
Сертботы обычно запускают совсем маленькие наколеночные проекты.
ну то есть вообще зашибись - сразу конечное приложение работает от рута
(или от его эквивалента - нам не важен рут, нам важно что про разделение привиллегий девляпс забыл наглухо. У приложения и каждого кто инжектнет в него левый код - есть доступ к закрытому ключу. Вот молодцы-то какие.)А мы когда-то, эхх, вручную вводили пароли при рестарте фронтендов. Со всеми соблюдениями регламентов, т.е. нужен владелец пароля от сервера, нужен владелец пароля от ключа, нужен третий что присматривает за этими двумя опасными типами, и ни одного движения без записей в логи.
Вот же ж как надо было - сразу в приложение затолкать ключ, и вообще нешифрованный, так удобней.
Чего там, действительно, все равно никто не заметит что его стырили.
> работающему от рутаОтлично запускается и не от рута.
Даже на одной машине он может быть не один, это же пачка питоноскриптов.
Запускай в контейнере по таймеру, ничего кроме директории с сертификатами он не увидит.
Наоборот, ни продвигают идею сокращения срока их жизни и более частого обновления. Чисто статистически если у вас сертификаты были на год а стали на полгода нагрузка от обновлений вырастет в 2 раза. Так что эти подвижки в сторону "выравнивания нагрузки" на самом деле борьба с последствиями своих же решений.
Они открыли для себя openssl x509 -dates , судя по примеру?
openssl не покажет, что сертификат будет досрочно отозван.
> openssl не покажет, что сертификат будет досрочно отозван.да, не проснулся. касаться вопроса "какого карлика CA отзывает сертификат?" не будем
Каэшн не будем, ты ведь пишешь идеальный софт в котором не может быть уязвимостей с идеальными шифрами в которых не бывает коллизий, а главное тебе можно доверять, как и любому наёмному мимокрокодилу
сколько бесполезных слов и обвинений но не упоминается главного
> 1 марта 2022 года американский УЦ Thawte отозвал TLS-сертификаты
> у сайтов попавших под санкции Банка России, «ВТБ» и «ПСБ»
>GET https://example.com/acme/renewal-info/Ну почему не использовать стандартный URL, как в обновлении?
https://example.com/.well-known/acme-challenge/
https://example.com/.well-known/acme-renewal-info/
>>GET https://example.com/acme/renewal-info/
> Ну почему не использовать стандартный URL, как в обновлении?
> https://example.com/.well-known/acme-challenge/
> https://example.com/.well-known/acme-renewal-info/потому что wildcard
>потому что wildcardИменно для единообразной обработки по wildcard и надо:
if string.match(lighty.env["request.uri"], "/%.well%-known/acme.+") then
....
> контролируемый сообществом
> Major sponsors include the Electronic Frontier Foundation (EFF), the Mozilla Foundation, OVH, Cisco Systems, Facebook, Google Chrome, Internet Society, AWS, NGINX, and Bill and Melinda Gates Foundation. Other partners include the certificate authority IdenTrust, the University of Michigan (U-M), and the Linux Foundation.Сообществом корпоратов?
Мой комментарий снесли.Кстати, а у кого ключ от корневого сертификата?
для больших CA, ключ от корневого серта, вроде как, лежит в железе, без возможности его прочитать.
но это по правилам и в теории )
А потом, внезапно, узнаётся, что из железа, при очень большом желании, его тоже можно извлечь
Ага, при помощи секретных нибируанских технологий. Но только с благословления верховного ящерика.
Но ведь отзыв сертификата по инициативе УЦ, а не его владельца - это какой-то бред. Если УЦ нарушил процедуру выдачи, то нужно отзывать корневой сертификат УЦ. Иначе же сертификат не скомпрометирован, откуда вообще у УЦ возможность его отзывать?
CRL и OCSP не содержат подписей, сделанных самими сертификатами, что позволяет УЦ их отзывать по желанию левой пятки. Напр. у тех, у кого дядя Сэм приказал отозвать. Всё это - большущий бэкдор. Нужно менять спецификации и браузеры, чтобы пользовались исключительно обновлёнными, содержащими подписи, сделанные самими отзываемыми приватными ключами.
И мне ходить по сайтам и доверять корневому сертификату, подписанным тобой?
Ну уж как то обойдемся текущей ситуацией.
Подписанному Гуглом. У Гуглага достаточно рычагов, чтобы отнять у CA возможность отзывать сертификаты по желанию их левых пяток. При этом у Гуглага есть возможность у самого отзывать сертификаты по своему усмотрению. Таким образом отъём у CA возможности отзывать сертификаты с одной стороны упрочнит власть гугла, а с другой - в некоторой степени оградит пользователей от беспредела центров.
За каким хером тянуть гугл туда где он не нужен? Вот именно для этого и есть некоммерческий
LetsEncrypt. А вашу жажду к монополии можно оставить при себе.
Гугл уже монополист со своим хромом, и может приструнить центры. Mozillу же центры сами приструнят.
Жажда сапога в жoпe или что?У нас есть замечательный некомерчнский центр сертификации. Можно пожелать еще один некомерческий центр для альтернативы.
Но точно нельзя пожелать чтобы гугл/госпараша или еще что-то подобное вмешивалось в этот процесс.Отзыв со стороны CA это хорошая практика для безопасности.
СА лучше знать, чем владельцу сертификата о том, что при генерации что-то пошло не так.CA обнаружили баг/фичу из-за которых к твоему домену банка сгенерили 500 сертов 500 разных людей.
И че мне ждать пока ты там об этом узнаешь чего-то подпишешь и пойдёшь обновишь 25 летний серт?
