Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Let's Encrypt опубликовал описание атаки и план по устранени..." | +/– | |
Сообщение от opennews (??) on 10-Янв-18, 21:12 | ||
Сервис Let's Encrypt опубликовал (https://community.letsencrypt.org/t/2018-01-09-issue-with-tl...) описание уязвимости, из-за которой сегодня утром был отключен (https://www.opennet.dev/opennews/art.shtml?num=47882) метод проверки владения доменом TLS-SNI-01. | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
1. "Let's Encrypt опубликовал описание атаки и план по устранени..." | +3 +/– | |
Сообщение от Аноним (??) on 10-Янв-18, 21:12 | ||
То есть проблема даже не в CA. Расходимся. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
4. "Let's Encrypt опубликовал описание атаки и план по устранени..." | +7 +/– | |
Сообщение от тоже Аноним (ok) on 10-Янв-18, 21:50 | ||
Если CA выдает сертификаты не тем доменам, для которых они запрошены - это таки проблема в CA. | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
22. "Let's Encrypt опубликовал описание атаки и план по устранени..." | +/– | |
Сообщение от КО on 11-Янв-18, 09:40 | ||
В том то и проблема, что тем, которые запрошены. :) | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
23. "Let's Encrypt опубликовал описание атаки и план по устранени..." | +1 +/– | |
Сообщение от КО on 11-Янв-18, 09:52 | ||
Проблема в том, что те кто придумывал протокол, не подумали, что на одному ip могут быть сопоставлены несколько имен. | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
31. "Let's Encrypt опубликовал описание атаки и план по устранени..." | +/– | |
Сообщение от Аноним (??) on 11-Янв-18, 13:14 | ||
Провайдер вообще должен запретить загрузку сертификатов для невалидных доменов. А если он хочет дать возможность юзерам нормально использовать LE, лучший способ — самому получать и продлевать сертификаты для клиентов. | ||
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору |
32. "Let's Encrypt опубликовал описание атаки и план по устранени..." | +/– | |
Сообщение от КО on 11-Янв-18, 14:24 | ||
Об чем и речь. | ||
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору |
35. "Let's Encrypt опубликовал описание атаки и план по устранени..." | +/– | |
Сообщение от Аноним (??) on 11-Янв-18, 15:17 | ||
Если ты не в курсе, это давно уже нормальная практика на многих хостингах применительно к другим CA. | ||
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору |
27. "Let's Encrypt опубликовал описание атаки и план по устранени..." | +/– | |
Сообщение от Анонимный Алкоголик (??) on 11-Янв-18, 12:17 | ||
> В том то и проблема, что тем, которые запрошены. :) | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
33. "Let's Encrypt опубликовал описание атаки и план по устранени..." | +/– | |
Сообщение от КО on 11-Янв-18, 14:29 | ||
Проблема не в том, чтобы выдавать сертификат на запрошенный домен, а в том, чтобы не выдавать его кому-попало. | ||
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору |
3. "Let's Encrypt опубликовал описание атаки и план по устранени..." | –4 +/– | |
Сообщение от Аноним (??) on 10-Янв-18, 21:34 | ||
Эпично. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
5. "Let's Encrypt опубликовал описание атаки и план по устранени..." | +16 +/– | |
Сообщение от Nikodim on 10-Янв-18, 21:54 | ||
Let's Encrypt как всегда рулит и оперативно исправляет проблемы! В отличии от проприетарщиков и коммерциалов, которые годами замалчивают бэкдоры и эксплойты. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
6. "Let's Encrypt опубликовал описание атаки и план по устранени..." | –12 +/– | |
Сообщение от пох on 10-Янв-18, 22:13 | ||
> Let's Encrypt как всегда рулит и оперативно исправляет проблемы! | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
7. "Let's Encrypt опубликовал описание атаки и план по устранени..." | +2 +/– | |
Сообщение от XoRe (ok) on 10-Янв-18, 22:31 | ||
>> Let's Encrypt как всегда рулит и оперативно исправляет проблемы! | ||
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору |
8. "Let's Encrypt опубликовал описание атаки и план по устранени..." | –1 +/– | |
Сообщение от Аноним (??) on 10-Янв-18, 22:39 | ||
Для начала использовать действительно безопасные механизмы верификации. | ||
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору |
10. "Let's Encrypt опубликовал описание атаки и план по устранени..." | –1 +/– | |
Сообщение от пох on 10-Янв-18, 22:50 | ||
> HTTP, DNS, SNI — все они уязвимы к MITM. | ||
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору |
16. "Let's Encrypt опубликовал описание атаки и план по устранени..." | +2 +/– | |
Сообщение от key (??) on 11-Янв-18, 05:46 | ||
> Лет через пять останутся | ||
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору |
21. "Let's Encrypt опубликовал описание атаки и план по устранени..." | –3 +/– | |
Сообщение от Аноним (??) on 11-Янв-18, 09:27 | ||
А вот и боты-добровольцы пожаловали. | ||
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору |
25. "Let's Encrypt опубликовал описание атаки и план по устранени..." | +2 +/– | |
Сообщение от Аноним (??) on 11-Янв-18, 10:41 | ||
> меланин в молоке | ||
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору |
37. "Let's Encrypt опубликовал описание атаки и план по устранени..." | +/– | |
Сообщение от другой Аноним on 11-Янв-18, 16:11 | ||
>> меланин в молоке | ||
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору |
40. "Let's Encrypt опубликовал описание атаки и план по устранени..." | –1 +/– | |
