Участники ассоциации CA/Browser Forum, являющейся площадкой для координации совместной работы производителей браузеров и удостоверяющих центров, проголосовали за сокращение максимального времени жизни TLS-сертификатов. Максимальное время действия TLS-сертификатов будет сокращено с 398 до 47 дней, если в дальнейшем CA/Browser Forum не пересмотрит принятое решение. Помимо времени действия сертификатов решено заметно сократить и сроки повторного использования данных валидации объектов: для SAN (Subject Alternative Name, когда один сертификат охватывает несколько ресурсов, например, действует сразу для нескольких доменов) срок будет сокращен с 398 до 10 дней, а для не-SAN - с 825 до 398 дней...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63069
они там совсем поехавшие или да?
Борьба с зеркалами "пиратских" сайтов . Кто среди поддержавших видите ?
а при чём тут пиратские сайты, если любой серт можно отозвать?
но странное хотят сделать, закрытый ключ никто менять же не будет, получается на один и тот же ключ будут генериться новые серты, что на нет сводит всю безопасность.
> закрытый ключ никто менять же не будетТак это от тулинга, который сертификаты запрашивает, зависит же. У меня cert-manager ротирует приватный ключ при каждом запросе сертификата, например.
Как это поможет бороться с зеркалами? Что мешает зеркалам настроить автоматическое обновление сертификатов? Ну будет у зеркала обновляться серт раз в месяц, а не раз в 3 месяца. Не вижу тут никаких побед над зеркалами
В первом же абзаце . З... каждые 10 дней обновлять .
А какая в данном случае разница на сколько дней крон настраивать?
Для бесплатных никакой, а вот если серт куплен?) И нужно его распихать хостов так на 30-40 да и в разные сервисы в тч на винде?
А в чём проблема ? У меня както сертификаты (и ЛЕ и из своего ЦА для внутренних сервисов и прочего теста/дева) выписываются в одном месте и распихиваются туда, где им должно быть (распихать купленные руками сертификаты тем же способом никто не запрещает, полодить их там же рядом). А дальше всё как то само куда надо попадает и применяется.. Автоматизация и прочая оркестрация позволяют это сделать. В том числе в некоторые внешние сервисы.Винду де нержим'с, но вроде как, там всё тоже автоматизируется, судя по долетающим из за забора словам. В худшем случае повер шел вам в руки.
> В худшем случае повер шелПовершелл покрывает примерно 95% всего, что можно настроить в Windows Server и того, что там крутится. С консистентным синтаксисом, структурами данных, доступом к реестру, пайпами, с концепцией модулей и хорошей документацией. Я такого со времён почившей OS/2 и Rexx не помню. Вся эта мануальная терапия на юниксоподобных и весёлые приключения Седа, Авка и Грепа в стране Десяти Разных Форматов Конфигов вызывает сегодня недоумение. Держу в курсе, довелось сходить за забор и разобраться как там люди живут. Есть чему поучиться.
"В худшем" это не про то что поврешел плох, а в том что "в лучшем" у вас уже есть готовая система которая сможет притащить, в том числе, и нужный сертификат в нужное место. А вот если нет, то да, придётся засучить рукава и немного накалякать скриптов.
> Повершелл покрывает примерно 95% всего, что можно настроить в Windows Server и
> того, что там крутится. С консистентным синтаксисом, структурами данных, доступом к
> реестру, пайпами, с концепцией модулей и хорошей документацией.Поэтому...
1) Вы е...ь с километровыми командами - и полунерабочим автодополнением. Что поднимает продуктивность на новый уровень. Как замена метлы на лом у дворника! Так вы выглядите - по сревнению с любым линуховым девопсом. Просто посмотрите как они работают и осознайте где вы в этой схеме.2) Ломовое время старта. Особенно бесит в виртуалках всяких. Пока этот крап запустится, в линухе можно будет все что хотел уже сделать и забыть про него.
3) Типизация - круто придумано. Только не для ad-hoc автоматизации по месту. Если кто хотел хардкорный програмизм он и так нет мог взять. А в шелле ЭТО только делает мозг и нагибает решение задач и затраты времени. В результате
4) Голимая дефолтная терминалка которая даже XFCE не конкурент - приятным бонусом. Это то что юзеры винды заслуживают.
5) Оставшиеся 5% запросто жрут 85% времени, на манер принципа 20/80.
> Я такого со времён почившей OS/2 и Rexx не помню. Вся эта мануальная терапия
> на юниксоподобных и весёлые приключения Седа, Авка и Грепа....позволяет решать практические задачи, в сроки за которые вы первую страницу мана даже не прочитаете, нафиг. И скриптики дурацкие, особенно на 1 раз, чтобы не возякать как абизяне 200 операций куками - не тот код который надо монументально выписывать! Это вообще в половине случаев - делается на 1 раз. Отпедалил разовую задачу и забыл.
В этом смысле powershell ужасен. Зачем он как именно шелл такой нужен - майкрософт его знает! Хотя судя по WSL - они тоже не в курсе зачем.
> в стране Десяти Разных Форматов Конфигов вызывает сегодня недоумение.
Намного лучше реестр, блин. С нев.... числом ключей и параметров, нулем документации на них - особенно быстро и под рукой, НЕВОЗМОЖНОСТЬЮ ВОТКНУТЬ КОМЕНТ что это вообще и как юзать, никаким поиском, и вообще кривой и дурной софтиной для его менеджмента.
Поэтмоу вы уж извините - но вы офигеете с разницы во времени например за которое я типовой нжинкс вкачу VS то же самое но вы и IIS допустим. А если это про девопс сделает, охренею даже я. Где вы в этой иерархии... ну... майкрософт абажур вон кажется и то на линя хочет. Как бы намекает. И бэк для офиса с нета на хруст. А вы - отработанный материал с этим знанием. Уж простите, но для корп это - нормальноо. Не проблема MS что вы делать будете с объемным - и стремительно протухающим - знанием.
> Поэтому...
> 1) Вы е...ь с километровыми командами - и полунерабочим автодополнением.Это просто циферный до сих пор в документацию не смог. Как ему десяток раз тут не рассказывали про алиасы и psreadline. Что зелен виноград, psreadline повторить не можешь?
А ещё подпрыгиваешь c sed-awk-grep-jq и остальным чертом в ступе когда у них всё встроено.
И работает на практически любой ОС. А ещё подключается опенсурсный дотнет. Тут ты делаешь губками вот так О.> 2) Ломовое время старта. Особенно бесит в виртуалках всяких. Пока этот крап запустится, в линухе можно будет все что хотел уже сделать и забыть про него.
Время старта зависит от возможностей. Если у тебя кривульки только тру-фал0с могут присваивать переменные и дергать команды, кто тебе буратин. Охота скорости собирай в нейтив и подпрыгивай от радости. А мне возможность распарсить по быстрому json и поменять что угодно дороже ваших чистых уних-вей пайпов.
> 3) Типизация - круто придумано. Только не для ad-hoc автоматизации по месту. Если кто хотел хардкорный програмизм он и так нет мог взять. А в шелле ЭТО только делает мозг и нагибает решение задач и затраты времени.
Как раз оно отлично работает и помогает от всякой ереси в стиле обрезался не там символ, выдало непонятно какую какшу и текста. А уж цмдлеты от сторонних производителей вообще красоты. А ты дальше пыжься с шелом и продуктами по типу всферы.
> 4) Голимая дефолтная терминалка которая даже XFCE не конкурент - приятным бонусом. Это то что юзеры винды заслуживают.
Это у тебя десткая травма. С времен когда тыреный вин ставил. Сейчас wt в рот как говорится всем твоим шелам даст не нагибаясь.
> ....позволяет решать практические задачи, в сроки за которые вы первую страницу мана даже не прочитаете, нафиг. И скриптики дурацкие, особенно на 1 раз, чтобы не возякать как абизяне 200 операций куками - не тот код который надо монументально выписывать! Это вообще в половине случаев - делается на 1 раз. Отпедалил разовую задачу и забыл.
Ты ещё своё неумение при всех размазываешь.
Кем надо быть что бы не нагулить alias в ps.> В этом смысле powershell ужасен.
Попробуй стихи поучить. Говорят расширяет когнитивные способности.
> Намного лучше реестр, блин. С нев.... числом ключей и параметров, нулем документации на них - особенно быстро и под рукой, НЕВОЗМОЖНОСТЬЮ ВОТКНУТЬ КОМЕНТ что это вообще и как юзать, никаким поиском, и вообще кривой и дурной софтиной для его менеджмента.
Намного лучше, да. Реестр почти весь нужный задокументирован. Есть cim который стандарт.
А у тебя что? На каждую софтинку вот такая неимоверная кривулина https://github.com/haproxytech/dataplaneapi
Зато своя, самописная. Не то что там стандарты придумали непонятные.> Поэтмоу вы уж извините - но вы офигеете с разницы во времени например за которое я типовой нжинкс вкачу VS то же самое но вы и IIS допустим. А если это про девопс сделает, охренею даже я. Где вы в этой иерархии...
И здесь ты сел в лужу. То что ты тут отпыжился делается точно так же простым ансиблем. Если совсем по вин-вей то powershell dsc. Но ты же не в курсе, это же думать, читать надо.
> майкрософт абажур вон кажется и то на линя хочет. Как бы намекает.
Как бы намекает что кроликов разводят, 294-х.
> И бэк для офиса с нета на хруст. А вы - отработанный материал с этим знанием. Уж простите, но для корп это - нормальноо. Не проблема MS что вы делать будете с объемным - и стремительно протухающим - знанием.
Есть новые данные кроме помоек с линкедина где ты этой инфой побирался? А то тоы так ни одной ссылки официальной на полный переход не привёл. По написаному коду от мс резко возросшему на раст не привёл.
Самому то не стыдно лгать?
То есть вы серьёзно уверены, что в Mozilla, Google, Microsoft знают, что на торрентах вроде rutracker или pornolab можно скачать что-то запрещённое и из-за этого проголосовали "за"?
Телевизор хоть иногда выключайте что ль..
А по телеку про это говорят? Выключи себе инет хоть на месяц, а то у тебя голова мусором забилась
> Борьба с зеркалами "пиратских" сайтов . Кто среди поддержавших видите ?Скорее, просто цензура. Удобно же - не выписал серт, сайт ушел в даун начав пугать пользователей страшилками.
плати подписку и не выпендривайся
398 до 47 днейЭто нормальная практика. Некоторые банки каждый раз генерируют разный cvc, зарубежные.
> Это нормальная практика. Некоторые банки каждый раз генерируют разный cvc, зарубежные.Это булшит. Все эти временные сертификаты вдолгую - постоянно отваливаются. И если у вас тимы размером с тиму админов того банка нет - у вас ж@па будет, особенно если всяких (суб)доменов куча и проч.
Вне зависимости от того нужен 1 сертификат или 1000 сертификатов, это решённая задача. Всё, что нужно — две виртуалки на разных серверах (или разных планетах, если у вас диванно-опеннетный случай) и день времени. Чтобы была «ж@па», нужно сесть на собственные руки и терпеливо ждать, пока она настанет.
> Вне зависимости от того нужен 1 сертификат или 1000 сертификатов, это решённая задача.Да неужели, блин! А я то по эксплуатационному опыту самого разного - сильно иного опыта наелся в разных инсталляциях!
1) Во первых конфигурации бывают разные. У разных людей. Вы пойдете и нарулите им всем все в лучшем виде, бесплатно? Или...?
2) Софт тоже бывает - разный. Разной степени фичастости и кривизны.
3) На этой почве можно конкретно покушать д@рьма лаптем. Ведь здесь и сейчас все работает. А окарауливать сервак 48 дней чтобы узнать прокатило ли с именно этим комбо, именно в том софте, именно так - кто будет? Правильно - никто!Так что суммарно - число факапов, отвалов и недоступности просто кратно увеличится. Особенено у тех кто не банк и не может себе тиму админов 24/7 набрать. С LE это уже так то заметно - никогда не знаешь удастся ли зайти на вот этот сайт завтра или таки - вот те TLS error вместо этого?!
> Всё, что нужно — две виртуалки на разных серверах
Вот так просто? А на вон ту виртуалку в клауде - мне тоже виртуалку надо? Еще одну? Или...? Да я в принципе и тут с вами болтаю - из виртуалки. Сюда тоже виртуалку надо? :)
> (или разных планетах, если у вас диванно-опеннетный случай) и день времени.
А на какую планету кроме Земли вы смогли виртуалки доставить? Уже прямо интересно.
> Чтобы была «ж@па», нужно сесть на собственные руки и терпеливо ждать, пока она настанет.
На самом деле все проще: туповэйтить 48 дней для проверки никто не будет - и оно обречено отваливаться там и тут. Проверено Lets Encrypt'ом! Это то как оно реально работает. Вот реально знаю дофига сервисов - падающих примерно раз в месяц. Именно поэтому. Видимо, нанять команду админов как тот банк по зубам далеко не всем. Но вы конечно можете считать что интернет это гугл и банк, и хватит с вас, конечно.
Я так предполагаю, что адреса своим виртуалкам вы статикой выдаете с записью в блокнотик? Как можно такую важную операцию какому-то ДыхаЦыПэ на откуп отдавать - он же постоянно "ломаицца" будит!!!
Да, девляпсик. Мы их выдаем статикой и с записью в ipam.
Потому что в твоем дхсепе некуда написать - чей это сервер, нахрена он нужен, и куда бежать если вдруг его поломают.И еще - да, потому что это ненужный и уязвимый (в том числе, кстати, для атак разного рода) сервис.
Я тебе страшнее расскажу - а еще есть такие ребята, операторы связи - у которых у одной коробки этих адресов вообще бывают - сотни, а еще они и не все - знакомый тебе ip. А коробок - десятки тысяч по всем углам необъятной. И... и ничего, никто не умирает. И никакого дхцп там в помине нет и быть не может (ну разьве что изредка получается использовать при начальной загрузке голой коробки, да и то должно сильно повезти чтоб звезды сошлись).
А судя по прилетающим то и дело пакетам от девляпсиных каких-то серверов - неумеющие в настройки - таки да, страдают, и у них сеть не работает. И это очень хорошо, что они страдают и не работает.
> Да, девляпсик. Мы их выдаем статикой и с записью в ipam.
> Потому что в твоем дхсепе некуда написать - чей это сервер, нахрена
> он нужен, и куда бежать если вдруг его поломают.Так для этого ж CMDB есть - и я вот тут глянул, IP там указаны только для хостов MC\BC систем, и то - адреса так же через DHCP раздаются, но с резервацией. Для BO\OP систем вот вовсе одни hostname'ы.
У инфры и связистов да - свои погремушки. Коммуты, гипервизоры, iLо'шки и т.д. они вручную ведут.> И еще - да, потому что это ненужный и уязвимый (в том
> числе, кстати, для атак разного рода) сервис.И это не помешало ему стать de facto стандартом при построении корпоративных инфраструктур, да?
Лучше бы сократили Гималаи протоколов и шифров .
План по валу. Смысл анализировать существующий, если в очереди еще 3 стоят. )
Ничего личного. Бизнес.
Ну наконец-то кто-то озаботился сертификатами которые живут годами.
А потом внезапно протухают.С учетом скорости развития IT технологий, я бы вообще поставил 32 дня.
Ну чтобы админчиги не расслаблялись.
Вообще то админу глубоко фиолетово сколько дней вписать в автовыписывалке... хоть 1..и точно так же забыть где оно живёт. для раз в год поменять покупной серт автоматизации скорее всего не было никогда, соотв туда хотя бы раз в году кто то заходил.. а к роботам вообще ходить не будут.
> для раз в год поменять покупной серт автоматизации скорее всего не было никогдаДавно есть, но не у всех и не для всех. Я ещё в начале 2000х писал портянку для автоапдейта сертификатов через SOAP API у одного довольно известного в те годы УЦ. Наша система у них сертификаты автоматом запрашивала и скачивала, а они по факту счета выставляли для оплаты. Так я впервые познакомился с клиентскими сертификатами и способами их использования, а так же с тем фактом, что репутация компании таки стоит денег. Когда знакомый из другой компании тоже захотел автоматизировать сертификаты через АПИ, с их компанией разговор был весьма короток: мы вас не знаем, поэтому только по предоплате, и только вручную через веб-интерфейс, и только после ручной же валидации. Что логично, я через API мог получить серт на вообще любой домен.
то что она там есть "в принципе" не отменяет факта, что "скорее всего нет" в 99.99% случаев у тех, кто им платит.. особенно за 1 сайт раз в году. и эти, раз в году, точно не будут писать и отлаживать каких то там скриптов... 5 минут погуглить, поставить церт бот, некст некст, и всё, на годы забыть про церты вообще.. и да, в результате церт будет от ЛЕ а не от тех кому они платили до сих пор...
> Что логично, я через API мог получить серт на вообще любой домен.боюсь это тогда не про твою репутацию, а про довольно известного УЦ. Надеюсь, это тот китайский который на подcpa4никах вылетел из доверенных в браузерах?
При этом тех кто через апи выдает сертификат только твоему домену (от которого у тебя токен) - таки еще лет пять назад было ненулевое количество.
> лет пять назад было ненулевое количествоЯ про двадцать три года назад говорю. Сертификаты через API и десять лет назад не были проблемой.
shareware?
Каждое изменение в системе безопасности это риск. Если хочешь скрыть воровство - предложи переезд или реформу.
>Ну чтобы админчиги не расслаблялись.Админы "не потеют" - админы автоматизируют. )
>>Ну чтобы админчиги не расслаблялись.
> Админы "не потеют" - админы автоматизируют. )А оно потом один хрен отваливается. Да еще потом не в 100% случаев и не сразу. И ждать 48 дней чтобы это узнать никто ессно не будет - так что "как сдохнет опять так и приходите". Теперь плашки о сбое TLS будут встречать вас чаще. В разы. И только.
В итоге 98-99% сайтов станут с протухшими crt. А простые пользователи все просто забьют на все эти проверки, причём по умолчанию. И получим нечто не отличающееся от нешифрованного http 90-x. Видать к этому и давят.
А никто не даст им забить на проверки. Что правильно.
> А никто не даст им забить на проверки. Что правильно.Форки/патчи браузеров никто не отменял.
> Ну наконец-то кто-то озаботился сертификатами которые живут годами.
> А потом внезапно протухают.Они и с всякими lets encrypt протухают только в путь. И в мало-мальски большой инфре из за них постоянно что-то отпадает. Теперь отпадать будет больше и чаще.
т.е. уходим на LE и платники нам не нужны?
LE от такой нагрузки загнутся.
Ну и какой вывод по поводу "кому это надо"? ))
От какой? Дурачков платить за воздух почти не осталось, все и так на LE.
Хотите что бы опять "Дуров, отдай ключи!"?
И да, с просроченными цертами, как бы декларируется, ничего не восстановить...
Не загнутся, они в Январе наконец исправили рейтлимиты, что нагрузка на БД упала на 80%. Теперь они грозятся выпускать шестидневные сертификаты
почему не 1 день?
Почему не 1 час?
почему не 1 секунда?
Уникальные ключ+сертификат на каждый запрос, же. А если запросов нет, ото всё равно перевыпускать 60 раз в секунду.
В такой схеме ключ не нужен. И оно "не ломаемо" -- одноразовый блокнот. :) Но появляется третья сторона... любопытный, так сказать, тренд.
Вы если хотите переходите, нас только не трогайте. Сами по ситуации решим какими сертификатами нам пользоваться.
> Вы если хотите переходите, нас только не трогайте. Сами по ситуации решим какими сертификатами нам пользоваться.Да вас и никто не трогает.
Ребята решили для себя.
Просто не ходите на сайты которые поддерживают такие политики и все будет ок.
>>Просто не ходите на сайты которые поддерживаютИз браузеров, которые поддерживают (^_^)
Браузеры пользователей будут выдавать ошибку на "слишком долгоживущие" сертификаты. Они этим решением трогают очень даже вообще всех.
Скажи своим пользователям, чтобы твоим браузером пользовались, делов-то. Ребята для своих браузеров решили только. В твой не полезут, не переживай.
Так ведь все браузеры их.
Ой да ладно, чтобы опеннетный программист и не написал свой браузер? Тут половина это делает даже не вставая с дивана.
Сделать форк браузера с исправленным восприятием сертификатов несложно. Даже скорее всего где-то в недрах конфига будет готовая опция.
Будут выдавать ошибку "живой сертификат". :/
Ну Вы как специально гумус для холивара подложили.Решайте пожалуйста побыстрее, там с процессором, операционкой и конечно с браузером,
а то пока все форки какие-то и здесь тоже надо решать уже что-то, а то все OpenSSL шатают.Понимаете когда-то очень давно в 1985 году кто-то решил, что ничего своего не нужно и можно в глобализацию, т.е. отказаться от своих нараоботок хотя там тоже все было очень печально, но что-то делали.
И вот уже добрые 50 лет происходит рассказываение о том что сами тут решим, а чего решим продолжаем ли пользоваться MS-Windows и MS-Office или нет?
Я понимаю если бы на этом фоне какой-то ну скажем Касперский разрабатывал там какой-нибудь KasperskyOS похожий на Widnows 95 и был таким непризнанным героем, но нет же...
Вообщем ладно.
Если бы в 85 ... в 1969 не хочешь ? Вот что нефть животворящая делает !.
"- Сможешь построить летучий корабль ?
- Куплю !"
И всё, вместо БЭСМ - IBM/360.
Почему 69-й? Разве не Хрущёв привёз кукурузу, начав глобальное импортом замещение?
Потому как тогда было принято решение о переходе на технологии межделмаша. В СССР ЕС серии.
В общем, нет противоречий, вопрос лишь "как считать". Такое решения за день не принимается, а перед тем требуется подготовить почву.
Нет. Кукуруза была своя.
Внезапно, старик Лебедев - и в гроб сходя - благословил.Видимо прекрасно сам понимая, что с наколеночным клоном CDC (который еще и "ой, нипалуцилась") тягаться с промышленной разработкой совершенно бессмысленно.
И если партия требует летучий корапь - надо просто куп... э, нет, сп-ть у проклятых буржуев!
(И причем бы тут нефть, если ее за ЕС ни одной капли не заплачено, всю сами вылакали.)
В Википедиях пишут, что был противником.
Если такое случится, это вызовет всплеск альтернативных браузеров: Palemoon, Librewolf, etc.
Firefox прямая дорога в /dev/null
> Если такое случится, это вызовет всплеск альтернативных браузеров: Palemoon, Librewolf, etc.Это уже случилось - решение принято.
Будет некий переходной период с сокращением сроков.> Firefox прямая дорога в /dev/null
Тогда за ним сразу пойдут паравозом все либервульфы, паленки и прочие паразиты.
А новые не появятся тк это надо код писать, а не только удалять.
> Если такое случится, это вызовет всплеск
> альтернативных браузеров: Palemoon, Librewolf, etc.С чего вдруг?
Как раз у васянных браузеров начнутся проблемы что сайты не открываются.
У них и сейчас с этим не все хорошо, а станет вообще жесть.
Это не так, они просто не будут это зименение к себе затаскивать и показывать идиотскую ошибку.
Когда вместо ошибки подсунут отказ в соединении - взвоют .
Кто им подсунет отказ в соединении то?
Вы вообще поняли как это работает?Есть вебсервер с сертификатом на 100 лет.
Есть веб браузер который подключается к этому серверу и проверяет у себя сертификат.Теперь вот эти "Ч"удаки решили добавить в браузер проверку чтобы сертификат имел ограниченный срок действия и если оно превышает лимит то браузер будет показывать "ошибку".
Я написал что достаточно отломать это со стороны браузера чтобы продолжить нормальную жизнь.
Куда вы там собрались подсовывать отказ в соединении?
Учтите что это только для браузеров, я даже не уверен что супер "Ч"удаки из мозиллы засунут это в nss вместо браузера.
А уж другие пейсатели криптолиб и подавно не станут в свои реализации такое пихать, потому что TLS есть и в других местах, в том числе корпоративных инфраструктурах.
Забываете что соединение двустороннее и запросто перекроют краник не понимающему сертификат браузеру . Пока нет из за лишнего шума , но уже явная "забота о безопасности" готовится . Про "быстрее внедрять новые криптоалгоритмы" прямо сказано .
Кто перекроет? Сайт, которому это ограничение не интересно, или браузер, который это ограничение не проверяет? Вы вообще поняли что написали?
Идите подучите матчасть.
> Теперь вот эти "Ч"удаки решили добавить в браузер проверку чтобы сертификат имел
> ограниченный срок действия и если оно превышает лимит то браузер будет
> показывать "ошибку".
> Я написал что достаточно отломать это со стороны браузера чтобы продолжить нормальную жизнь.Да, и еще раздать всем пользователям правильный браузер. С точки зрения админа того сервака. Мелочи какие, гуглю подвинуть с пьедестала. И прочие мазилы. Этих то даже реально пожалуй, но вот гугл сделает из вас лого хрома не хуже чем из эмблемки офиса и винды.
> Мелочи какие, гуглю подвинуть с пьедестала. И прочие мазилы. Этих то даже реально пожалуй, но вот гугл сделает из вас лого хрома не хуже чем из эмблемки офиса и винды.Если слишком много сайтов перестанут открываться, то гугля с мозиллой еще как подвинутся.
Это как в некоторой другой стране технология из трех букв нафиг никому, кроме админов, не нужна была, даже не слышали о ней, а как слишком много сайтов просто так перестали быть доступны, так даже домохозяйки узнали.
Это как? У меня есть открытый ключ долгодействующего сертификата. Что помешает мне доверять ему долго? Только содержание этого сайта. Честный браузер лишь посредник.
А зачем ? Это в первую очередь коснётся ЦА, тоесть если ЦА вдруг сегодня там воздержался, а потом, вдруг, решит продолжить выписывать длинные сертификаты, то он просто останется без клиентов, ибо в массовых браузерах его сертификаты перестанут работать.А самоподписанных и сейчас 13 мес не касается, и скорее всего и дальше ну будет 47 дней касаться. Ставите свой ЦА, выписываете на нём 2-х летний серт и продолжаете пользоваться уже сейчас, хоть к сафари хоть в хроме без всякой пересборки и СМС.
Ответ выл в контексте: если "васянские" (скорректированные) не будут признавать этот сговор, то сайты с длинными сертификатами они не смогут открывать. Есть сайт с длинным сертификатом, есть посредник (скорректированный на признание длинных сертификатов). Что в этой цепочке не работает?
Вам негде взять сертификат выписанный валидным пулиичным ЦА со сроком дольше оговоренного "уважаемымми людьми". Они их просто не выписывают таких. Если их на таком поймают, то они запросто поедут вслад за Симантиком. Свой самоподписанный вам никто не запрещал и не запрещает хоть на 100 лет выписывать, но работать он будет только у вас (ну и кому вы еще впарите свой приватный ЦА).
>решит продолжить выписывать длинные сертификаты, то он просто останется без клиентов, ибо в массовых браузерах его сертификаты перестанут работать
>Вам негде взять сертификат выписанный валидным пулиичным ЦА со сроком дольше оговоренного "уважаемымми людьми". Они их просто не выписывают таких.Вы уж определитесь с предположениями. То найдутся такие, то не найдутся, потому что иначе заговорщики их "расстреляют".
В предыдущие разы, когда то макс. сроки снижали до 1 года, то СТ делали обязательным, не нашлось среди СА Дартаньянов желающих писать против ветра. Есть подозрение, что и сейчас не найдётся, ибо чревато изгнанием из Рая. Чьи в лесу шишки им там давно известно. Поэтому, "если" - это был такой пример вне реальности. И не будет в природе сертификатов от публичных ЦА к следующему марту, превышающих 250 дней. К августу все ЦА поправят свои выписывалки в соответствии с новыми веяниями. Поэтому крики, что браузер надо срочно патчить или валить на какой то другой, они смысла не имеют.
> В предыдущие разы, когда то макс. сроки снижали до 1 года, то СТ делали обязательным, не нашлось среди СА Дартаньянов желающих писать против ветра. Есть подозрение, что и сейчас не найдётся, ибо чревато изгнанием из Рая.Есть же российские сертификаты сайтов, сами сайты и браузеры (Яндекс-браузер, Chromium-GOST, может еще что) для доступа к таким сайтам, которые вне этой системы находятся. Пока это все сильно локальное и мало кому нужное, но если те, чьи в лесу шишки, чересчур надоедят всем, то Web вполне и разделиться может - прецедент посылания на мпх шишковладельцев уже есть.
Не, тем кто собирает с сисходников достаточно будет пропатчить немного перед сборкой :)
Я себе ФФ давно уже так патчю.
>патчюколпачекю
>Я себе ФФ давно уже так патчю.А потом ты проснулся и вспомнил, что у нищих сборочных ферм не бывает. А не-нищие интегрированы в элиту и весь этот беспредел поддерживают.
Пока что фф собирается минут за 20 а хромиум часа за 4-6, на придушенном по частоте и -8 потоков проце 5950x.
Даже на коредуба фф можно собрать часов за шесть, ИМХО.
Каждый день собирать не надо, можно раз в месяц или реже.
>Даже на коредуба фф можно собрать часов за шесть, ИМХО.Не хватит памяти. А 6 часов на "коре дуба" у меня юзерспейс OpenWRT собирался, без ядра.
Чёй то не хватит!?
8гб для ддр2 или 16гб для ддр3 + своп.
Для ФФ более чем, для хромиума с натягом и свопом.
И собирать в один поток, а нето уйдёт в вечный своп
Кому вы это рассказываете!?
Я до 2018 года сидел на коредуо на десктопе и собирал это всё.
Хромиум тогда легче заметно был, но всё же.
ФФ кажется с тех пор не шибко растолстел.
Спасибо, посмеялся.У этих палемуно-либрявуфов нет вообще бюджетов добавлять что-то своё новое в код, поэтому если фокс всё, эти все форки засохнут автоматически.
Какие бюджеты, овен? Бюджеты нужны для распила бабла, для добавления ф-кальных фич, которые скармливают скоту как "своё новое" достаточно шимпанзе. И овнов, которые это глотают.
разработчики питаются фотосинтезом, я так понимаю?
Для отключения маразма с сертами достаточно, чтобы компилировать слегка пропатченное свое. Большой бюджет тут не нужен, это даже один человек не сильно напрягаясь может потянуть.
Пара негодующих на фоне обычных пользователей погоды не сделает, а для обычных пользователей ничего не изменится
А толку? Тут теория игр. Выбирай:1. ты прогибаешься и твой сайт открывается у скота
2. твой сайт открывается только у альтернативно одарённых с альтернативными браузерамиChoose wisely. И угадай, кого все владельцы сайтов выберут.
Все просто выберут то что будет решать поставленную задачу. В гос секторе даже никто думать не будет FireFox или Yandex Browser с альтернативной базой CA.Просто одним утром произойдет умирание и забывание компаний, которые так долго выходили на рынки где все эти Facebook, Instagram и прочее?
Все это заменили чем-то или в ближайшее время заменят если уж совсем сложэно станет.
> Если такое случится, это вызовет всплеск альтернативных браузеров: Palemoon, Librewolf, etc.Не вызовет. Мало кто будет устанавливать альтернативный браузер из-за того что у них в Хроме не открылся ваш любительский сайт.
> не открылся ваш любительский сайтА зачем он на него заходил? Если сайт ему нужен то конечно он поставит и будет пользоваться, если не нужен то и обсуждать нечего.
как замена роботом раз в час сертификата "позволит быстрее внедрять новые криптоалгоритмы" ?натянуть сову на глобус оно поможет.
не вызовет вообще ни разу ни когда тут даже шамана не прокси. всплеск ПО (любого) вызывается деньгами а не болтологией.
прошу прощения сайт глюкнул коммент предназначался посту выше
это получается для вебмаккак (для меня в том числе) для разделенных фронтендов чтобы избегать CORS тоже придется обновлять серты?
47 дней норм, у нас на горизонте другие проблемы.
https://www.interfax.ru/digital/1017951
А когда все хостеры на ECH перейдут - рубильник выключат . И так в местном траффике доля старых протоколов в 5+ раз взлетела после наезда на клауд (плюс доля незашифрованного в 2 раза) .
CF сам по себе проблема. Причём не только у нас, а у всех нас (у тех кто там тоже)
> CF сам по себе проблема. Причём не только у нас, а у всех нас (у тех кто там тоже)использую CF для обхода блокировок. Тех, которые _там_ а не РКНовских.
(а что они подглядывают в трафик - так это... они и так в него подглядывают)
для всего что в браузере хоть как-то появляется - да (то есть для любых фронтендов - да)длинные сертификаты можно использовать только там, где кроме нодыжс никто на них не посмотрит (но и это неточно, потому что код-то ctrl-c/ctrl-v из хромонога)
а что такое "разделенные фронты и CORS" и причем тут сертификатыты хостишь одно приложение на разных доменах? ну так если бы нет, то все равно обновить для одного домена пришлось бы раз в n дней
что-то я не понимаю вебмакаk логику, объясните мне кто-нибудь
ух как один браузер вертит всеми на конце
> ух как один браузер вертит всеми на концеТам первые в списке ябло с сафари.
Который по сути монопольный на ios, а все остально огрызки над вебвью.
Так что не нужно гнать на гугл, там все хороши.
> Там первые в списке ябло с сафари.Вообще-то они последние. Они дважды топили инициативу запрета коротких сертификатов, но, видимо, в конце-концов получили предложение, от которого невозможно отказаться.
Всё было куда проще, им предложили самостоятельно тащить весь OCSP, за себя и за того парня. В Эппле посчитали сколько это будет стоить и решили, что действительно не так уж и плохо короткие сертификаты.
Ну сафарям то как раз должно быть не очень важно, а вот чё так строем сказали "да" коммерческие ЦА, не ясно. понято же, что если сертификат не раз в год, а раз в месяц менять, то даже самый тупой админ пойдёт искать пути автоматизации, и найдёт скорее всего церт бот и ЛЕ, а не неясно как у того, кому он по 1000$ в год относил до сего дня (даже если у тех есть своё чтото для автоматизации, то это не вот то, что в каждом утюге в примерах в мануале приложено, даже если цертбот и этого умеет, то это же надо конфиг поправить, а уж если нет, то будет ой.).ну и масс хостеры тоже пострадают, клиенты массово переедут к тем, кто из коробки умеют ЛЕ (а в случае если тот хостер не на 10 клиентов, то ему придётся таки денег в ЛЕ нести, чтобы массово церты автоматом на хостинг выписывать, лимиты на халяву там есть)
> Ну сафарям то как раз должно быть не очень важно, а вот чё так строем сказали "да"
> коммерческие ЦА, не яснокурочка по зернышку клюет. Автоматизация коммерческого перевыпуска тоже вполне возможна - некоторые из них давно уже и acme умеют тоже. (просто с авторизацией, а не "дай любой email")
> ну и масс хостеры тоже пострадают
narod.ru давно немодно. У массхостеров хостятся владельцы полноценных доменов, а не пятого уровня. А на них никаких лимитов нет. И они давно уже тоже автоматизировались - этих-то вот никому и не было жалко.
Но лимиты там не только на домен... и хостеры тянущие на 1 ип 100500 мелких лендингов через мышевозякание есть. и лимит у ЛЕ есть и на ИП откуда идут запросы, тоже. И на 1 акаунт есть.. понятно что если у вас ВПСки, то изнури ВПСки оно может выписываться самим клиентом, но это не всем подходит. Как минимум комуто придётся чтото колхозить, чтобы вписаться в лимиты и выписывать церты клиентам. Особенно нашим хостерам, тут заплатить, на данном этапе, не то, что жаба душит, а не очень деньги ходят напрямую. особенно елси это единстенный платёж за пределы страны.надо искать маршруты.
А с народом как раз просто всё, 1 раз выписывается *.народ.ру и все под ним и живут. тут если надо принять много клиентских доменов и плотно упхать по ИП, без оплаты в сторону ЛЕ, то возникают проблемы.
Как бы тебе объяснить… Понимаешь, проблемы каких-то там лендингов — это только их собственные проблемы. Захостить лендинг стоит $0.0/мес.+домен. Для этого достаточно не жить в стране-изгое и иметь валидную кредитную карту. У тебя на лендинге столько трафика нет, чтобы он хотя бы в $1 обошёлся. Классические хостеры мертвы, просто не все это ещё осознали.
Ну так это самый свободный и открытый браузер.
Помню как Сообщество™ на овно исходило и гнобило IE.
Писали письма в поддержку и тд.Ну чтошъ, кушайте щв06одьку полной ложкой))
какой толк от ваших однодневных сертификатов, когда корневые лежат по 5 лет?
вы не путайте, это другое, это кого надо сертификаты по пять лет
> вы не путайте, это другое, это кого надоровно тех, кому вы доверили "свою безопасТность"
https://www.opennet.dev/opennews/art.shtml?num=62906
Вы так говорите как будто альтернативу не сделают за пару часов.
Сейчас такое время, что импортозаместят и передадут на поддержку какому-нибудь Сберу и будет свой срепный браузер с традиционными ценностями, а за разработку Google скажут спасибо. И тут же в Google уволят 1000 программистов, которые с удовольствием вернуться и продолжат разрабатывать Google Chrome как бы он теперь не назывался.Как показывает практика с Nginx вполне рабочая схема. Более того я даже думаю, что многие вопросы не решаемые годами начнут наконец-то решать ...
> Как показывает практика с Nginx вполне рабочая схема.кек, его все меньше и меньше используют, застыл. И задачи которые он решал, сейчас не актуальны.
>GoDaddyСкамеры выпускают сертификаты, дожили. Это дискредитация всей идеи.
Я только недавно себе выпустил самоподсной серт до 2051 года, вертел я их всех с их хотелкалками.
интернет Вам не доверяет, а доверяет лишь вон тем...
Я тем не доверяю, а Ивану можно доверять, но если только буду знать кто он такой и откуда появился. Может он такой же как те... которым нельзя доверять...
Можете общаться с котом совершенно безопасно, да!
Это надо ещё проверить, какой у него сертификат ...
> Это надо ещё проверить, какой у него сертификат ...Хвост-и-усы у него - что тут еще проверять? А серту криптана он доверяет... пока миска полная.
Что помешает им след шагом отказывать в доступе от самоподписанных сертификатов?
И повертреть тебя)?
Они бы с радостью и http тоже бы за копали с радостью, только никакого другого бутстрапа и прочего для всяких девайсов не предусмотрено.И опять же, это приведёт только к тому что меинтейнеры добавят патчи которые этот функционал уберут.
> И опять же, это приведёт только к тому что меинтейнеры добавят патчи которые этот
> функционал уберут.ох эти виликие майнтейнеры, которым море переплюнуть как делать нефига!
Как там с rss, ftp, manifest v2 ? Майнтейнеры уже победили, особенно вот первое? (архисложнейшая ж задача - имея встроенный парсер xml, который из браузера никуда не делся)
Пожалуй ты прав, но по другой причине :)
Тот же ФФ обязывает меинтейнеров не менять ничего там или отказатся от названия+лого, поэтому все эти "меинтейнеры" фактически просто форкнули браузеры и теперь это всякие либревульфы и прочие кромите.А касательно "rss, ftp, manifest v2" - а кому оно надо?
Я RSS пробовал лет 15 назад и как то не срослось.
FTP - понадобился за последние 10 лет ровно один раз - конфиг в железку поправить.
Манифест - опять же мимо меня пролетело как то.
> Тот же ФФ обязывает меинтейнеров не менять ничего там или отказатся от названия+лого,
> поэтому все эти "меинтейнеры" фактически просто форкнулипрактически все кроме шерстяного как раз поменяли название и лого.
В остальном, кроме пары _измененных_ (т.е. сделанных не ими) настроек - не отличаются ничем. А шерстяной просто хронически не в состоянии в одиночку гнаться за современным вебом, который еще и намеренно пакостят так чтобы он почти не мог работать на немодном браузере.
> А касательно "rss, ftp, manifest v2" - а кому оно надо?
вот и с твоими сертами так будет - "я пробовал 15 лет назад, что-то не впечатлило - сейчас ведь у всех однодневные, зачем мне это еще и где-то патчить хз где"
Разумеется оно никому не надо, поскольку браузерами не открывается. А пока открывалось - было везде. Файлы, прикинь, раздавали протоколом предназначенным именно для потоковой отдачи огромных бинарников, а не гипертекста с парой картинок. Не надо было пицот раз обновлять главную сайта чтобы увидеть, поменялось там чего или нет - достаточно было глянуть букмарки. Ну и рекламой теперь можешь наслаждаться в полный рост.
Да уж, даже с ФФ обычным бывает не работает или глючит.
Мне уже пришлось дорасти до "хакинга" - удалять отдельные DOM через консоль ФФ чтобы оно местами работало.Насчёт меня и однодневных - наверное к этому и придёт. )
Ну вот кому ты про FTP рассказываешь?)
Для обычного юзера он как раз часто был проблемной штукой чтобы просто скачать, ибо там какой то непонятный пассивный режим нужно было чтобы оно работало и бывало ещё какие то ALG в роутерах и прочая магия. Тогда как по хттп оно просто качалось всегда без проблем.
С точки зрения протокола - они оба текстовые с возможностью передачи бинарных данных.
И основная фишка FTP это возможность скопировать файл между двумя хостами оставатья на третьем хосте. Но я никогда этим не пользовался ибо когда FTP был - у меня не было никаких хостов за пределами домашней сетки, а теперь есть ssh+scp/rsync делающий примерно тоже самое.
И файлы по ftp я буквально пару раз заливал куда то.
По хорошему FTP мог бы жить, если бы МС не пыталось сделать корявый WebDAV и умело монтировать FTP как диск.
В RSS вроде тоже умудрялись пихать рекламу. Я рекламу на unbound вырезаю (яндекс пришлос целиком вырезать :) ).
А они вертели тебя.
Ога, теперь на своём уютном сайтеге предлагай установить всем еще и свой самопальный рут ...
без которого толку от твоего самоподписного чуть меньше, чем нифига.
Блогер с миллионной аудиторией может это сделать.
> Блогер с миллионной аудиторией может это сделать.нет, потому что у миллионной аудитории - лапки.
Останется с тремя нердами и одной тульпой. Нердов на самом деле было шесть, но у троих шапочка из фольги запрещает установку чужих сертификатов или нажать кнопку "ок, я лучше тебя знаю"
Это пять!
Убил на повал ;)
Ходите ко мне по http, сертификат для своих=домашних.
Я надеюсь, сертификат на другом ip и другом домене?
А то модный-современный браузер все равно, даже при явном указании протокола, полезет по https, напорется на невалидный сертификат и не факт что покажет что-то кроме пустой белой страницы с двумя строчками неведомой xepни.
На том же, я ж дома хостюсь на dyndns и целей зохватить весь мир у меня нет.
Так и запишем, планов по порабощению Мира не имеет! ;)
ну вот мне пришлось отказаться от поддержки не-https сайта. Потому что т-порылые браузеры лезли по протоколу который явно им сказано было не использовать, напарывались не на то что ожидали и ой... пустая белая страница с двумя строчками неведомой фигни и без кнопки продолжить.
> ну вот мне пришлось отказаться от поддержки не-https сайта. Потому что т-порылые
> браузеры лезли по протоколу который явно им сказано было не использовать,
> напарывались не на то что ожидали и ой... пустая белая страница
> с двумя строчками неведомой фигни и без кнопки продолжить.Мда, особенно бесит когда строишь реверс прокси через какой-нибудь клодфллаер и переключаешь режимы для проверки ... то кеш мозги трахает, то браузгер лезет куда не просят ...
http в броузерах скоро тоже запретяти если кто не понял- кто выпускает сертификаты, тот владеет интернетом
Осталось только как то понять, что этот сертификат действительно ваш, а не mitm-а
Я их дома пинню к девайсам, а остальным мои сертификаты не нужны, для вас и обычного http хватит.
Но я не запрещаю посторонним ходить по мне по https, так что хотите принимайте - хотите нет, mitm не моя проблема, мой сайтег не предоставляет регистрацию/авторизацию, только ознакомительный просмотр.
> только ознакомительный просмотДа и смотреть там особо нечего, так что никто и не ходит.
Так и есть :)
> обычного http хватитМне вот не хватило.
Авторы броузеров принудительно блокируют часть фич в случае обычного http.
Например, нельзя в буфер обмена текст закинуть, если у вас не https.
https://developer.mozilla.org/en-US/docs/Web/API/Clipboard/w...
А нельзя как-нибудь сделать чтобы и по https тоже никто не лазил в буфер?Когда мне понадобится что-то скопировать - я обойдусь без их помощи.
(и разумеется, да, сама идея что https дает индульгенцию от всего - совершенно бредовая)
дык а толку от него теперь, когда Браузер будет показывать вместо твоего сайта пустое белое окно с парой строчек бессмысленной xepни и без кнопки "продолжить"? Они именно так это сделают.
> Я только недавно себе выпустил самоподсной серт до 2051 года, вертел я
> их всех с их хотелкалками.Осталось только пользователям правилльные браузеры "от ивана" раздать чтобы они на это не бухтели.
Сертификаты минцифры ж так не будут?
Коенчно, нет. Они же самые надёжные.
> Сертификаты минцифры ж так не будут?Так же не будут, умножай цену минимум на 2 ...
Они же скрепные, тут понимать надо!
хотя если срок будет в 10 раз короче и платить надо будет в 10 раз чаще...то про два раза у минцифры это какое-то пугание ежа...
Странно, а я вот наоборот вижу, что цены в 10 раз дешевле.
они разве платные?
Ещё один шаг в направлении вытеснения человека из его жизни. Приближает манипулирование интернетом.
Пока будет выдавать ошибку. Какой следующий шаг? Не открывать? Налицо "закрепление себя в процессе". Если раньше "на поклон" приходилось ходить раз в год, то в будущем - раз в месяц. Матрица атакует.
>Какой следующий шаг?Белые списки:
https://rkn.gov.ru/press/news/news74921.htm
Зачем смешивать доверие протоколу шифрования и посредничество между сайтом и посетителем этого сайта?
Речь идет о протоколах шифрования VPN
Раньше ошибки сертификата можно было игнорировать нажатием кнопки, теперь кнопку убрали.
В каком браузере? А то при заходе в Сбер Falkon'ом возможность игнорировать имеется.
Falkon - не браузер.
> Кроме того, короткодействующие сертификаты станут стимулом для внедрения автоматических систем управления сертификатами, избавленными от человеческого фактора.Одну проблему заменяют другой проблемой, можно подумать что автоматические системы святы, не ломаемы, без багов и вообще без факторов...
10 лет существования LE наглядно показывают, что скрипт лажает на порядки реже по сравнению с человеками.
> 10 лет существования LE наглядно показывают, что скрипт лажает на порядки реже
> по сравнению с человеками.И как это поможет овнеру если система скомпроментированна ?
Автомат в таком случае поможет только атакующему, т.к. админ будет наивно верить что "все на автомате", а то самый скрипт в бэкграунде оказывается уже и не совсем тот cert-manager/lego/dehydrated, а засланный казачок... да даже не трогая целостность обновилки, вредный трафик будет теперь под надежным зашифрованном соединении.Вся эта пляска с сертификатами исключительно - контроль за интернетом, а не переживание за клиентские коннекты где кроме банков основной трафик про кошечек, мат, пранки и который и так на всех парах шарится между всеми без секретов.
>> 10 лет существования LE наглядно показывают, что скрипт лажает на порядки реже
>> по сравнению с человеками.
> И как это поможет овнеру если система скомпроментированна ?SSL защищает не _владельца ресурса_, а преимущественно _пользователей_ если что. Причем не только от "утечки plain-text password'а при передаче" - но и от подстановки всякоего жыеса ин-зе-миддл, ну и вопрос доверия тудой-сюдой обеспечивает. Фиговенько конечно - но оно в распределенной недоверенной среде вообще товар дефицитный.
Плюс - "компроментация" воооовсе не основной источник проблем при использования СыСыЕля. Вот такого чтоб кто-йто сертификат спер и ин-зе-миддл устроил я за 25+ лет работы по тырдырпрайсам если честно ни разу не видел - а чтоб из за просроченного серта система той или иной степени критичности в неудобосказуемую позу свернулась - два\три раза в год наблюдаю.> Автомат в таком случае поможет только атакующему, т.к. админ будет наивно
> верить что "все на автомате", а то самый скрипт в бэкграунде
> оказывается уже и не совсем тот cert-manager/lego/dehydrated, а засланный казачок... да
> даже не трогая целостность обновилки, вредный трафик будет теперь под надежным
> зашифрованном соединении.Модель угроз разная. Утечка серта путем тыринга увольняющимся Одмином не детектируется никак, а активный интрудер - вполне себе следы оставляет.
Ну и да, повторюсь - лично мне основной профит скорее в том, чтобы не понадобилось ИБ в очередной раз доказывать, что ACME+SCEP организации таки нужен, и что "лист замены сертификатов" в исполнительной документации конечной системы нихрена их не заменяет
> Вся эта пляска с сертификатами исключительно - контроль за интернетом, а не
> переживание за клиентские коннекты где кроме банков основной трафик про кошечек,
> мат, пранки и который и так на всех парах шарится между
> всеми без секретов.Модель угроз, ага. Вам провайдер рекламу в трафик не пихал? Ну вот по тому в последнее время и не, что http в дикой природе считай что и не осталось.
> SSL защищает не _владельца ресурса_, а преимущественно _пользователей_ если что. Причем
> не только от "утечки plain-text password'а при передаче" - но и
> от подстановки всякоего жыеса ин-зе-миддл, ну и вопрос доверия тудой-сюдой обеспечивает.Защищает от кого - вот в чем вопрос, от скрипткидов и мамкиных кулхацкеров - не более. Когда любой CA, чей корень у тебя в систему прописан может выписать любой серт - это так себе защита на уровне "от гос-ва". Зря что ли распихиваются везде корни от всякой минцифры и т.п., т.е. подконтрольные гос-ву CA. Попробуй хоть маленько задуматься хоть маленько - защита это, или таки контроль. Нельзя же быть таким тепленьким.
>> SSL защищает не _владельца ресурса_, а преимущественно _пользователей_ если что. Причем
>> не только от "утечки plain-text password'а при передаче" - но и
>> от подстановки всякоего жыеса ин-зе-миддл, ну и вопрос доверия тудой-сюдой обеспечивает.
> Защищает от кого - вот в чем вопрос, от скрипткидов и мамкиных
> кулхацкеров - не более. Когда любой CA, чей корень у тебя
> в систему прописан может выписать любой серт - это так себе
> защита на уровне "от гос-ва". Зря что ли распихиваются везде корни
> от всякой минцифры и т.п., т.е. подконтрольные гос-ву CA. Попробуй хоть
> маленько задуматься хоть маленько - защита это, или таки контроль. Нельзя
> же быть таким тепленьким.Ну вот в диапазоне между первыми и последними есть мно-ооого кого еще - от сотрудников провайдеров до работников датацентров, включая хитровымудренных любителей физического подключения к оборудованию в подъезде и разворачивателей free wifi в общественных местах.
Вот на гос-во (Особенно не родное) в этом контексте мне больмень все равно (И ему на меня плевать, ага) - а вот на прочих-равных уже и не очень: - но у вас в плаще-и-шляпе может быть другая.
>[оверквотинг удален]
>> маленько задуматься хоть маленько - защита это, или таки контроль. Нельзя
>> же быть таким тепленьким.
> Ну вот в диапазоне между первыми и последними есть мно-ооого кого еще
> - от сотрудников провайдеров до работников датацентров, включая хитровымудренных любителей
> физического подключения к оборудованию в подъезде и разворачивателей free wifi в
> общественных местах.
> Вот на гос-во (Особенно не родное) в этом контексте мне больмень все
> равно (И ему на меня плевать, ага) - а вот на
> прочих-равных уже и не очень: - но у вас в плаще-и-шляпе
> может быть другая.тебе чел говорит, что были ca, которые раздавили первому попавшемуся рутовые серты, без разница какое там государство посередине если _каждый_ умудряется встать посередине
>[оверквотинг удален]
>> Ну вот в диапазоне между первыми и последними есть мно-ооого кого еще
>> - от сотрудников провайдеров до работников датацентров, включая хитровымудренных любителей
>> физического подключения к оборудованию в подъезде и разворачивателей free wifi в
>> общественных местах.
>> Вот на гос-во (Особенно не родное) в этом контексте мне больмень все
>> равно (И ему на меня плевать, ага) - а вот на
>> прочих-равных уже и не очень: - но у вас в плаще-и-шляпе
>> может быть другая.
> тебе чел говорит, что были ca, которые раздавили первому попавшемуся рутовые серты,
> без разница какое там государство посередине если _каждый_ умудряется встать посерединеНу, не "первому попавшемуся", а крупным производителям железок, продаваемым крупным же тырдырпрайзам - и да, этих CA у вас в системе скорее всего уже нет. Так же как и CA минцифры у меня - не доверяем CA сталбыть не ставим его рутовый серт. Что не так-то?
>[оверквотинг удален]
>>> равно (И ему на меня плевать, ага) - а вот на
>>> прочих-равных уже и не очень: - но у вас в плаще-и-шляпе
>>> может быть другая.
>> тебе чел говорит, что были ca, которые раздавили первому попавшемуся рутовые серты,
>> без разница какое там государство посередине если _каждый_ умудряется встать посередине
> Ну, не "первому попавшемуся", а крупным производителям железок, продаваемым крупным же
> тырдырпрайзам - и да, этих CA у вас в системе скорее
> всего уже нет. Так же как и CA минцифры у меня
> - не доверяем CA сталбыть не ставим его рутовый серт. Что
> не так-то?всё так, кроме того что сама система порочна изначально
> всё так, кроме того что сама система порочна изначальноОу. Так с этим, в общем-то _здесь_ никто особо и не спорит. Ибо "жизнь такова, какова она есть и больше никакова"(С)
> Ну, не "первому попавшемуся", а крупным производителям железок, продаваемым крупным же
> тырдырпрайзам - и да, этих CA у вас в системе скорее
> всего уже нет. Так же как и CA минцифры у меня
> - не доверяем CA сталбыть не ставим его рутовый серт. Что
> не так-то?Нука нука расскажи как среднестатистическому хомяку погрохать руты на своем розовеньком смартфончике с андроидом на борту ...
>> Ну, не "первому попавшемуся", а крупным производителям железок, продаваемым крупным же
>> тырдырпрайзам - и да, этих CA у вас в системе скорее
>> всего уже нет. Так же как и CA минцифры у меня
>> - не доверяем CA сталбыть не ставим его рутовый серт. Что
>> не так-то?
> Нука нука расскажи как среднестатистическому хомяку погрохать руты на своем розовеньком
> смартфончике с андроидом на борту ...Ну, у меня на гнусмасе - настройки - безопасность и конфиденциальность - другие настройки безопасности - сертификаты безопасности - там галками, а что?
> SSL защищает не _владельца ресурса_, а преимущественно _пользователей_ если что.Т.е., если ресурс скомпроментирован и гонит чухню через не протухший сертификат - это защита пользователей ?
> но и от подстановки всякоего жыеса ин-зе-миддл,
Вот это и есть одна из целей единоличных правителей мира сего, чтоб все было под единым их контролем, а то ишь, какие-то там Казахстаны решили свой собсвенный СА внедрить. Они ведь святые! Не то что там всякие бобики мелкие
> ну и вопрос доверия тудой-сюдой обеспечивает.Т.е. можно смело доверять "честным" СА находящимся под контролем всего нескольких стран ? А ничего, что "100%-ой честности" не было нигде и никогда. Ничего что уже полностью взяли управу полностью над браузерами и теперь подкручивают под них СА - только одна маленькая группа "сильных мира сего"?
> Вот такого чтоб кто-йто сертификат спер и ин-зе-миддл устроил я за 25+ лет работы по тырдырпрайсам если честно ни разу не видел
Странно... не слышали за 25+ лет про компроментации в ДигиНотар, СтартКом, Комодо, ТуркТруст, CNNIC, Симантик (и все кто под ним ВериСайн, ГеоТраст,РапидССЛ)
Про ваши тырдырпрайсы не знаю, но знаю такие случаи у других
> просроченного серта система той или иной степени критичности в неудобосказуемую позу свернулась
Так то надежная обратня связь, хелсчек по технически :) При условии что СА не скопроментирован, шифрование от этого не хромает, так как единственное что тригерится - просрочка, но подписанты те же, ничего не поменялось, все зашифрованно и так же на самом деле надежно, а обломившиеся клиенты "автоматом" пришлют тикеты :)
> что ACME+SCEP организации таки нужен
Так никто и не спорит, что надо. Просто сжатие верификации до одного месяца будет тригерить как миниум раз в месяц коротенький даунтайм пока серваки рестартуют чтоб применить новый сертификат и быть готовым к тому, что кто-то внес "простенькое" изменение в конфиги и "забыл" верифицировать со всеми вытекающими даунтаймами и уже не короткими.
Все это делается чтоб отсечь не угодные и облажавшиеся СА, а не забота про конечные серваки по всему миру, ну и автоматический health-check работающих ресурсов, чтоб обновлять ИИ только актуальными данными и убирать из говорилки старьё
> Вам провайдер рекламу в трафик не пихал?Все верно, зачем много гопников, всё должно быть поделенно на "раёны" и принадлежать только нескольким крутым паханам
> что http в дикой природе считай что и не осталось.
Ну да, подрулили так, что теперь смартнутые девопсы даже в пределах локалхоста гоняют IPC через хттпс
>> SSL защищает не _владельца ресурса_, а преимущественно _пользователей_ если что.
> Т.е., если ресурс скомпроментирован и гонит чухню через не протухший сертификат -
> это защита пользователей ?Да-да, от гопников в подворотне они ТОЖЕ не защищают. Выкинуть, срочно выкинуть!
"Модель угроз" и "модель нарушителя" - КЛЮЧЕВЫЕ вещи в ИБ. Без понимания "от чего" и "от кого" мы хотим защититься - все остальное бессмысленно.>> но и от подстановки всякоего жыеса ин-зе-миддл,
> Вот это и есть одна из целей единоличных правителей мира сего, чтоб
> все было под единым их контролем, а то ишь, какие-то там
> Казахстаны решили свой собсвенный СА внедрить. Они ведь святые! Не то
> что там всякие бобики мелкиеНу вот и не доверяют ни минцифре ни казахстанскому CA примерно никто, кроме тех, кого "доверять" заставляют под угрозой "отключим газ!". И да, от этой угрозы SSL ТОЖЕ не защищает!
>> ну и вопрос доверия тудой-сюдой обеспечивает.
> Т.е. можно смело доверять "честным" СА находящимся под контролем всего нескольких стран
> ? А ничего, что "100%-ой честности" не было нигде и никогда.0\100 - почти всегда ложная дихотомия.
> Ничего что уже полностью взяли управу полностью над браузерами и теперь
> подкручивают под них СА - только одна маленькая группа "сильных мира
> сего"?Конечно ничего. Альтернативы - хуже. Нет, вы можете конечно попробвать еще раз уеб-оф-труст-бу-жпж, но вангую что снова не взлетит.
>> Вот такого чтоб кто-йто сертификат спер и ин-зе-миддл устроил я за 25+ лет работы по тырдырпрайсам если честно ни разу не видел
> Странно... не слышали за 25+ лет про компроментации в ДигиНотар, СтартКом, Комодо,
> ТуркТруст, CNNIC, Симантик (и все кто под ним ВериСайн, ГеоТраст,РапидССЛ)
> Про ваши тырдырпрайсы не знаю, но знаю такие случаи у другихЯ в них не работал. А вот в газпромах-лукойлах-сибурах-суэках-тплюсах - не, не слышал.
>> просроченного серта система той или иной степени критичности в неудобосказуемую позу свернулась
> Так то надежная обратня связь, хелсчек по технически :) При условии что
> СА не скопроментирован, шифрование от этого не хромает, так как единственное
> что тригерится - просрочка, но подписанты те же, ничего не поменялось,
> все зашифрованно и так же на самом деле надежно, а обломившиеся
> клиенты "автоматом" пришлют тикеты :)Да-да, только ИБ сплошь и рядом verify full просит и на ПСИ провеяет - а так ничего, да. Где-то, наверное, не просит - там "и та-аа-ак сойдет!"
>> что ACME+SCEP организации таки нужен
> Так никто и не спорит, что надо. Просто сжатие верификации до одного
> месяца будет тригерить как миниум раз в месяц коротенький даунтайм пока
> серваки рестартуют чтоб применить новый сертификат и быть готовым к тому,
> что кто-то внес "простенькое" изменение в конфиги и "забыл" верифицировать со
> всеми вытекающими даунтаймами и уже не короткими.Ухтыж. Разве что в совсем уж легасях - тех, кто принципиально не умеет без перезагрузки не так, чтобы много осталось, да и они в реальной жизни уже по куче реплик размотаны, так что тоже не критично. Т.е. конечно всегда найдется "нитакусик" - но он и сейчас находится: "Я сертификат поменял, а про перезагрузить не написано - год назад Вася делал, он уволился..."
> Все это делается чтоб отсечь не угодные и облажавшиеся СА, а не
> забота про конечные серваки по всему миру, ну и автоматический health-check
> работающих ресурсов, чтоб обновлять ИИ только актуальными данными и убирать из
> говорилки старьёДа-да, конечно.
>> Вам провайдер рекламу в трафик не пихал?
> Все верно, зачем много гопников, всё должно быть поделенно на "раёны" и
> принадлежать только нескольким крутым паханамУгу. Лучше платить налоги, чем общаться с кучей гопников, все правильно. К этому и пришли.
>> что http в дикой природе считай что и не осталось.
> Ну да, подрулили так, что теперь смартнутые девопсы даже в пределах локалхоста
> гоняют IPC через хттпсНу, я через wireguard стараюсь - но выходит не всегда. Ибэ бывает удивительно поибэ...
Про SAN сертификаты написали, а что про wildcard септификаты?
Удостоверящие Цетры тоже хотят кушать. Кушать чаше и больше.
У машины обслуживания мира кризис управления. )
А серты ведь не только раздавать , но и проверять и отзывать надо . Мало им хром наспамил в своё время - ничему не научились .
Вот чтоб всем этим не заниматься их и делаю короткоживущими. Пока вся бюрократия провернётся он уже и сам того.
>с марта 2029 года - до 47 дней.Ну, так до этого еще дожить нужно. Одни обещают Скайнет и ядерную войну в 2029, другие - метеорит и прочие "интересные события".
Смотря на то, как бурно нейросети развиваются, вероятность скайнета через 4 года уже совсем не нулевая.
Пожайлуйста, поскорее. Я про скайнет и ядерную войну. Ибо лучше сдохнуть в радиоактивный пепел, чем Новый Мировой Порядок.
Нет уж!DRM в каждый процессор и ПО! "Подписка" на воду (по аналогии с мобильными операторами за интернет).
Также плата за использование кириллицу родственниками Кирилла и Мефодия... И не забудьте заплатить тому автору, которому вы "вдохновились" чтобы написать ваш комментарий.
(Здесь должна быть около скрытая контекстная реклама.)
> "Подписка" на водуТы уже её платишь, это называется "коммунальные услуги"
Разумеется, корпорастия хочет, чтобы вы ПОСТОЯННО шлялись в сети - полный контроль за хомячками. А не будешь выходить в сеть - протухнет сертификат! Всё просто.
> А не будешь выходить в сеть - протухнет сертификат! Всё просто.Ты всегда пожешь принести свежих сертификатов на дискетке.
И все у тебя будет работать :)
Может тогда ну его к монаху, этот httpS ? Просто перейдём обратно на HTTP. Много ли сайтов, где у вас прям до зарезу нужна зашифрованность?? Просто придурки натолкали везде TLS, будто сраные статейки не прочесть без шифров.
https://opennet.ru/52444-spam
Его браузеры скоро перестанут открывать)
> Может тогда ну его к монаху, этот httpS ? Просто перейдём обратно на HTTP.А если у сайта просто не будет https версии?
> Много ли сайтов, где у вас прям до зарезу нужна зашифрованность?
Это уже создатель сайта сам решит.
> Просто придурки натолкали везде TLS, будто сраные статейки не прочесть без шифров.
А это от очень зависит)
Например если там что-то про воров и жуликов, или о том что "система прогнила и только полностью менять" то за статейку можно получить статейку.
Вы уже отключили в своём браузере поддержку js и css? Да даже в html много приколов можно натворить. Вы просто кажется забыли (или не знали), как охотно ваш провайдер побежит встраивать вам в трафик самую разную рекламу прямо в тело сайта и подменять ссылки на рефералки.
Шифрование и аутентификация нужны. Просто, походу, скоро придёт разделение на тех, кто нихрена не понимает и башляет бабки за воздух этим гоудядям, и тех, кто каждый сайт начнёт как в ssh добавлять в белый список при первом подключении.
Они и сейчас это делают если очень сильно хотят. В основном мобильные операторы. Ещё и десять всплывающих окон на каждом партнёрском сайте для имитации ручной верификации платных подписок. Отписок и подписок по кругу. Благо сейчас их с этим немного прижали.
Кстати, забавно, что это не подпадает УК РФ 272-273 (не видел дел), хотя статьи именно это и описывают.
Было бы здравым, чтобы было http, https и https+. Последний - с подписанным сертификатом, если кому-то нужно, а предпоследний - просто шифрованный; этого вполне многим было бы достаточно. Нешифрованный совсем - слишком уж голо... Однако лепить в одно - и доверие к сертификационным центрам, и шифрование данных - может оказаться черезмерным и нарушает свободу человека на ограниченную безопасность, если его таковая устраивает.
Можно https-dane
DANE завязан на DNSSEC, который ещё хуже, чем сертификаты со сроком жизни в 10 дней.
Кое-что не до конца продумано. Такой https получается весьма уязвимым для активных атак, в которых злоумышленник может построить свой фиктивный сервис. В качестве альтернативы в голову приходит пока что только обмен ключами между пользователями.
>Много ли сайтов, где у вас прям до зарезу нужна зашифрованность??Абсолютно все. В противном случае будет mitm, и самым лучшим последствием будет встраивание рекламы.
>Может тогда ну его к монаху, этот httpДа, пожалуйста, перейдите поскорее. Нам как раз нужен на вас полный компромат, на каждого.
Удивительно, что в этом CA/Browser Forum не оказалось Let's Encrypt, у которых TTL сертификатов 90 дней. Я так понимаю, что срок 47 дней сделан в пику Let's Encrypt - коммерческие СА счеты сводят.
поинтересуйтесь кто у ЛЕ родители.... они тут были. за него не переживайте.
https://en.wikipedia.org/wiki/Internet_Security_Research_Group
То-то они жаловались что нет сил больше поддерживать OCSP. А тут раз в месяц новые сертификаты генерировать.
ну раз в месяц подписывать явно дешевле, чем каждый день по 100 раз за час отвечать на OCSP. Я так понимаю они заранее знали, что оно так обернётся и это был один из этапов по подготовке.
подписывалка у них (да и у всех) упирается в ОДИН сильно безопастный ящик, потому что у сертификатов есть серийник.
И они давно уже просили беспокоить их пореже, и даже какие-то костыли в свой кривой скрипт на эту тему впиндюрили, чтоб не раз в час, а хотя бы раз в неделю приходил.А отвечать на ocsp - можно с хоть мильена коробочек, да еще и кэширующих.
Но, видимо, уважаемые их очень-очень попросили, и они взяли под козырек. А не будут брать - отключат газ.
Упс, отвалятся все старые принтеры и другие устройства, в которых эти сертификаты защиты и без танцев с бубнами их не обновить.
Не корневые сертификаты, а конечные.
>Предполагается, что генерация короткодействующих сертификатов позволит быстрее внедрять новые криптоалгоритмы в случае выявления уязвимостей в ныне действующих, а также сократит угрозы безопасности.С учётом огромного парка оборудования, порой китайского, неподдерживаемого уже в момент поступления на склад, уязвимости никуда не денутся. А люди просто перестанут обращать на это внимание. Мало ли умельцев в своё время отключали обновления той же винды?
Смотрю эту страницу с 15 летнего телефона. Верстка в порядке, на сертификат уже ругается.
Почему 47? Не 45, не 50, а именно 47 - что это за число такое?
как вариант - потому что простое (prime)
47 х 60 х 60 х 24 = 4060800
И что это такое?
Одобряю, может админы в моей конторе наконец-то научатся обновлять сертификаты автоматически
Я что-то всё ещё не вижу, как это помогает безопасности. Ухудшает только - все забьют. У кого-то часто уводят прям сертификаты вместе с доменом "совершенно случайно" чтобы сделать митм?
Иб...лись ?
каждые два месяца покупать новый серт и заливать его на сервисы
они предсатавляют сколько это волокиты и работы в финтех компаниях ?
> каждые два месяца покупать новый серт и заливать его на сервисыне покупать, а перегенерировать
> они предсатавляют сколько это волокиты и работы в финтех компаниях ?
Это запуск скрипта по крону, какая волокита?
и любой, добравшийся до этого скрипта - получает автоматический доступ ко всему трафику.Здорово-то как!
И да, у финтеха принято было _покупать_. В том числе и потому, что кое-где еще остался пининг.
Почему новости о подобном треше исходят постоянно от веб компаний?
В мире полно других стандартов и отраслей, но они присосались гадить именно в эту.
пусть лучше в одной, чем в всех сразу
проще будет альтернативу найти
это плохо или хорошо?
> "позволит быстрее внедрять новые криптоалгоритмы"Это DRM
>в случае незаметной утечки сертификата в результате взломаСкажите им кто-нибудь, что сертификаты в норме публично доступны. Компрометируется ключ, который системы обновления сертификатов не факт, что каждый раз меняют. Т.е. там же, где был уведен ключ, можно будет забрать свежий сертификат.
Не говори, а то с них станется начать ТРЕБОВАТЬ смены ключа. От этого поломается очень много тонких мест, и pkp далеко не единственное из них. Где проверяется вроде бы сертификат, но на самом деле проверяется ключ.
Не не, пусть требуют, пусть писаки это продвинут и пусть это хорошенько так пестанетца. Чтобы по всем постмортемам пролетела ссылка на решение и списки контор инициаторов
вон список в самом верху. Легче тебе стало?
> Компрометируется ключНа этом и приехали. И часто компрометируется?
А что мешает просто в настройках браузера для конкретного сайта поставить "игнорировать устаревание сертификата"?
Дkя какого сайта вы это будете делать, если сейчас все публичные ЦА дружно возьмут под козырёк и поменяют политику выдачи сертификатов, так что все валидные сертификаты к 15 марта 2026 года будут удовлетворять новым условиям ?
Ну написано в сертификате: выдан в июне, годен до июля. Но что мешает конечному пользователю игнорировать "до" и продолжать им пользоваться и после июля?
Сейчас везде https и браузер тебе мозги съест, "вы зашли на не доверенный сайт и теперь нажмите 100500 кнопок, чтоб действительно на него зайти". В гугло браузере по-моему уже нельзя внести сайт в доверенные, надо эту галиматью постоянно выбирать, во всяком случае, когда с ноута жены вхожу на роутер, там нет сохранялки.
Есть предположение что галку тоже уберут.
Это же опенсорс. Никто не мешает прикрутить галку обратно.
Ну, похоже на то, что приближается эпоха новых инструментов, обеспечивающих безопасный шифрованный трафик без ЦА.
Не понял. Центры сертификации никто не отменял, просто время жизни уменьшили, и на то есть веские основания.
При сроке жизни серта в 10 дней CA превращается в нехилую точку отказа.
А что бы противостоять ддосу, начнут генерировать сертификат на каждый запрос. :)
> При сроке жизни серта в 10 дней CA превращается в нехилую точку отказа.генерируешь пачку сертификатов на целый месяц (на день 1 сертификат) и заверяешь одним обращением, тут в случае хоть выхода из строя твоего CA на месяц, сервис твой не отвалится.
А при компрометации, пихаешь все будущие (на целый месяц) сертификаты в CRL или OCSP.
Уху, а CA тебе даст так сгенерировать?
> Уху, а CA тебе даст так сгенерировать?ну тогда пусть дает 100% гарантии доступности когда необходимо будет заверить очередной сертификат.
> Уху, а CA тебе даст так сгенерировать?а что теряет СА, конечно даст, ибо это разумное решение при уменьшении срока действительности сертификата до 1 дня. В одном условно CSR запросе, выдает заверенные однодневные сертификаты на месяц вперед.
CA обычно не дают генерить пачку сертов на один и тот же ресурс, предыдущие отзываются.
Можно конечно сделать так, как я делаю с шиткриптом - я меняю список доменов в SAN...
> CA обычно не дают генерить пачку сертов на один и тот же ресурс, предыдущие отзываются.а где это регламентируется, что нельзя, мол у одного доменного имени должен быть один сертификат? Не вижу причин, что бы такое не допускать.
> Можно конечно сделать так, как я делаю с шиткриптом - я меняю список доменов в SAN...
В смысле "я меняю список доменов в SAN..."? порядок?
Список. Туда один, сюда один. У меня этих SAN вагон и тележка, и в каждом по сотне доменов.
Рехнулись что-ли? Как их обновлять-то?
Окей, самоподписные можно и нагенерить.
Не, ну окей, совсем уж внешние на балансерах пусть будут, пофиг, балансеры можно и пнуть раз в неделю. Если только УЦ загнётся под нагрузкой или будет заддошен - ну окей, выпишем у двух-трёх УЦ.Но вот инфру было удобно держать на всё тех же пабликах DNS и сертах SAN. Короче к 2029 инфру придётся вернуть на разделённый DNS и самоподписные серты.
Девляпсы, привыкшие просто нафигачить с любого уголка мира в скриптах mgmt.resource.company.xyz, сунуть ему свой RSA-ключ и попасть в управлялку - будут выть волком, придётся и скрипты через VPN гонять, и ключ компанейского ЦА в браузере иметь.
> ключ компанейского ЦА в браузере иметь.бесполезно, на них и охота. Ишь, завели себе моду, сами себе выдавать сертификаты сроком на пять лет!
Пустая белая страница тебе вместо сайта!
Еще и будешь придумывать, как тебе впиндюрить на свой внутренний CA acme протокол и автоматическую раздачу сертификатов кому попало.
Или плюнешь, разотрешь, и пойдешь сдаваться летшиткрипту - даже с внутренних систем инфры, которым вообще строго настрого запрещено иметь хоть какую-то связь наружу.
> Рехнулись что-ли? Как их обновлять-то?
> Окей, самоподписные можно и нагенерить.Таки ж автоматом - через SCEP\ACME, не? Оно ж затем и делается, чтоб любители делать ЭТО руками наконец-то задолбались и сдались :).
> Таки ж автоматом - через SCEP\ACME, не?И вот это легло у вендора или он под DDoS попал - что делать дальше?
>> Таки ж автоматом - через SCEP\ACME, не?
> И вот это легло у вендора или он под DDoS попал -
> что делать дальше?Ну, я предполагаю, что если вы зачем-то поменяли дефолтные настройки acme-клиента на "обновлять в последний час последнего дня перед протуханием" - у вас есть какой-то план на этот счёт - ну-там "бегать кругами", "рвать на себе волосы", "обвинять во всем <companyname>", я не знаю.
Если ваш провайдер услуг не раздуплился с ddos'ом за 30% срока жизни сертификата - сталбыть, идея брать серт в подземном переходе у "v-asyan&gays" была не так хороша, и следующий раз вы воспользуйтесь услугами кого-то более надёжного - "let's encrypt" хотя бы...
Так с 10 днями жизни там каждый час - последний. DDoS'ы иногда неделями длятся.
(я уж молчу про вендорский саппорт у нынешних девляпсмикросервисов, который проблему может дней 60-80 решать)
> Так с 10 днями жизни там каждый час - последний. DDoS'ы иногда
> неделями длятся.Если вы нашли ca, который в лежку лежит трое суток так, что до него не достучаться - потеряйте обратно и переходите к "petyunia&boys" - они знают, что делать).
Актуальный кейс le показывает, что задача более, чем решаемая.
В конце концов, dns'ом автообновляемым вы, наверно, пользуетесь не боясь "анукакзадудосят?!" - или чтоб "не как у девляпсов!" файлики hosts майнтейните?
Актуальный кейс актуален, пока не появились 10-дневные серты.
Дальше кейс будет очень удобной точкой для атаки, которая положит многих.
> Актуальный кейс актуален, пока не появились 10-дневные серты.
> Дальше кейс будет очень удобной точкой для атаки, которая положит многих.... но это не точно ). Можете походить, подудосить LE, который обслуживает ~60% доменов с 90 днями, и экстраполировать результат на коммерческие CA с 2-5% доменов...
90 дней долговато. Вот уменьшат до 10 - желающие найдутся.
"dns'ом автообновляемым вы, наверно, пользуетесь"
Нет, не пользуемся. Собственные авторитетные резолверы для этого есть.
> "dns'ом автообновляемым вы, наверно, пользуетесь"
> Нет, не пользуемся. Собственные авторитетные резолверы для этого есть.И кэш поди - на год? Ну, чтоб уж точно не задудосили апстрим?
Какой апстрим-то, мы сами себе апстрим. Корневые зоны? Их сложно.
"При этом, изжитие практики ручного обновления сертификатов"
Правильно. Любой уважающий себя девляпс должен загружать и обновлять сертификаты с гитшляпа автоматически, чтобы в любой момент мог быть подсунут нужный на полчаса и вынут назад.
> Максимальное время жизни TLS-сертификатов сократят с 398 до 47 днейРаньше покупали на 398 дней, сейчас будут на 47. Доход сертифицирующего центра увеличивается более чем в 8 раз.
Блин. И здесь шринкфляция. Цена таже, а срок потихоньку уменьшают.
Не очень разбираюсь в этих сетевых тонкостях, но как подобную проблему решают в даркнетах? Тор-браузер использует http для .onion-сайтов. И всё работает без деланья мозгов как пользователям, так и владельцам. Магия какая-то.Мне кажется клирнет со временем будет заменен оверлейной сетью, которая изначально избавлена от излишней централизации в виде ca/dns.
> Мне кажется клирнет со временем будет заменен оверлейной сетью, которая изначально избавлена от излишней централизации в виде ca/dns.вопрос доверия не исчезает ведь, всегда можно сделать митм.
Есть мысль, что крупные CA протолкнут отмену этого шита, потому что иначе все, кто захочет кактус жевать, и правда в летсшиткрипт уйдут.
Все крупные ЦА давно дают получение по acme.
> Все крупные ЦА давно дают получение по acme.И даже с BV? :D
А что случилось? Придумали уже быструю факторизацию, или посчитали суммарную мощность криптоферм?