И только после этого для клиента банка исчезнет вероятность MiTM от 500 разных людей?Невероятно логично просто 12/10, спасибо экспертам опеннета за наше безопасное детсво!
>СА лучше знать, чем владельцу сертификата о том, что при генерации что-то пошло не так.Ключи на стороне клиента генерируются.
>CA обнаружили баг/фичу из-за которых к твоему домену банка сгенерили 500 сертов 500 разных людей.
В таких случаях нужно "сначала" (одновременно, но с приоритетом на "сначала") исключать корневой сертификат CA из браузеров и ОС, потом заставлять уже бывший CA его отзывать. Ибо если контора позволяет себе такое, то ей не место в бизнесе CA. И плевать, что это может быть не её вина. Тут вообще дело не в вине. Когда товар некачественный, то его не покупают, а покупают качественный товар конкурентов. Так работает и решает рыночек.
>И че мне ждать пока ты там об этом узнаешь чего-то подпишешь и пойдёшь обновишь 25 летний серт?
Нет, корневой церт этого CA уберут из реализаций, и реализации перестанут доверять всем потенциально скомпрометированным сертам. Бизнесмен заплатил субподрядчику, который оказал некачественную услугу ему. В результате бизнесмен оказал некачественную услугу своим клиентам. Клиенты могут подать на него в суд за это. А он - подать на CA, и взыскать с них убытки. Или не подать, если в договоре дак договорено.
>Ключи на стороне клиента генерируются.Подпись на стороне ца. Конечный подписанный серт генерируется на стороне ЦА.
>исключать корневой сертификат CA из браузеров и ОС, потом заставлять уже бывший CA его отзывать.Мир не идеален, так ни одного ЦА не останется или каждый день будет новый ЦА без репутации. Тот же летсенкрипт уже отзывал серты, что его теперь обнулить из-за этого?
>в бизнесе CAНикакого бизнеса тут быть не должно этим должны заниматься НКО.
>Нет, корневой церт этого CA уберутСколько ЦА убрали из-за отзыва сертов? Крупные ЦА отзывали и отзывают серты это нормально и это должно быть автоматизировано, чем реньше серт будет отозван тем меньше угроза безопасности клиентов банка.
>Бизнесмен заплатил субподрядчику, который оказал некачественную услугу ему.
Мощно. Бизнесмены, подрядчики и это все альтернатива ACME? Очень смешно.
>>Ключи на стороне клиента генерируются.
> Подпись на стороне ца. Конечный подписанный серт генерируется на стороне ЦА.У клиента может быть уязвимая реализация гспч. У центра уязвимая реализация - вон из бизнеса.
> Мир не идеален, так ни одного ЦА не останется или каждый день будет новый ЦА без репутации.
Вселенная жестока и несправедлива. Ты до сих пор жив только потому, что бесчисленное число людей, единственная вина которых была в том, что им не повезло, сдохли.
>Тот же летсенкрипт уже отзывал серты, что его теперь обнулить из-за этого?
Да, исключить его серты. Чьи сайты перестанут работать - сами виноваты, что выбрали этот CA.
> Никакого бизнеса тут быть не должно этим должны заниматься НКО.
Только при наличии адекватной оплаты адекватный CA может существовать. Какая у него правовая форма - глубоко пофиг. Нужна оплата такая, чтобы CA мог себе позволить обеспечить отсутствие инцидентов.
> Сколько ЦА убрали из-за отзыва сертов?
Это ещё раз указывает на то, что сегодняшняя система PKI скомпрометированна конфликтом интересов у её участников.
>Крупные ЦА отзывали и отзывают серты - это нормально и это должно быть автоматизировано, чем реньше серт будет отозван тем меньше угроза безопасности клиентов банка.
> Мощно. Бизнесмены, подрядчики и это все альтернатива ACME? Очень смешно.Да. Не нравится, что сайт может выдти из строя из-за выхода из строя CA - резервируй. Всё равно рисковано? Пиши в договоре "ничего своим клиентам я не обязан"? Клиенты не оценили, идут к конкурентам? Не пиши так, страхуй ответственность. Некоммерческий сервис, бесплатный? Ну так не проблема не гарантировать сервис.
>Подпись на стороне ца. Конечный подписанный серт генерируется на стороне ЦА.ЦА - это профессиональные обеспичители безопасности. Им за это и платят - чтобы не было эксцессов, чтобы всё было сделано так, чтобы комар носу не подточил.
>Мир не идеален, так ни одного ЦА не останется
Ты жив только потому, что бесчисленное количество твоих дальних родственников было выбраковано эволюцией.
>Никакого бизнеса тут быть не должно этим должны заниматься НКО.
Всё равно, НКО или не НКО, главное чтобы у него ресурсы были на то, чтобы не происходило ничего, что может являться основанием для утраты доверия.
>Бизнесмены, подрядчики и это все альтернатива ACME? Очень смешно.
Ну так и сервис тогда должен быть не гарантирован. Не хочешь/не можешь платить - не в той позиции, чтобы требования к бесплатному продукту предъявлять.
Касательно кейса с банками - как-то был опыт, что у банка одного стух сертификат на второстепенном сервисе, типа сервера откуда всякая статика раздается, картинки и прочее, можно и не заметить.
Пишу им в чат суппорта что вот так и так - полное непонимание, вы не по адресу, пишите на мейл. Ну хрен с ним, написал. Ответили через недели три.
А когда тот же ФФ отключал всякие SHA-1 сертфиикаты так вообще жуть что было, у довольно респектабельных банков все ломалось и ноль реакции, так что на их тех. отдел надежд нет.
Как же вы задрали, мамкины экономисты. На рынке сильно больше двух бесплатных браузеров, а вы орете про какую-то монополию.
>На рынке сильно больше двух бесплатных браузеровtelnet.exe, например.
Не может. Вообще никакого вляния не имеет. Прежде чем нести чушь, разобрался бы как Root of Trust устроен и как в него сертификаты попадают. Если уж на то пошло, как раз Мозилловский Root of Trust один из самых авторитетных источников.
А зачем тебе при этом вообще корневой сертификат? Доверяй self-signed - вообще-то это будет именно та децентрализация, о которой все мечтают.
Если ты не доверяешь моей подписи - не ходи на мои сайты.Правда, работать в современых браузерах почти ничего не будет.
Более того, существует поле ca restriction, позволяющее сделать такой ca, который может подписывать только конкретные домены и поддомены в них (и самое удивительное - его обрабатывает nss. Правда, из работающих при этом браузеров будет наверное одна мазила.)
>Более того, существует поле ca restriction, позволяющее сделать такой ca, который может подписывать только конкретные домены и поддомены в нихРасскажите об этом минцифры.
А им чем поможет, там же не только ру и рефе, они ж и com и любые другие домены радостно подпишут.
А зачем им что-то рассказывать? Кто они вообще? Может им ещё и доверять начать?
Не вижу проблемы, если сертификатом минцифры будут подписаны только *.gov.ru и <государственные>.рф сайты. Также не вижу проблемы, если банки создадут свой центр сертификации, которым будут подписывать сертификаты исключительно своих сайтов.
Не вижу разницы между сертом минцифры и самоподписаным тобой. Хотя вижу, к тебе я отношусь нейтрально потому, что ничего не знаю, а с минцифры мне сразу все понятно.
Единственная разница между самоподписанными корневыми сертификатами - это то, куда их включили. Моим сертификатом ты не заставишь россиян пользоваться, и в браузеры и ОС ты его не пропихнёшь. Сертификатом минцифры уже заставили пользоваться россиян. Теперь люди ставят Яндекс Браузер, в котором этот сертификат есть, и пользуются им. С Алисой, включённой по-умолчанию. Можно было бы хорошо не навязывать людям Алису и браузер от конторы с не самой лучшей репутацией, а включить сертификат минцифры в браузеры и ОС с более чистой репутацией. Для этого нужна гарантия, что он не будет использоваться для вредоносной активности. Людям говорят "а вдруг сертификаты РФ не продлят/отзовут, тогда наши сайты накроются?" Ну если от этого защита, тогда ОК, только гарантию дайте, что вы траффик к чужим сайтам прослушивать и/или модифицировать не сможете. Ещё можно сказать "нас достало платить за сертификаты несправедливую цену", и это тоже ОК.
Вся эта итерика с "не продлят" пока ниочем. По тому что я наблюдаю организации в "зоне угрозы" перешли на греческие и возможно китайские центры сертификации. AlphaSSL стал часто мелькать например, а у Сбера сертификат от HARICA.
Разумеется, ни о чём. Хотели бы - уже бы просто отозвали.
Не ставил, не пользовался, не нужны.
Кому наплевать на приватность - могут ставить.
Кому приходится получать зарплату на сбер - будет ставить.Впрочем, там дальше в списке госуслуги и налоговая. Так что никуда ты не денешься, будешь ставить - рано или поздно.
Сертификаты от неведомых китайцев и каких-то стремных греков, сам понимаешь, невечны - в следующий раз даже если их согласятся выдать, может не получиться легально заплатить.
Это временная затычка вызванная в основном тем, что добавлять ана...нетные сертификаты внезпно, кто бы мог подумать, оказалось надо еще и во все банковские терминалы. Сбер попытался и что-то у него там пошло не так. Но, как ты понимаешь, в самом крайнем случае несговорчивые терминалы просто заменят на более сговорчивые китайские, и угадай за чей счет.
Ды не, ну зачем жо.
В тухуслугах уже давно ничего не надо, а нало*овой проще один раз ткнуть "пустить с говном вместо сертификата", всё равно там ничего критичного нет.
> В тухуслугах уже давно ничего не надо, а нало*овой проще один разя рад за тебя, чувак без загранпаспорта.
А мне вот - надо. Зарегистрировался (кстати, поведшись на клятвенные обещания что учетку всегда можно удалить... да, до прошлой недели было можно) ради возможности вообще выехать за границу в ковидные годы. Вот вообще ты никак без этого г-на не ушел бы от штрафа в 60 тыщ.
Сам загран - хз, наверное можно заполнить все на бумажке при личной явке в МФЦ (которые только в крупных городах и то не всех... впрочем зачем воронежцу загран, пакет себе чорный пусть закажет) но я не пробовал.
Но самое интересное и увлекательное тебя ждет когда понадобится плотненько повзаимодействовать с архивами.И выяснится что восстановить справочку о смерти бабушки утерянную в 90е - с прошлого года можно только по записи. Запись только через дерьмоуслуги.
Это еще цветочки, ягодки когда тебе нужны необычные справки. Кое-что из этого требует одновременно учетки на гуаноуслугах И учетки mos.ru и никак иначе вот вообще (тоже все по записи и просто не попадешь туда).
Водительские права протухли? Снова все непросто.можно, конечно, пытаться вручную разрешать сертификаты (а потом "ой, квартирка сама продалась") но там мильен разных доменов в авторизационных и прочих целях - поэтому скорее всего что-то да перестанет работать.
так что разьве что отдельный браузер держать. А потом еще его же для СБП (потому что понятно кто следующий принудительно и с песней перейдет - и это как раз эмбеднутые элементы в странице, их вручную не разрешишь).
А потом ты с удивлением понимаешь что у тебя все что на самом деле ценного и важного - именно в том браузере. А в нетом только опеннет, и непонятно нафига вообще.