Сообщение от Аноним (??) on 12-Янв-18, 16:21 | ||
> Удивился. МелаМин? | ||
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору |
41. "Let's Encrypt опубликовал описание атаки и план по устранени..." | +/– | |
Сообщение от другой Аноним on 12-Янв-18, 20:20 | ||
>>>> меланин в молоке | ||
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору |
28. "Let's Encrypt опубликовал описание атаки и план по устранени..." | +/– | |
Сообщение от Аноним (??) on 11-Янв-18, 12:39 | ||
| ||
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору |
34. "Let's Encrypt опубликовал описание атаки и план по устранени..." | +2 +/– | |
Сообщение от Аноним (??) on 11-Янв-18, 15:17 | ||
То есть, если писать короче и без обличительного тона, LE обладает всеми теми же недостатками, что и любой другой CA, только делает это бесплатно. В чём проблема, не пойму? | ||
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору |
17. "Let's Encrypt опубликовал описание атаки и план по устранени..." | +/– | |
Сообщение от angra (ok) on 11-Янв-18, 06:56 | ||
> Для начала использовать действительно безопасные механизмы верификации. | ||
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору |
19. "Let's Encrypt опубликовал описание атаки и план по устранени..." | +/– | |
Сообщение от Аноним (??) on 11-Янв-18, 09:09 | ||
> На данный момент тем, кому по силу осуществить MITM такого масштаба, это не нужно, а те, кому это обычно нужно, на такое не способны. | ||
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору |
39. "Let's Encrypt опубликовал описание атаки и план по устранени..." | +/– | |
Сообщение от angra (ok) on 11-Янв-18, 20:27 | ||
У меня даже идей нет, как из моих слов можно было сделать столь идиотский вывод. | ||
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору |
9. "Let's Encrypt опубликовал описание атаки и план по устранени..." | +1 +/– | |
Сообщение от Аноним (??) on 10-Янв-18, 22:39 | ||
Каким ещё шантажом? Клиенты таких хостингов в любом случае не имеют возможности нормально использовать TLS-SNI, так что они ничего не потеряют. | ||
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору |
24. "Let's Encrypt опубликовал описание атаки и план по устранени..." | –1 +/– | |
Сообщение от КО on 11-Янв-18, 09:54 | ||
>Let's Encrypt как всегда рулит и оперативно исправляет проблемы! | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
30. "Let's Encrypt опубликовал описание атаки и план по..." | –2 +/– | |
Сообщение от arisu (ok) on 11-Янв-18, 13:12 | ||
> Let's Encrypt как всегда рулит | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
36. "Let's Encrypt опубликовал описание атаки и план по..." | +/– | |
Сообщение от Аноним (??) on 11-Янв-18, 15:24 | ||
Такая-то возможность выстрелить с отличным прибыльным бизнесом и показать и этим недоучкам, и их идиотам, как надо. Но ты вместо этого сидишь и комменты на опеннет строчишь… Придётся и дальше LE пользоваться? | ||
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору |
11. "Let's Encrypt опубликовал описание атаки и план по устранени..." | –1 +/– | |
Сообщение от Аноним (??) on 10-Янв-18, 23:29 | ||
А если в роли атакующего будет хостинг провайдер? Который специально все неправильно настроит и сам получит сертификат. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
12. "Let's Encrypt опубликовал описание атаки и план по устранени..." | +1 +/– | |
Сообщение от пох on 10-Янв-18, 23:53 | ||
> А если в роли атакующего будет хостинг провайдер? | ||
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору |
15. "Let's Encrypt опубликовал описание атаки и план по устранени..." | +/– | |
Сообщение от key (??) on 11-Янв-18, 05:39 | ||
Мы хоть и не хостинг провайдеры но и сейчас оформляем вместо клиентов бесплатные сертификаты. | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
29. "Let's Encrypt опубликовал описание атаки и план по устранени..." | +/– | |
Сообщение от Анонимный Алкоголик (ok) on 11-Янв-18, 12:50 | ||
>> А если в роли атакующего будет хостинг провайдер? | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
13. "Let's Encrypt опубликовал описание атаки и план по устранени..." | +/– | |
Сообщение от Анонимус2 on 11-Янв-18, 00:38 | ||
Ваш хостинг-провайдер сможет себе выписать сертификат (не EV) в любом CA, а может и не выписывать, а просто перенаправить весь ваш (уже расшифрованный) траффик куда ему захочется и менять его как ему хочется. | ||
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору |
26. "Let's Encrypt опубликовал описание атаки и план по устранени..." | +/– | |
Сообщение от Аноним (??) on 11-Янв-18, 10:46 | ||
> А если в роли атакующего будет хостинг провайдер? Который специально все неправильно | ||
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору |
14. "Let's Encrypt опубликовал описание атаки и план по устранени..." | +/– | |
Сообщение от Аноним (??) on 11-Янв-18, 02:58 | ||
Порицаю провайдеров. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
18. "Let's Encrypt опубликовал описание атаки и план по устранени..." | +/– | |
Сообщение от mrkaban (ok) on 11-Янв-18, 08:24 | ||
Спасибо за информацию, будем ждать список провайдеров | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
20. "Let's Encrypt опубликовал описание атаки и план по устранени..." | +/– | |
Сообщение от Аноним (??) on 11-Янв-18, 09:20 | ||
> Спасибо за информацию, будем ждать список провайдеров | ||
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |