Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Let's Encrypt начал выдавать сертификаты для IP-адресов и 6-дневные сертификаты"	+/–
Сообщение от opennews (??), 16-Янв-26, 22:21
Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, начал выдавать бесплатные сертификаты для  IP-адресов, а также предоставил возможность получения TLS-сертификатов, время жизни которых ограничено 160 часами (6 днями). 13 мая намерены добавить поддержку выдачи сертификатов, действующих 45 дней. В соответствии с ранее объявленным планом 10 февраля 2027 года максимальный срок действия сертификатов будет сокращён с 90 до 64 дней, а 16 февраля 2028 года - до 45 дней... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64628
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 16-Янв-26, 22:21	+22 +/–
Ждём сертификаты на 1 час через пару лет.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #24

3. Сообщение от al (??), 16-Янв-26, 22:24	–1 +/–
Ну как же dns-01 запретили? ))))
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

4. Сообщение от нах. (?), 16-Янв-26, 22:28	+1 +/–
нишмагли осилить парсинг in-addr.arpa (при том что так-то на первый и второй погляд - ЭТИ зоны понадежнее прямых, поскольку кому попало не выдаются, и перехватить их посложнее будет)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #66

5. Сообщение от нах. (?), 16-Янв-26, 22:38	+7 +/–
следующий ход - запритить-запритить всем браузерам работать с self-signed и нешифрованным http окончательно и бесповоротно. Хочешь поменять настройки в своем тплинке или к умному телевизору подцепиться или еще какому интернету вшей - вешай на них паблик адрес и выставляй голым задом в интернет.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #47, #67, #78, #96

6. Сообщение от Аноним (6), 16-Янв-26, 22:43	–3 +/–
>короткоживущие сертификаты помешают злоумышленникам длительное время контролировать трафик жертвы или использовать сертификаты для фишинга Это надо понять и признать, что сейчас интернет быстро расширяется и всё больше на него завязано, так, что всё логично и вопросом безопасности стоит задаться: - https://habr.com/ru/articles/968218/ - https://opennet.ru/56830-tls
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #106

7. Сообщение от Аноним (9), 16-Янв-26, 22:43	+2 +/–
> контролируемый сообществом Откуда такая информация?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8

8. Сообщение от Аноним (6), 16-Янв-26, 22:53	–5 +/–
Отсюда: https://letsencrypt.org/about/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #11, #12

9. Сообщение от Аноним (9), 16-Янв-26, 22:54	+25 +/–
SNAP-талоны на однократное посещение сайта.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #133

11. Сообщение от Аноним (9), 16-Янв-26, 22:56	+/–
Сами про себя на своём сайте? Может, кто-то расскажет, чей CA стоит на вершине цепочки?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #13, #26

12. Сообщение от Аноним (9), 16-Янв-26, 22:59	+1 +/–
> называть себя сообществом Дело не в том, как назвать себя... Дело тут немного в другом... Кто подписал их? :) (вопрос риторический) Почему никакое другое сообщество не прокатит?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #33

13. Сообщение от Аноним (6), 16-Янв-26, 22:59	–3 +/–
Ознакомьтесь с историей создания: https://en.wikipedia.org/wiki/Let%27s_Encrypt
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #107

18. Сообщение от Аноним (18), 16-Янв-26, 23:04	–3 +/–
Кому надо, тот будет по будильнику перетыркивать патчкорд в ДЦ на пару секунд, для перехвата серта. Как оно было с одним хмпп сервером.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #31

19. Сообщение от Аноним (18), 16-Янв-26, 23:08	–1 +/–
> сертификаты для IP-адресов, а также предоставил возможность получения TLS-сертификатов, время жизни которых ограничено 160 часами (6 днями) Ну, в принципе, логично. IP проще сменить, чем домен. Да и не всегда он по твоей воле меняется.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #89

21. Сообщение от Аноним (24), 16-Янв-26, 23:19	+/–
кто там кричал, что частая смена паролей никак не влияет на безопасность, объясните свою логику LE.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29, #43

24. Сообщение от Аноним (24), 16-Янв-26, 23:21	+6 +/–
> Ждём сертификаты на 1 час через пару лет. слишком много, на каждую сессию - свой!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #126

26. Сообщение от Аноним (26), 16-Янв-26, 23:32	–1 +/–
Сейчас летсенкрипт не зависит в цепочке ни от какого другого CA. Но сообщество состит из этих ребят https://www.abetterinternet.org/sponsors/ Let's Encrypt это не хорошо и не плохо, это просто окончательное и безповоротное закрытие кормушек для других CA. Потому, что aws, google, ovh и другие ребята решили, что катлету делить с мухами вроде комодо это неправильно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #30, #42, #145

29. Сообщение от нах. (?), 16-Янв-26, 23:37	+/–
LE прекрасно знает что это влияет на безопасность ровно отрицательнымм образом. Для того и работают. Как и пропагандисты обязательных смен нескомпроментированных паролей раз в три часа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #36, #37

30. Сообщение от Аноним (6), 16-Янв-26, 23:38	+/–
Спонсоров там много (*прокрутите вниз): https://letsencrypt.org
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

31. Сообщение от нах. (?), 16-Янв-26, 23:44	+1 +/–
кому надо знает что для этого физически ничего никуда тыкать не надо. Более того, с одним xmpp сервером вероятнее всего вообще не злой умысел (изначально) а руки из вот оттуда. Ну а то что в той же стойке оказались немного не самые хорошие ребята, для той помойки тоже вполне обычно - мне в свое время достался адресок (а возможно и физически сервер) какого-то изрядно мощного судя по траффику координационного центра ботнетов, другой раз - чей-то явно нерядовой vpn (рядовые не используют ip over dns, это даже для китая перебор) Думаю, владельцы того и другого обрадовались бы, получив такой вот подарок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #44, #99

33. Сообщение от Аноним (-), 16-Янв-26, 23:47	–1 +/–
> Кто подписал их? А разве кто-то должен подписывать? > Почему никакое другое сообщество не прокатит? Ну так сделайте свое сообщество. Выдавайте сертификаты на 100 лет вперед.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #70

34. Сообщение от myster (ok), 16-Янв-26, 23:47	+/–
Есть ли какой-то способ, чтобы сертификат действовал и для локальной подсети IP-адресов? Может быть, в CSR-файл можно добавить специальные строки?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48, #59, #77, #157

35. Сообщение от Аноним (35), 16-Янв-26, 23:48	+1 +/–
>В соответствии с ранее объявленным планом 10 февраля 2027 года максимальный срок действия сертификатов будет сокращён с 90 до 64 дней, а 16 февраля 2028 года - до 45 дней. Лапша про увеличение безопасности, ИМХО это просто прикрытие меркантильного интереса. Элементарная двухходовка: При уменьшении времени жизни сертификатов кратно возрастет нагрузка на инфраструктуру. Далее последуют требования к сообществу об увеличении финансирования.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39, #41, #81, #110

36. Сообщение от Аноним (6), 16-Янв-26, 23:48	–1 +/–
>это влияет на безопасность ровно отрицательнымм образом Почему же ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

37. Сообщение от Аноним (24), 16-Янв-26, 23:51	+/–
> нескомпроментированных а это такие волшебные пароли? Бабушка Ванга нашептала, что они "нескомпроментированны"?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #92, #147

38. Сообщение от Аноним (39), 17-Янв-26, 00:00	+/–
Где они были, когда это было мне нужно, я вас спрашиваю.
Ответить | Правка | Наверх | Cообщить модератору

39. Сообщение от Аноним (39), 17-Янв-26, 00:01	–4 +/–
Окно овертона, сначала на поклон ходишь к барину чаще. Потом сертификат через госуслуги.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #148, #158

40. Сообщение от cheburnator9000 (ok), 17-Янв-26, 00:02	+/–
Лучше бы они сделали свой аналог sslip.io и давали возможность получить домен на IP адрес в виде HEX notation. Например, 334B3513.nip.io валидный ресурс в случае sslip и letsencrypt так получить можно и работает.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51, #82

41. Сообщение от Аноним (24), 17-Янв-26, 00:02	–5 +/–
> Лапша про увеличение безопасности Лашпа таки обратное, тут https://www.opennet.dev/opennews/art.shtml?num=64541 в 9.74, Аноним (7), 15:35, 03/01/2026 конкретно построчно все расписано. > При уменьшении времени жизни сертификатов кратно возрастет нагрузка на инфраструктуру. Далее последуют требования к сообществу об увеличении финансирования. А что они должны кому-то делать это бесплатно? Вам провайдер повышает тарифы за ынтернет под соусом "увеличения" скорости передачи? "Элементарная двухходовка" именно в этом случае, чтобы увеличить прибыль им надо больше клиентов, а больше клиентов это ресурсов больше, ну вот и следствие повышения тарифов, чтобы купить ресурсы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

42. Сообщение от Аноним (9), 17-Янв-26, 00:13	+/–
> не зависит в цепочке ни от какого другого CA Прям чудеса! А ты попробуй в браузере тыкнуть по значку и посмотреть всю цепочку...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #58, #69

43. Сообщение от Аноним (18), 17-Янв-26, 00:36	+/–
С паролями смысл в том, что пользователь манал каждый месяц запоминать новый пароль, поэтому чем чаще он меняется, тем чаще пользователи записывают их на листочек и вешают на монитор, что отрицательно сказывается... бла-бла-бла, лень дальше писать. С сертами обратная ситуация. Их на листочек не запишешь. Чем дольше он действует, тем чаще его пихают в разные сервера, пересылают и так далее. А для безопасности лучше всего 1 сервер - 1 серт, который автоматически получается скриптом (сложно эту муйню программой назвать) и лежит в одном месте, и никуда не передается. Ведь если у тебя серт на 3 года, то не грех такое богатство и забэкапить... а потом бэкап куда-то залили... и понеслось. В целом-то и в ситуации с jabber.ru быстрее что-нибудь всплыло, если бы серт менялся каждую неделю, кто-нибудь да заметил, что сервак улетаеет в астрал во время получения серта. А так полгода сидели и в х...^w ус не дули.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #45, #46, #84, #117, #173

44. Сообщение от Аноним (18), 17-Янв-26, 00:40	+/–
> кому надо знает что для этого физически ничего никуда тыкать не надо. Это для красного словца в стиле холивуда было. > вероятнее всего вообще не злой умысел Пошли теории заговоров. Там же черным по белому было, что кто надо поудил инфу, а дальше уже не сильно актуально было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #88

45. Сообщение от Аноним (24), 17-Янв-26, 01:23	–3 +/–
> поэтому чем чаще он меняется, тем чаще пользователи записывают их на листочек и вешают на монитор да, да, да - не меняй пароль, но сохраняй в браузере (парольном менеджере), а как же! Может вы мне хотите еще доказать, что пароль в password.txt на компе надежней чем на листе бумаги? Или все так же "бла-бла-бла, лень дальше писать"?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

46. Сообщение от Аноним (24), 17-Янв-26, 01:26	–3 +/–
> тем чаще его пихают в разные сервера, пересылают и так далее. А пароль незаписанный на листочке бумаги, вы сколько раз вводите в форму входа? - Один? Он у вас сохранен в парольном менеджере? :) Потом вы задаетесь вопросом почему надо чаще менять пароли? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

47. Сообщение от Аноним (47), 17-Янв-26, 01:27	–5 +/–
IPv6 не просто так придуман.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #65

48. Сообщение от Аноним (24), 17-Янв-26, 01:28	–1 +/–
давай сразу для 127.0.0.1
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

50. Сообщение от Аноним (50), 17-Янв-26, 02:23	–2 +/–
Когда настанет чебурнет куча скрепных сайтов отрубятся из-за просрочки сертификатов. Нужен скрепный аналоговнетный аналог для хомяков.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #52, #149, #161

51. Сообщение от Джон Титор (ok), 17-Янв-26, 02:25    Скрыто ботом-модератором	+/–
Прикольно выглядит. А как узнавать систему исчисления? Добавляя префикс 0x? Числом то можно и сейчас писать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

52. Сообщение от Джон Титор (ok), 17-Янв-26, 02:31    Скрыто ботом-модератором	+2 +/–
Тебе то какое дело?)) Как та собака которая бежит и пытается пролаять что больше её этот человек не интересует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

54. Сообщение от Аноним (24), 17-Янв-26, 02:48	–2 +/–
мне одному непонятна ситуация, с какого бодуна СА должен решать сколько жить сертификату? Он траст, а не диктатор политик безопасТности!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #57, #60, #61, #63

55. Сообщение от Аноним (55), 17-Янв-26, 02:50	+2 +/–
> Защищённое обращение к web-серверу по IP-адресу может быть полезно при взаимодействии с домашними устройствами что вы несете???????? на 192.168.1.1 ?????
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #80

56. Сообщение от penetrator (?), 17-Янв-26, 02:51    Скрыто ботом-модератором	+1 +/–
на локальные адреса, клоуны )))
Ответить | Правка | Наверх | Cообщить модератору

57. Сообщение от Аноним (6), 17-Янв-26, 02:52	+1 +/–
А кто, если не издатель ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #139, #140

58. Сообщение от Аноним (58), 17-Янв-26, 03:01	–1 +/–
Попробовал, корневой летсенкрипт. Что ещё попробовать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #62

59. Сообщение от Аноним (58), 17-Янв-26, 03:06	–1 +/–
Это концептуально невозможно. Нельзя выдать валидный сертификат на локальный IP тому што у локальных адресов множество владельцев. Ты сможешь своим митмить мою локалку, а я твою своим. Смысл удостоверяющего центра делится на 0.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

60. Сообщение от Аноним (58), 17-Янв-26, 03:08	+/–
CA тебе ничего не обязан, не нравится сделай свой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #64, #76, #142

61. Сообщение от Аноним (173), 17-Янв-26, 03:17	+/–
Капиталистическая Партия Соединенных Штатов решила и продавила что ЛЕ самые чоткие пацаны а все остальные УЦ сделают также пока им вобще дают их странный ненужный бизнес держать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

62. Сообщение от Аноним (9), 17-Янв-26, 03:27    Скрыто ботом-модератором	+2 +/–
> Что ещё попробовать? Попробовать говорить правду.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #153

63. Сообщение от Аноним (9), 17-Янв-26, 03:29	+1 +/–
> Он траст, а не диктатор политик безопасТности! Он диктатор политик безопасТности, а не траст.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #141

64. Сообщение от Аноним (9), 17-Янв-26, 03:32	+5 +/–
Некоторые пытались, только почему-то их серты или в сразу в банлист шли у браузеров, или не появлялись в списке разрешённых. Про угрозу MITM не надо, CF это делает и ничего, ей можно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #83, #159

65. Сообщение от 12yoexpert (ok), 17-Янв-26, 03:36	+13 +/–
просто так
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

66. Сообщение от morphe (?), 17-Янв-26, 03:41	+/–
FYI: rdns/ptr запись ты можешь поставить любую, оно так не работает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #105, #115

67. Сообщение от Аноним (67), 17-Янв-26, 04:35	+1 +/–
Замкнутый круг какой-то - чтоб поменять настройки тплинка, надо на него зайти, а самоподписные сертификаты в браузере не принимаются. Значит надо выставить его голым задом в интернет, а для этого надо на него зайти, а зайти нельзя - сертификат в браузере не работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #114, #116, #155

69. Сообщение от Аноним (-), 17-Янв-26, 05:35    Скрыто ботом-модератором	+1 +/–
Корневой там ISRG, чьим проекто и является LE https://en.wikipedia.org/wiki/Internet_Security_Research_Group
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

70. Сообщение от Аноним (70), 17-Янв-26, 06:00	+1 +/–
> 100 лет Не будут браузеры такое принимать https://www.opennet.dev/opennews/art.shtml?num=63069
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

71. Сообщение от Аноним (71), 17-Янв-26, 07:09	+/–
>6 дней До чего маразм дошёл. Раньше типичный сисадмин покупал сертификат на ГОДЫ и не парелся, ах какие были раньше времена!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #73, #85, #143, #144

72. Сообщение от Аноним (-), 17-Янв-26, 07:34	–1 +/–
> максимальный срок действия сертификатов будет сокращён с 90 > до 64 дней, а 16 февраля 2028 года - до 45 дней. Астрологи провозгласили неделю отказов TLS/https. Количество сбоей и отказов по вине Let's Encrypt удвоилось.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #79, #170

73. Сообщение от Аноним (-), 17-Янв-26, 07:35    Скрыто ботом-модератором	+3 +/–
> До чего маразм дошёл. Раньше типичный сисадмин покупал сертификат на ГОДЫ > и не парелся, ах какие были раньше времена! А тут вот - предоставь справку что не верблюд. И почаще, почаще! А то вдруг ты уже в верблюда превратился.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

74. Сообщение от Аноним (-), 17-Янв-26, 07:36	–2 +/–
> Защищённое обращение к web-серверу по IP- > адресу может быть полезно при взаимодействии с домашними устройствами И как мне получить серт на 192.168.0.1? И главное - что мне помешает потом MITM'ать остальных 192.168.0.1? :)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #101

76. Сообщение от нах. (?), 17-Янв-26, 09:10	+/–
> CA тебе ничего не обязан, не нравится сделай свой. только для него тебе понадобится свой интернет. Ищи поиском здесь "Честный Ахмед" (ну или сразу в багтрекере вреднозиллы). Вкратце: нет ТАКИХ денег и таких людей которые честным образом, а не подкупив CA/B, могли бы  "сделать свой". А подкупить не получится потому что они - честные и деньгов не берут! (А как так получилось что свои CA есть у совсем-совсем мутных ребят - не расскажут.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

77. Сообщение от нах. (?), 17-Янв-26, 09:13	+/–
Канешна. Просто отказываешься от использования нимодной нисавременной вредной ipv4 и каких-та там локальных адресов. Каждый умный утюг должен иметь public ip v6! (И сертификат! И записи в миллионе "CT". И еще много чего - бигдейта бездонные, а потом, глядишь, пригодится.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

78. Сообщение от Bob (??), 17-Янв-26, 09:15	–2 +/–
>запритить это удел отдельных стран, с особым путём >Хочешь а там белые списки, если мы про удалёный дотуп. не с публичного же wifi шастать. а на работе левых девайсов в контуре сети быть не должно - безопасность. если про локалку - то всё по старому, http
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #86

79. Сообщение от Аноним (79), 17-Янв-26, 09:19	–3 +/–
Ну если кто-то не осилил даже не автообновление, а, банально, мониторинг срока сертификата - то это неделя ССЗЬ получается
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #111

80. Сообщение от Аноним (80), 17-Янв-26, 09:21	+/–
на 127.0.0.1
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

81. Сообщение от Bob (??), 17-Янв-26, 09:21	+/–
какая "кратно" нагрузка? ты чем обкололся? хоть раз настраивал и мониторил автообновление сертификата? где меркантильность в халявном сертификате?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #122

82. Сообщение от Bob (??), 17-Янв-26, 09:22	–1 +/–
дарёному коню в зубы не смотрят а ты возьми и сделай)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

83. Сообщение от Bob (??), 17-Янв-26, 09:24	–3 +/–
и было там 100500 уязвимостей, которые юзали даже школьники для скама)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

84. Сообщение от нах. (?), 17-Янв-26, 09:25	+/–
> С сертами обратная ситуация. Их на листочек не запишешь. С ними та же самая ситуация. Пока не было "муйни которую [вредоносной] программой стесняются называть" - с ними обращались как с нормальными паролями. Кстати, и пароли - были. И вводились при рестарте сервера вручную, теми кому действительно было важно чтобы сертификат никуда не утек. А теперь вон все кучкой без паролей и иногда вовсе с доступом из интернета потому что ну ой так получилось. > Ведь если у тебя серт на 3 года, то не грех такое богатство и забэкапить... а потом бэкап > куда-то залили... тебе не кажется что тут уже не надо плакать о твоем ненужном и надо думать о том как бы это мягко намекнуть пользователям что их данные (возможно пароли и номера кредиток) достались каким-то очередным робинхлудам? Причем вот это - гораздо более вероятный сценарий, чем кто-то ухитрился соорудить полноценный mitm в ТВОЕЙ (уже нет) сети. > В целом-то и в ситуации с jabber.ru быстрее что-нибудь всплыло, hsts, pkp, не, не слышал. > что сервак улетаеет в астрал во время получения серта. и даже технологии подмены не понял (не во время получения ИМ сертификата. Во время получения тем, другим васяном - и эти времена вовсе не связаны) Потому что ничего не хочешь слышать и знать кроме телевизора, откуда умные дяди вещают про бебебебезопастность баранам. И да, недели вполне достаточно чтоб набрать на тебя материальчика для статьи за изменку. Тем более что НИЧЕГО не изменилось и можемпавтарить в любую секунду.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

85. Сообщение от Bob (??), 17-Янв-26, 09:26	–3 +/–
а сейчас автопродление Бесплатного сертификата настроил и всё)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #123, #124

86. Сообщение от нах. (?), 17-Янв-26, 09:29	+3 +/–
>>запритить > это удел отдельных стран, с особым путём разьве использование _действительно_ проверяемых сертификатов - запретили в отдельных, а не в "цивилизованных"? > если про локалку - то всё по старому, http половина веб-апи УЖЕ не работают, но васян все еще верует что ему дозволят. И повторяет бредни про отдельные страны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #156

87. Сообщение от Аноним (87), 17-Янв-26, 09:35	+3 +/–
Сертификат от барина на 6 дней! Йеее, всегда мечтал!..
Ответить | Правка | Наверх | Cообщить модератору