К счастью, успел загранник обновить в начале 2022, и даже шенген за пару недель "до" открыл :D
С правами тоже проблем не было - просто чуть дольше ожидание. Хотя в последний раз, когда записывался по другому поводу, ожидание получилось совсем не меньшим - можно было без записи приходить, результат тот же.
> пытаться вручную разрешать сертификатыА вот это - вообще тема. Сейчас юзеры начнут огульно кликать "установить сертификат", и митмы по всяким халявным вайфаям очень быстро войдут в моду.
Кстате да, с сертификатами у терминалов забавно получилос )
Если бы было желание создать альтернативу западным CA, это не проблема. Проблема в том, что товарищ майор хочет, чтобы всё было под колпаком. Да, американский товарищ майор хочет того же самого, но российский товарищ майор туповат и действует самым топорным путем, своим любимым - шваброанальным. При этом у исполнителя в минцифрах мозгов не сильно больше, и он даже не в состоянии нормально настроить openssl, чтобы из сертификата не торчала левая фигня.Совсем недавно была масса конкурирующих российских CA, которые прекрасно сами генерировали российские ЭЦП для бизнеса. Было бы желание, можно было бы на этой основе сделать десятки альтернативных CA. Но нет, всё это прикрыли, и уже пару лет как всё централизовано.
Это проблема.
Западные CA внезапно трастятся всем миром и сотоварищи.
А вот с местным CA как щетаежь, какой уровень траста будет?
Ну, ставлю на Эритрею...
> Это проблема.
> Западные CA внезапно трастятся всем миром и сотоварищи.ну судя по требованиям, выкаченным Честному Ахмаду - в общем я бы на твоем месте не особо доверял тем товарищам.
Какие-то они м-ки просто, товарищи эти.С местными конечно еще хуже, потому что когда у них не только сп-ят все что можно и нельзя (и нет сомнений что это случится) и от их имени навыпускают твоих сертификатов не хуже настоящего, но и эта информация станет широко распространена (опять напоминаю истории с электронной подписью левыми сертами заверенными какими-то авторизованными помойками где-то в когалыме) - с ними ровным счетом ничего не произойдет.
А diginotar таки закрыли, и стремного панамца (который может и не делал ничего такого, кстати) и не менее стремного араба тоже.
> А вот с местным CA как щетаежь, какой уровень траста будет?
> Ну, ставлю на Эритрею...Бери больше - великая страна, мл...э...партнер самого Китая - доверит как один! (Кто не доверит - тому швабра.)
Большинство как обычно даже ничего не заметят. Велят для захода в банк ставить браузер Амиго - будут ставить! С гордостью даже, не пендосский гугель какой, наше, импортозамещенное!
Самым оптимальным был бы да, децентрализованный CA со строгими процедурами и независимым наблюдением.
Но это фантастика...
А так да, всё так.
Ну была такая инцииатива - Opportunistic Security, она и состояла в том чтобы даже на сайтах без нормлаьных сертификатах можно было настроить self-signed и чтобы браузер автоматически его подхватывал и без особыз истерик использовал. Мол да. сертификат непонятный. но соединение хотя бы зашифровано.
Не взлетело, хотя в ФФ было готово.
А, да, ошметки по сей день видны в старой паленой луне и еще где-то.
Казалось бы - с точки зрения безопасности уж всяко не хуже plain http. Но нет. Как это без острых глаз и длинных ушей товарищамайора общаться вздумали, ишь распоясались!
>Правда, работать в современых браузерах почти ничего не будет.Почему? Какие-то ограничения в браузерах?
Угу. С селф-сайнед уже давно не работают всякие кросс-сайт штуки.
Даже с вручную подтвержденным что да, козлина, это МОЙ сертификат и отвяжись уже наконец со своей дурацкой безопасТностью.(С невручную как обычно вообще ничего не работает потому что браузеры заменили нормальные диалоги на идиотскую "страницу" выдаваемую вместо сайта. И, соответственно, если с сайтом-то все относительно в порядке а с сертификатом возникли вопросы у вложенного элемента - то страницу некуда показать.)
Я напоролся на эту проблему при попытке самостоятельно развернуть инфраструктуру onlyoffice. Пришлось попрятать все за общий прокси (так же сделано в их собственных готовых сборках где все-в-одном), чтоб не было видно что часть содержимого страницы отдается с другого сервера. А если вместо этого ты выполнишь их инструкцию (включая создание self-signed) - ничего у тебя работать не будет.
CORS (нет, выставлять заголовки, в случае с самоподписанным сертом не помогает - они выставляются, естественно, и игнорируются) и еще что-то, связанное с вебсокетами, что я забыл зафиксировать в методичках - первое я с грехом пополам в какой-то древней мразиле отключил, и это у меня записано, но дальше там еще что-то было, о чем уже забыл за давностию лет. Причем на экране разумеется пусто, и несчастный юзер даже не узнает где его кинули (в консоль он вряд ли умеет посмотреть).Короче - не работает наглухо.
С enterprise root - работает, конечно, но там еще проблем будет при этом (у жабаскрипта свои причуды, node еще и не умеет в энтерпрайз, п-ц), поэтому пришлось пойти другим путем.
> Но ведь отзыв сертификата по инициативе УЦ, а не его владельца - это какой-то бред.верьти нам, мы харошие!
А праведному Ахмеду так и не дали стать CA.
P.S. а владелец, что забавно, свой сертификат в существующей инфраструктуре отозвать вообще не может - он может только умолять на коленочках CA милостивейше принять его revocation request. Не забыв чек заслать за обслуживание.
Ну отзыв фундаментально полагается на третьих лиц. Которых придётся уговаривать и чек заносить. Будь это keyserverы, DHT, или blockchain.Но блокчейн в PKI не завезут. Ибо центрам это невыгодно.
> Ну отзыв фундаментально полагается на третьих лиц. Которых придётся уговаривать и чек
> заносить. Будь это keyserverы, DHT, или blockchain.в блокчейн можно было бы напрямую добавлять запись об отзыве. Но эта технология и тут тоже бесполезна.
> Но блокчейн в PKI не завезут. Ибо центрам это невыгодно.напомни, какого размера сейчас блокчейн всеми любимого битка, транзакции которого безумно дороги и используются последнее время по минимуму?
Ну вот поэтому и не завезут - и не только потому что центрам не выгодно, хотя и это тоже.
>в блокчейн можно было бы напрямую добавлять запись об отзыве.Но заносить всей сети, путём нахождения блока/уплаты transaction fee - обязательно.
>напомни, какого размера сейчас блокчейн всеми любимого битка, транзакции которого безумно дороги и используются последнее время по минимуму?В блок можно заносить хеши от записи в DHT. И не битком единым. Вообще самая большая прьблема валют - это их завязанность на их создателей, которые могут оказаться самыми настоящими бринципными неспеолибералами. И где теперь Etherium Classic, который остался верен принципам, против которого провели double spend?
*беспринципными неолибералами
сложность в том, что владельцу нужно как-то доказать, что это его серт, и его нужно отозвать.
но если серт утекший, то как с его помощью, можно доказать, что ты - это ты, ведь подпись этим сертом этот не доказательство )
умолять на коленочках - ну запрос на отзыв, это такой же запрос как и на выдачу или продление.
получая серт, ты в принципе доверяешь весь свой трафик владельцам CA.
Если серт утёк, то он должен быть отзыван. Поэтому нет никакой проблемы, если лицо, получившее контроль над утекшим сертом, его отзовёт.
>умолять на коленочках - ну запрос на отзыв, это такой же запрос как и на выдачу или продление.получая серт, ты в принципе доверяешь весь свой трафик владельцам CA.
Запросы имеют сомнительную легитимность. Можно было бы устроить систему так, что центр только удостверяет, что тот, кому серт изначально выдан, есть тот, кто в метаданных ключа в сертификате записан, и хранение и сопровождение списка отзыва. Но система была сделана так, чтобы дать центрам и их хозяевам побольше власти и возможность требовать оплату за каждый чих.
>получая серт, ты в принципе доверяешь весь свой трафик владельцам CA.Не совсем. Для этого им нужгы сообщники - хозяева каналов связи между тобой и сайтами.
ммм... тебя совершенно не смущает тот факт что для получения того серта - ничего доказывать (по новым модным современным правилам) его не попросили?> но если серт утекший, то как с его помощью, можно доказать, что ты - это ты, ведь подпись этим сертом этот не
> доказательстводля отзыва-то? по-моему идеальное - если ты прогадил ключ так что им смогли подписать запрос - то его точно надо отзывать, даже если не ты подписывал ;-)
> получая серт, ты в принципе доверяешь весь свой трафик владельцам CA.
тут теперь - и не свой тоже. В смысле, владельцу он не достанется, но пока он не войдет в твое положение - достанется плохому васяну, стырившему серт с ключом.
Эх.. а когда-то я мог просто поставить галочку в вебморде :-(
В принципе-то, конечно, это все равно все шуточки - никто уже давно никакие ocsp не проверяет, а списки немодно и зачем вам вообще эти гигабайты (с) гугель.
>ничего доказывать (по новым модным современным правилам) его не попросили?Ну вообще-то попросили доказать, что доменное имя ведёт к ним. Это может владелец DNS-сервера сделать. Который теперь гуглаг и клаудфларь. Которые также владельцы каналов и data-центров.
Потом попросят предъявить право на вход в интернет.
> Эх.. а когда-то я мог просто поставить галочку в вебморде :-(А сейчас даже веб-морда не нужна, на ужас ручных админов.
> В принципе-то, конечно, это все равно все шуточки - никто уже давно никакие ocsp не проверяет, а списки немодно и зачем вам вообще эти гигабайты (с) гугель.
OCSP — лажа уровня FTP. Вместо решения задачи добавляет лишних забот. Действительно, зачем вообще эти гигабайты?
Ага, не нужна - сп-ли у тебя сертификат - ну и что, сиди дальше надувай щеки, все равно никто ничего не заметит.
И как тут OCSP поможет? А никак. Он тебе скажет «серт годный» и ты этот ответ закэшируешь на некоторое время, скажем на час. Как это принципиально отличается от сертификата со временем жизни в тот же час? Ну, кроме того, что нужно дополнительный сервис поддерживать.
А, ну так-то конечно ок. Сертификаты с временем жизни в час всех спасут.
Во-первых, никто не может запретить праведному Ахмеду стать CA. Скачал easy-rsa и порядок. Во-вторых, праведный Ахмед (а точнее его племянник ;) таки попал какв базу доверенных сертификатов, с неизбежной драмой в публичном мэйл-листе (гуглить по «concerns about Trustcor») и последующим абортированием Ахмеда к такой-то матери.Про чеки за обслуживание в LE ты, конечно, пошутил.
> Во-вторых, праведный Ахмед (а точнее его племянникэтот даже на троюродного племяша не тянет - Ахмед-то сразу сказал зачем ему быть CA. Не дали, выставив _помимо_ тех галочек которые до того официально требовались еще пачку в принципе невыполнимых требований, причем как-то по ощущениям - выдумав их на ходу. Мне там особо понравилось - требование аудита (платного!) какими-то м-ками у которых СОБСТВЕННЫЙ сайт открывался по http.
А в LE товар - ты. Чек за тебя им уже пришел.
Так уж получилось, что IP адрес одного из моих поддоменов в облаке оракла неизвестно кому и этот неизвестно кто выпустил на него сертификат. Спасибо Cloudflare, что уведомили меня о выпуске нового сертификата. Что ты предлагаешь делать, если отзывать левый серт через CA - "это какой-то бред"?
— Слыш, пупкинбанк.ком, смени сертификат.
— пупкинбанк.ком: сгенерируй новый, пожалста.
— Вот те, юзай.???
Десять минут спустя…
— Слыш, пупкинбанк.ком, смени сертификат снова.
— пупкинбанк.ком: сгенерируй новый, пожалста.
— Вот те, юзай.Что происходило в эти 10 минут? Да кто его знает :]
Ну смена серта самим сайтом скомпрометировать его не должна, но вот расследование вредоносных действий центра и его подельников частая ротация сертификата сильно затрудняет.
> — Слыш, пупкинбанк.ком, смени сертификат.
> — пупкинбанк.ком: сгенерируй новый,А НЕ ТО!
> — Вот те, юзай.
> ???
> Десять минут спустя…
> — Слыш, пупкинбанк.ком, смени сертификат снова.
> — пупкинбанк.ком: сгенерируй новый,А НЕ ТО!
> — Вот те, юзай.по сути все правильно, но это не просьба, а угроза. Не сменишь - хрен его знает что с тобой сделают.
летсшиткрипт (кстати земля стекловатой его основателю) в своем репертуаре, лягухе еще слегка добавили нагрева.
>летсшиткрипт (кстати земля стекловатой его основателю) в своем репертуарето есть plain http - лучше?
других вариантов кроме "дрянь-PKI" и "plain http"
в принципе нет или вы о них не знаете ?
Да, других вариантов в принципе нет. У них нет шансов быть включенными в браузеры и ОС. А указанные - уже включены, и останутся включены, за исключением plain http возможно.
> в браузеры и ОС. А указанные - уже включены, и останутсяКак включили так и выключат.
> включены, за исключением plain http возможно.о, догадливый.
С ftp уже расправились. Через этот плэйн половина фич не работает. (И половина той половины через самоподписанные серты тоже - сколько ни соглашайся что да, от...сь, это МОЙ дура серт)
Осталось еще победить самодельные ca, ну, полагаю, над этим работа кипит.
Лучше. Никакой шиткрипт не сможет заблокировать доступ к твоему сайту , отозвав сертификат, которого просто нет.
при всем моем уважении.
это раньше ты на сайты ходил. а сейчас просто через гугл находишь страницу.
формально - сайты уже того. гугл - реестр страниц.
а если еще дальше - то ChatGPT вообще судя по всему убъет веб. если эта шутка может рассказывать инфу - то кто будет делать страницы, на ктороные все равно никто не пойдет.
с появлением ChatGPT - веб сайты как бизнес модель умерли.
*которые
> а если еще дальше - то ChatGPT вообще судя по всему убъет
> веб. если эта шутка может рассказывать инфу - то кто будетты не в курсе недавней истории как она рассеянским пропаган/\0нам "рассказала инфу"?
С выдуманными цитатами и ссылками на несуществующие источники ?С гуглем последние лет десять или больше, кстати, та же проблема. Он не находит то что ты ищешь. Он подсовывает тебе то что по его мнению ты хотел бы увидеть.
>Он подсовывает тебе то что по его мнению ты хотел бы купить.//ftfy
я хотел бы купить реализацию rootCA + interCA + CRL + AIA + OCSP респондер на openssl, make-файлах, sh-скриптах и perl-based web-сервере забыл как его. кроссплатформеннную, чтобы домен AD жрал и не давился. но что-то не продают. придется все самому.
> банк
> Let's EncryptОборжаться. Что ещё расскажешь?
>> банк
>> Let's Encrypt
> Оборжаться. Что ещё расскажешь?а в чем проблема-то? "зеленых плашек" с именем организации в адресной строке нет давно. Зеленых замочков и тем более. PKP запретили - нибизапастна, мы ж не сможем теперь выпустить на твое имя левый сертификат.
Банки, конечно, колоссально инерционны и еще пару лет будут платить за ставший совершенно бесполезным EV, но рано или поздно кто-то смелый и передовой запилит им сертбот. Преееемию поди получит... хотя вряд ли, скорее свое имя на доске почета, рядом с суммой экономии несвоих денег, там так принято.
Когда будут, тогда и обсудим. Пока что это даже не гипотеза, так — шёпот голосов в твоей голове.
> контролируемый сообществомсообществом кого?
А слабо по 7 дней сертификаты делать?
Тебе никто не мешает менять сертификаты хоть каждый день.
> А слабо по 7 дней сертификаты делать?ну к этому все и идет ведь...
всё идет к тому, что "смертификаты" будут выдавать на один час, и только если на сайте нет ничего плохого/хорошего про трампа/байдена/путина/трансов/верунов. как только чего про них написал - всё, больше сайт нигде не откроется, кроме линкса/телнета.зато безопасно, да... никакой митм не страшен.
Ситауция с сертификататми вообще странная. Все говорят "надо бороться с слежкой" и поэтому шифровать весь трафик, но при этом вводят владельцев сайтов в полную зависимость от центра сертификации. Более того, ведутся разговоры вида "HTTP без S надо вообще упразднить". Тот же HTTP2 без шифрования никто из разработчиков браузеров не реализовал, хотя в стандарте такой режим прописан.
Вспоминается как было раньше - SSL шифровал только критичные моменты, вроде оформления покупки на сайте, а даже не весь магазин целиком. Это конечно тоже вызывает вопросы в духе "мой провайдер теоретчисеки знает чтоя кладу в корзину", но реально далеко не любой ресурс требует HTTPS. Условный СБер взял и вырубил HTTPS на "витрине", не от хорошей жизни, но смелое решение.
Если у тебя нет TLS, то тебе можно инъектировать вредоносный JavaScript. С эксплоитами, да и просто "согласись с доступом к USB устройствам (мы их перешьём во вредоносные), или наш инъектированный скрипт весь сайт сделает неработоспособным через document.write = 'Our website requires WebUSB. Инфа 146%. Give access or go away.';"
> Если у тебя нет TLS, то тебе можно инъектировать вредоносный JavaScript. С
> эксплоитами, да и просто "согласись с доступом к USB устройствам (мы
> их перешьём во вредоносные), или наш инъектированный скрипт весь сайт сделает
> неработоспособным через document.write = 'Our website requires WebUSB. Инфа 146%. Give
> access or go away.';"Вот только примочки вроде WebUSB давно уже требует Secure Context и без HTTPS даже дсотуп запросить не удастся.
Сейчас без HTTPS можно только картиночки, видосики, css и JS (и то, в силу традиции). Даже доступ к геолокации (изначально доступный без HTTPS) впоследствии запретили.
Тут же народ об обрезании функционала для сайтов без TLS ноет. Совсем житья не дают. А я вот считаю так: без TLS должен работать только plain HTML. Даже без картинок и видео. Надеюсь, что парсер HTML они хотябы без уязвимостей написать осилили.
> Если у тебя нет TLS, то тебе можно инъектировать вредоносный JavaScript.ну давай, инъектируй мне чего нибудь, прямо здесь, на этом сайте.
ты же можешь? или только языком?
ОПСОС может. Более того, активно этим занимается. (Привет, мегавонь)
> ну давай, инъектируй мне чего нибудь, прямо здесь, на этом сайте.
> ты же можешь?я не смогу.
а вот опсосы из РФ вставляли рекламу клиентам в http успешно.
и провинциальные ростелекомы тоже.
если эти факты прошли мимо вас то я даже и не знаю.
Вот, я который раз и говорю: "мыши дохли, травились, но продолжали жрать бесплатный сыр".
Семь дней это дофигаВон mjg59 вообще задвигает что каждую минуту менять надо
The SSH private key could be deployed to every front end server, but every minute it could call out to an HSM-backed service and request a new SSH host certificate signed by a private key in the HSM.https://mjg59.dreamwidth.org/65874.html
А то ишь разслабились! А за безопастностью Пушкин смотреть будет?!
Тут скорее - не можешь победить - возглавь.
То есть чувак считает норм что в депляпс инфраструктуре асс э...коде ключи утекали, утекают и будут утекать, и придумал красивый новый кривой костыль.Ну и ок, скажите, а вот выгул собак, например, никому не нужен?
> придумал красивый новый кривой костыль.все уже придумано лет 5 как.
хашикорп ваулт безопастно выдает девопс-автоматике ключи и токены доступа на лету.
и для ssh тоже. через рест апи.я пытался переточить этот ваулт для людей, но заблудился в политиках и временно забил.
скажу больше - какой-нибудь mesh в кластере может менять сертификаты гораздо чаще - ну там например раз в 4 часа
Угу, потом пара десятков нод из него выпадут, а взлетать придётся руками.
Хотя одноляпсовым микросервисам непочём - они всё равно ценных данных не содержат.
А там, где ценные данные, всё по-старинке :)
Угу , вторую неделю не могли провести рутинную операцию в кластере этих ляпнутых на всю голову.Потомушта там у них на виртуалке таза банных от которой зависит всьо, вообще, панимаишь, всьо. У вас там что - нет репликации? - Да вроде есть... (вроде, блжад) У вас не автоматический кластер? - Да вроде да...
Так давайте.. Нененене, нам надо подумать, подготовиться, время выбрать.К счастью сегодня к утру оно сдохло (насчет всьо - не наврали, оказывается). Ну вот заодно и техобслужилось, все равно ресет пришлось нажать. К счастью, база вроде не побилась - хотя вполне ведь могла.
А, да, бэкапов у них нет.
Надевает он гамаши, говорят ему - не Ваши. Надевает он пальто, говорят ему - не то. Вот какой рассеянный, с улицы Бассейной.
Каждые 30 дней он был вынужден удостоверять сертификат пальто, и каждые 90 дней сертификат трусов, с тех пор как дядя Гога начал проверять сертифицированность одежды.
Так как все таки лучше, без трусов, без сертификата на трусы, или без дяди Гоги?
Больше Лакомств Явы да ты в своём уме
> Надевает он гамаши, говорят ему - не Ваши. Надевает он пальто, говорят
> ему - не то. Вот какой рассеянный, с улицы Бассейной.
> Каждые 30 дней он был вынужден удостоверять сертификат пальто, и каждые 90
> дней сертификат трусов, с тех пор как дядя Гога начал проверятьминут.
Ишь чего захотел, 30 дней!
и чем это упрощает жизнь?
Может тогда еще "внедрят" по 30 дней в каждом месяце? Вот это бы жизнь упростило.
> и чем это упрощает жизнь?не тебе же! (а летсшиткрипту) Вот ты и бесишься!
С letsencryptom не знаком, потому прошу консультации, люди добрые. Можно ли выпустить этот сертификат, передав УЦ только csr-запрос? Или обязательна установка бота под рутом и генерация ключа на стороне УЦ с сохранением этого ключа там же?
> С letsencryptom не знаком, потому прошу консультации, люди добрые. Можно
> ли выпустить этот сертификат, передав УЦ только csr-запрос?нет. Нужно подтвердить что ты владеешь доступом к домену или сайту (ну например только что его ломанул - таймфрейм сведен к мизеру, поэтому доступ надо получить буквально на секундочку, это тебе не авторизация через email и тем более не идентификация по бумажному документу).
> Или обязательна установка
да
> ботанет, но вручную выполнять протокол с секундными таймингами довольно затруднительно.
> под рутом
нет
> и генерация ключа на стороне УЦ с сохранением
нет, он вообще не видит твой закрытый ключ и затолкать его в протоколе некуда.
Спасибо, но понимания больше не стало. То ли я туп, то ли Вы - плохой разсказщик.>> С letsencryptom не
знаком, потому прошу консультации, люди добрые. Можно
>> ли выпустить этот сертификат, передав УЦ только csr-запрос?
> нет. Нужно подтвердить что ты владеешь доступом к домену или сайту (ну
> например только что его ломанул - таймфрейм сведен к мизеру, поэтому
> доступ надо получить буквально на секундочку, это тебе не авторизация через
> email и тем более не идентификация по бумажному документу).У других УЦ есть требование разместить проверочный файл в определённой директории. И бот для этого не требуется.
>> Или обязательна установка
> да
>> ботаЭто зло.
> нет, но вручную выполнять протокол с секундными таймингами довольно затруднительно.
Какой протокол и какие тайминги? Вы о чём вообще? Вопрос был про генерацию сертификата.
>> под рутом
> нет
>> и генерация ключа на стороне УЦ с сохранением
> нет, он вообще не видит твой закрытый ключ и затолкать его в
> протоколе некуда.И как тогда бот формирует csr-запрос не имея доступа к закрытому ключу? Имхо, имеет, а значит может и передать в УЦ.
> То ли я туп, то ли Вы - плохой разсказщик.вообще-то этот сайт давно уже годится только для троллинга, а не просветительской деятельности. Но я все же стараюсь придерживаться темы.
> У других УЦ есть требование разместить проверочный файл в определённой директории. И бот для этого не
> требуется.Здесь бот тебе потребуется чтобы выяснить, как этот файл сегодня называется, предварительно выполнив авторизацию и передав подписанный csr. Все это делается в одну открытую сессию, поэтому времени что-то там сопливить и на коленке вычислять ручками у тебя нет. Можно обойтись довольно примитивным скриптом, а не ушлепским все в одном, но тогда ты руками будешь исполнять остальные обязанности бота, оно тебе вероятнее всего уже не захочется.
Да, на баше такой скрипт не пишется, потому что надо парсить нетривиальный json - попытка была, закончилась смешно и поучительно.> Какой протокол и какие тайминги?
протокол называется ACME.
> Вопрос был про генерацию сертификата.
сертификат - это твой открытый ключ (и информация о тебе) подписанный ключем CA. Его генеришь не ты, его генерит letshitcrypt и тебе отправляет в рамках протокола. Твоего там - только ключ.
>>> и генерация ключа на стороне УЦ с сохранением
>> нет, он вообще не видит твой закрытый ключ и затолкать его в
>> протоколе некуда.
> И как тогда бот формирует csr-запросбота ты запускаешь на СВОЕЙ системе, а не "на стороне УЦ". В запросе закрытого ключа нет, он остается у тебя.
Это ты можешь сделать и самостоятельно, бот для этой части процедуры необязателен и ничего волшебного не делает.
>[оверквотинг удален]
> CA. Его генеришь не ты, его генерит letshitcrypt и тебе отправляет
> в рамках протокола. Твоего там - только ключ.
>>>> и генерация ключа на стороне УЦ с сохранением
>>> нет, он вообще не видит твой закрытый ключ и затолкать его в
>>> протоколе некуда.
>> И как тогда бот формирует csr-запрос
> бота ты запускаешь на СВОЕЙ системе, а не "на стороне УЦ". В
> запросе закрытого ключа нет, он остается у тебя.
> Это ты можешь сделать и самостоятельно, бот для этой части процедуры необязателен
> и ничего волшебного не делает.Спасибо за ответ. Углублюсь в тему на досуге.
> "контролируемый сообществом"Непонятно что значит "сообществом", подскажите пожалуйста -
1) что это за "сообщество"? как оно называется?
2) как-то можно стать мембером этого "сообщества"?P.S. ответьте пожалуйста по-существу
"–2" ?? - неужели мой вопрос такой сложный? пусть оно не имеет названия, ладно! - но вступить-то в "контролёры" как?
Ну, как тебе попроще... вот смотри, теравады (одно из самых старых и респектабельных направлений, всего лет на 300-400 моложе самого Будды) считают что сколько башкой об стенку ни долбись - просветления тебе не видать. Вот не можешь ты никак просветлиться. Что делать? Сдохнуть, вот чо! Вот поперерождаешься раз так под двести - глядишь, сподобишься стать бхикку (послушником при монастыре). Вот это уже хорошие шансы - один из миллиона достигнет просветления с первой попытки, ну а остальным хотя бы шанс на повторное такое же перерождение повышается.Вот в контролеры или другие допущенные к столу - точно так же.
Просто у них хорошая карма а у тебя пока не очень. Родился в стране-изгое, надо ж так в прошлых жизнях напортачить...
А эту вот "карму", КТО контролирует? - Тоже "сообщество"? (Ну типа - садятся и решают, где будет "изгой" и "неизгой", что "хорошо", а что "плохо"). Так кто же они?
> Let's Encrypt внедрил расширение .. обновления сертификатовВот какая заботливая компания, всё для людей.