88. Сообщение от нах. (?), 17-Янв-26, 09:36	+/–
>> вероятнее всего вообще не злой умысел > Пошли теории заговоров. нет, про теорию заговоров бормочешь ты. "Кто надо", "знает". А я просто вижу что через мой порт идет чужой траффик. И даже примерно понимаю кто и где налажал (видимо сменилось поколение инженеров, и новые ничего не понимают в том как это работало - это механизм наоборот защиты от перехвата, перевернутый не в ту сторону из-за традиционного для бывше-белых стран процесса утраты знаний и мотивации низовым персоналом). Попытки общаться на эту тему с техподдержкой - привели к таким результатам, что больше я этого делать не рискну (там не только голова в этом самом месте, но и руки из оттуда же). Все равно этот траффик не учитывается биллингом. > Там же черным по белому было, что кто надо поудил инфу, а нет. Там всего лишь кто-то выпустил левый серт и некоторое время его предъявлял. Я тоже так могу вот для тех неудачников сделать. Про "кто надо" - это твои домыслы, кто надо тебе ничего такого не сообщал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

89. Сообщение от нах. (?), 17-Янв-26, 09:39	+1 +/–
> Ну, в принципе, логично. IP проще сменить, чем домен. Да и не > всегда он по твоей воле меняется. поэтому васян перехвативший твой ip - тут же может выпустить СВОЙ сертификат и никто ничего не заметит. И пока ты проснешься и в панике побежишь везде менять адрес - твой траффик уедет хорошим ребятам живущим в зеленом лес... где-то на побережье синего морька.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #100

91. Сообщение от Аноним (91), 17-Янв-26, 09:49	+/–
для большей безопасности сделать выдачу сертификатов курьерами и максимум на 24 часа.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #130

92. Сообщение от мелстрой (?), 17-Янв-26, 10:31	+/–
Разовые пароли из волшебного локлаьного KeePass в 30 рандомнвх юникод символов довольно непросто массово скомпрометировать без похищения и расшифровки самой базы keepass
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #138

96. Сообщение от pashev.ru (?), 17-Янв-26, 11:21	–2 +/–
Ну введи ты на одну команду больше и сделай второй сертификат в цепочке, который уже не будет самоподписанным.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #127

99. Сообщение от ........... (?), 17-Янв-26, 11:28	+1 +/–
Я из деревни, о чем сей интересная драма, подскажите
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

100. Сообщение от Аноним (100), 17-Янв-26, 11:33	–1 +/–
> поэтому васян перехвативший твой ip - тут же может выпустить СВОЙ сертификат Не сможет, по крайней мере не "тут же". Требуется доступ к твоему аккаунту (приватный ключ на сервере, запрашивающий сертификаты) на время действия предыдущего сертификата.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89 Ответы: #120

101. Сообщение от Аноним (101), 17-Янв-26, 11:40	+/–
Они не выдают сертификаты на локальные адреса
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #108, #131

105. Сообщение от OpenEcho (?), 17-Янв-26, 12:11	+/–
Я как то давно по приколу, для экспиремента на свободный статик ИПшник запросил провайдера поставить PTR : me.google.com ребята на той сторне тоже оказались с юмором и выставили: me.google.com.home.arpa
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

106. Сообщение от Аноним (106), 17-Янв-26, 12:24	+2 +/–
> Это надо понять и признать, что сейчас интернет быстро расширяется и всё больше > на него завязано, так, что всё логично и вопросом безопасности стоит задаться: > - https://habr.com/ru/articles/968218/ > - https://opennet.ru/56830-tls Очень безопасно получается когда у сервака стух сертификат или что-то пошло не так при вадейте и пользователи попасть на него не могут. Вот только нафиг такую безопасность и таких безопасТников, потому что саботаж и куча точек отказа - очень так себе радость. С такими друзьями - никаких врагов не надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

107. Сообщение от Аноним (106), 17-Янв-26, 12:25	+1 +/–
> Ознакомьтесь с историей создания: Ничего не говорит о effective ruleset и что там за серые кардиналы за этой схемой стоят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

108. Сообщение от Аноним (108), 17-Янв-26, 12:27	–1 +/–
Они не знают какие у меня адреса используются в качестве локальных
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101 Ответы: #112

109. Сообщение от Аноним (108), 17-Янв-26, 12:28	+1 +/–
>для шифрованных соединений между бэкендами во внутренней инфраструктуре; Ну да, только они предлагают обеспечить доступ из интернета к этой инфраструктуре для того чтобы выпускать эти сертификаты. И не разово, а постоянно.
Ответить | Правка | Наверх | Cообщить модератору

110. Сообщение от OpenEcho (?), 17-Янв-26, 12:29	+1 +/–
> Лапша про увеличение безопасности, ИМХО это просто прикрытие меркантильного интереса. Навряд ли им нужны бабки. Им нужна дата, идентифицированная, с аптаймом
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

111. Сообщение от Аноним (-), 17-Янв-26, 12:31	+1 +/–
> Ну если кто-то не осилил даже не автообновление, а, банально, мониторинг > срока сертификата - то это неделя ССЗЬ получается Как показал натурный эксперимент, если в системе есть чему ломаться - оно будет ломаться. Где-то боты не отрабатывают. Где-то сервак некорректно подхватывает серт. Где-то еще какие-то барабашки. А суммарно это все стало хлипкое, хрупкое, уверенности что завтра на вон тот сайт попадешь уже в общем то нет - ибо там TLS Error валится через раз, "но вы пока еще можете оверрайденуть этот вой", и тому подобный бред. Таким манером в интернете останется полторы корпы и хостинга. У остальных ресурсов не хватит все эти фекалии близко к реальному времени разгребать. И будет вам интернет в стиле первого канала. Или таки скорее FoxNews, и кстати если кто удумает сильно бузить, то к нему приплывет - авианосец :). И на нем потестируют какое там еще "неизвестное оружие" вызывающее блевоту кровью. Вам же не нравилась демократия? Она и умерла. Теперь будет вот так.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79 Ответы: #125

112. Сообщение от Аноним (101), 17-Янв-26, 12:42	+/–
А им это интересно знать? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108

114. Сообщение от Аноним (114), 17-Янв-26, 12:58	+/–
> надо на него зайти, а зайти нельзя так это ж хорошо! хакер не сможет поменять настройки туполинка! Б — безопастность!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

115. Сообщение от нах. (?), 17-Янв-26, 13:00	+/–
оно ИМЕННО так и работает. Если ты МОЖЕШЬ что-то записать в реверсной зоне (не обязательно и вряд ли желательно трогать именно ptr) - значит эта зона ТОЧНО принадлежит тебе (ну или уже пофиг в общем кому принадлежала, ты ей и так уже рулишь). И тебе можно выдать сертификат на айпишник внутри этой зоны. Именно так работает выдача обычных сертификатов LE с dns-01. Но есть нюанс, ага - в реверсных зонах бывают конфигурации чуть посложнее общей зоны для подсети. И вайбкодерки вряд ли осилят надежно и безопасно проверить что тут все принадлежит тому кому надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

116. Сообщение от нах. (?), 17-Янв-26, 13:02	+/–
> Значит надо выставить его голым задом в интернет "и вы сами удивитесь как легко и просто все у вас получилось"(c) идея шиткрипты именно в том чтобы встроить сертбота в каждый тплинк. Он даже спрашивать тебя не будет, нужен тебе этот сертификат или нуего - уважаемой ассоциации виднее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

117. Сообщение от Аноним (117), 17-Янв-26, 13:02	+/–
Серт - это точка доверия, и менять точку доверия каждый день - бредятина, получается по сути талон на доверие от LE. Сервис должен иметь свой собственный серт, подписанный твоим другим мастер-ключом, который уже в свою очередь заверен LE чисто потому что самоподписанные юзерские почему-то менее модно стало, хотя по факту разницы никакой - что тут перепроверить надо, какие домены хочет самоподписюн контролировать, что в LE через пару дней непонятно кому может домен перейти.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #121

120. Сообщение от нах. (?), 17-Янв-26, 13:06	+1 +/–
нет. Мне совершенно не нужен никакой ключ кроме моего собственного, только что сгенеренного.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100

121. Сообщение от нах. (?), 17-Янв-26, 13:13	+2 +/–
оно примерно так и есть - у сервиса сертификат и ключ свой, но есть нюанс - без штампа "обобрено правильными пацанами" браузер откажется его принимать, и даже если заставишь - доверяет неполностью. А со штампом принимает любую подделку (ДАЖЕ если сказано этого не делать). Правильные ж пацаны не могут врать или ошибаться, нет же ж?! Причем раньше МОЖНО было обойтись этой проверкой один раз при первом установлении соединения (когда, при желании, можно и дополнительные проверки провести по другим каналам, ну или просто надеяться что ты в достаточной степени в надежном месте и к тому же никто не готовился именно это твое соединение именно сейчас перехватить) - т.е. как _дополнительной_ точкой контроля. А теперь хренушки. Про EV, когда НА САМОМ деле проверяли, кому принадлежит сервер - и тем более велено забыть и не вспоминать даже. Почему? Патамушта бебебебезопастность!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117

122. Сообщение от Аноним (117), 17-Янв-26, 13:14	+/–
В том чтобы тебя можно было прикручивать к сертам, которые потом даже CRL отзывать не понадобится - сами протухнут. Безопастность никак не прибавилась, даже наоборот, твоя точка доверия меняется постоянно, талон на доверие выходит. А вот с точки зрения CA получается наоборот - можно выписывать хоть любителям на гитхаб забэкапить ключ, хоть Саддаму Хусейну, всё равно завтра он прийдёт и мы ему уже не выпишем гы гы; им просто не нужно будет делать работу на проверку того, выписывают ли они настоящему владельцу ресурса (будь то домен или голый ipv6). И полицаи только одобрительно кивают - тебя то, шиза который ключ запароленным на сервере держит и вообще выписывает для серверов саб-ключи, а мастер-ключ подписанный LE на забетонированном ноутбуке в океане, компроментировать больше не потребуется. Достаточно в LE на очередь за сертом первее тебя встать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #128, #146

123. Сообщение от Аноним (117), 17-Янв-26, 13:18	+1 +/–
curl letsencrypt/your/ass.bash | sudo bash -
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

124. Сообщение от Аноним (117), 17-Янв-26, 13:20	+2 +/–
Ты переносишь доверие с криптографии на доверие тому, что LE умеют писать скрипты для пересоздания сертификата.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

125. Сообщение от нах. (?), 17-Янв-26, 13:23	+1 +/–
> Таким манером в интернете останется полторы корпы и хостинга. тоже нет. Напомнить как у мразилы (почетного члена этой самой мафии CA/B, из которой кстати и вылупились оба зицпредседателя летсшиткрипты) ДВА раза подряд протухал intermediate? И КАЖДЫЙ раз - круглые глаза и ктобымогподумать-было ли чем? Просто таким манером ты привыкнешь неглядя отвечать ok, continue на любой просроченный сертификат - потому что он просрачиваться будет у всех, у корпов, у васянов, у тебя самого. > и кстати если кто удумает сильно бузить, то к нему приплывет - авианосец чего-то к аятоллам плыл-плыл - не доплыл. Авианосцы, как показала практика, приплывают разьве что в соседнюю страну, как назло, в сто раз меньшую и не готовую защищаться. Вот ты от криптомафии - защититься действительно никак не можешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111 Ответы: #132

126. Сообщение от нах. (?), 17-Янв-26, 13:24	+/–
и логгировать эту сессию в бездонной CT, имянно. А то вдруг лет через десять окажется что то что было можно, с вчерашнего дня нельзя и ты виноват уж тем что хочется укушать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #136

127. Сообщение от нах. (?), 17-Янв-26, 13:36    Скрыто ботом-модератором	+/–
Молодец - теперь вместо высосанной из пальца мафией CA/B - у тебя _реальная_ угроза безопасности. Вот что бывает если "вводить на одну команду больше" не задумываясь о том чем это чревато. (типичный уровень местных кекспертов) Причем хорошо еще когда оно на твоем локалхосте только, но вы ж такие вот ничтоже сумняшеся и другим это раздадите, забыв предупредить о возможных последствиях. А когда браузеры начнут таки выводить пустое белое ничего без кнопки продолжить на сертификаты валидностью больше трех дней - вы еще и навернете поверх этого самодельную лапшеобвязку, добровольно и с песней, и все рутовые ключи выложите без паролей кучкой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96

128. Сообщение от нах. (?), 17-Янв-26, 13:44	+/–
> Достаточно в LE на очередь за сертом первее тебя встать. даже этого не нужно, достаточно попросить этот серт когда он ИМ понадобился и они готовы перехватить траффик. (т.е. то что ты свой успел получить вовремя и первым - ни от чего не защитит)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122

130. Сообщение от Аноним (-), 17-Янв-26, 13:58	+/–
> для большей безопасности сделать выдачу сертификатов курьерами и максимум на 24 часа. Экспресс-доставка при помощи протокола определенного в RFC 1149 (IPoAC).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

131. Сообщение от Аноним (-), 17-Янв-26, 13:59	+/–
> Они не выдают сертификаты на локальные адреса Ну зашибись, браузеры будут орать на вебморды девайсов. Вот удобно то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101 Ответы: #134

132. Сообщение от Аноним (-), 17-Янв-26, 14:03	+/–
> что он просрачиваться будет у всех, у корпов, у васянов, у тебя самого. Да оно уже. И чуть часы не так идут - тоже факапища везде. А с вон тем факапищ станет в 2 раза чаще. Вот реально мразилы. > чего-то к аятоллам плыл-плыл - не доплыл. Им в прошлый раз витамины группы B-2 доставили. Они кажется еще помнят что за нафиг и поверили на слово что - плывут - и видимо по хорошему угомонились. Грят, уже облюбовывают место на рублевке :)) > Авианосцы, как показала практика, приплывают разьве что в соседнюю страну, > как назло, в сто раз меньшую и не готовую защищаться. В венесуэлу приплыли же. А что до неготовности защищаться - буквально за два дня до - СамДуро популярно объяснил как именно он будет с кем воевать, и вообще. Но, кажется, этот план потерпел неудачу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125

133. Сообщение от Аноним (-), 17-Янв-26, 14:06	+2 +/–
> SNAP-талоны на однократное посещение сайта. Одобрение компартии, чего уж там. И запись в очередь на год вперед. Верной дорогой...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

134. Сообщение от Аноним (101), 17-Янв-26, 14:19	+/–
Локальные адреса прописаны в rfc, их список известен. Кто мешает браузерам это учитывать? Да, и потом, не орать, а предупреждать. Это другое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #131 Ответы: #162

135. Сообщение от Аноним (135), 17-Янв-26, 14:51	+/–
А предупреждение прилагается? 6 дней и автор спокойно исчезает с радаров.
Ответить | Правка | Наверх | Cообщить модератору

136. Сообщение от Аноним (24), 17-Янв-26, 15:35	+/–
не вижу проблемы, поясни.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #126 Ответы: #165

138. Сообщение от Аноним (24), 17-Янв-26, 15:39	–1 +/–
а пароль от того самого KeePass такой же рандомный? или все же храните на рабочем столе в файле pass.txt?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92

139. Сообщение от Аноним (24), 17-Янв-26, 15:48	+/–
какой издатель? алё, вы там донцовой перечитались? Он заверяющий орган издатель это publisher, а signer.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

140. Сообщение от Аноним (24), 17-Янв-26, 15:49	+/–
может у вас там нотариус при купле-продаже заверяет установленную самим же цену покупки?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

141. Сообщение от Аноним (24), 17-Янв-26, 15:53	+/–
У вас нотариус при заверении купли-продажи - свою установленную цену заверяет или ту, которую указали вы? Вы же в CSR пихаете срок сертификата, с какого бодуна CA должен его менять и указывать свой? Даже если срок в CSR больше срока действия самого траста, какое нах дело, какой там срок у клиента?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

142. Сообщение от Аноним (24), 17-Янв-26, 15:59    Скрыто ботом-модератором	+/–
> не нравится сделай свой. так и делаю, и тебе советую прислушаться к своему же совету, а то звучит как пи*больство!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

143. Сообщение от Аноним (24), 17-Янв-26, 16:01	+/–
> Раньше типичный сисадмин ага, когда ибешников не было, сисадмины д"артаньянами были - "Казак-донец и швец, и жнец, и на дуде игрец, и в хоре певец, и в бою молодец".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

144. Сообщение от Аноним (24), 17-Янв-26, 16:03	+/–
> типичный сисадмин хотя ситуация с типичными ибешниками ярко выражена в одной фразе "зачем часто менять пароль" - лакмус на ибешника.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #151

145. Сообщение от Аноним (145), 17-Янв-26, 16:18	+/–
> aws, google, ovh и другие ребята решили, что катлету делить с мухами вроде комодо это неправильно Только почему-то инструмент для отгона мух от котлет превращается в фекалию, в результате владельцы котлет снова вынуждены нести их мухам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #164

146. Сообщение от Аноним (24), 17-Янв-26, 16:20	+/–
> Безопастность никак не прибавилась, даже наоборот, твоя точка доверия меняется постоянно, талон на доверие выходит. в смысле, "точка доверия меняется постоянно"? Если я LE отправлю n-ое количество CSR, от этого у меня точка доверия изменится? Частая смена сертификата как и обычного пароля, необходима для того, чтобы минимизировать риск утечки. Оценить этот риск и сказать с какой вероятностью у вас утечет сертификат или пароль можно только очень грубой оценкой - 1/2, а когда эта утечка произойдет знает только - Бог, если уже не произошла.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122

147. Сообщение от Аноним (145), 17-Янв-26, 16:25	+/–
Ну, давай, поделись - как ты определил, что пароль через месяц становится скомпрометированным.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #150

148. Сообщение от Аноним (145), 17-Янв-26, 16:32	+1 +/–
Лучше нормальный сертификат через госуслуги, чем вот это вот. Там хотя бы можно найти тот мешок с мясом, у которого тётя из МФЦ проверила паспорт, прежде чем его на эти самые госуслуги пустить. А за всей инфраструктурой смотрит товарищ майор, он же и Самый Главный Ключ держит у себя в сейфе в кабинете под охраной.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

149. Сообщение от Аноним (145), 17-Янв-26, 16:35	+/–
То есть, про серт Минцифры ты не слышал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

150. Сообщение от Аноним (24), 17-Янв-26, 16:44	–1 +/–
> Ну, давай, поделись - как ты определил, что пароль через месяц становится скомпрометированным. Включай логику, в том то и дело, ты это оценить не можешь, ты даже на текущий момент времени не можешь сказать, утек у тебя текущий пароль или нет, а вот после смены, вот щас именно, ты уверенно как минимум до первого его использования можешь себе гарантировать, что он не утек. Определение такое: После первого использования пароля (именно использования, это когда вы его по сети передаете через поля формы входа в какой-то сервис) этот пароль считается в БУКВАЛЬНОМ смысле утекшим!!! Да, да, как только вы его ввели в форму входа и послали по сети - он утек!!!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #147 Ответы: #154

151. Сообщение от Аноним (145), 17-Янв-26, 16:47	+/–
А в чём здесь вообще вопрос? Очевидно же - чтобы офисный планктон задолбался сочинять сложные пароли. Ну, и ещё чтобы на опеннете с гордостью писать каменты "А я знаю, что надо пароль часто менять".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #144 Ответы: #152

152. Сообщение от Аноним (24), 17-Янв-26, 17:03	+/–
> чтобы офисный планктон задолбался сочинять сложные пароли. С какого бодуна планктон должен сочинять пароли? На в ходе в контору получает от аппаратика печатающий ежедневные одноразовые пароли, в чем проблема? Хотите сказать, что пароль это что-то личное и никто в конторе его знать не должен, и он должен сочиняться именно владельцем? Так я вас успокою, доступ к той же конторской почте это не доступ к личной почте, вся информация в ней принадлежит компании, ничего вашего личного там нет и пароль и политику безопасТности вам будет диктовать именно контора. Защищать конторскую информацию должна контора, это не ваша задача. > Ну, и ещё чтобы на опеннете с гордостью писать каменты "А я знаю, что надо пароль часто менять". А вам лишь бы не по существу ответить, привели бы свой аргумент. Вон аноним там один мне ссылку на NIST хоть скинул, а вы получаетесь очередной пи*бол.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #151 Ответы: #171

153. Сообщение от Аноним (24), 17-Янв-26, 17:06	+/–
> Попробовать говорить правду. В том то и дело, что он говорит "правду", ибо она у всех своя, а надо говорить - истину!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

154. Сообщение от Аноним (145), 17-Янв-26, 17:10	+/–
> как только вы его ввели в форму входа и послали по сети - он утек!!! Неверно. Пароль утёк, как только его ввели в поля "новый пароль" и "подтверждение нового пароля" в форме замены пароля. Следовательно, смена пароля не имеет смысла.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #150 Ответы: #160, #163

155. Сообщение от Dmitry (??), 17-Янв-26, 17:13	–1 +/–
>самоподписные сертификаты в браузере не принимаются нужно пользоваться браузером который принимает. За основу такого браузера можно взять любой опенсорсный
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #166

156. Сообщение от Энтомолог_русолог (ok), 17-Янв-26, 17:35	–2 +/–
> разьве использование _действительно_ проверяемых сертификатов - запретили в отдельных, а не в "цивилизованных"? И что же это за сертификаты, а главное в каких же странах их якобы запретили, лжец?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

157. Сообщение от Энтомолог_русолог (ok), 17-Янв-26, 17:37	+/–
Что тебе мешает использовать доменные имена и dns-challenge?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

158. Сообщение от Энтомолог_русолог (ok), 17-Янв-26, 17:38	–1 +/–
Когда русский пищит об окне овертона становится ясно, что аргументов у него нет, как всегда
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

159. Сообщение от Энтомолог_русолог (ok), 17-Янв-26, 17:40	–1 +/–
Постоянное вранье Ну сколько можно? Есть куча CA, в том числе есть те которые используют ACME и дают их бесплатно используя те же клиенты, например ZeroSSL И никто не в каких банлистах Что же ты врешь постоянно? Ты не можешь жить без вранья?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #172

160. Сообщение от Аноним (24), 17-Янв-26, 17:43	+/–
> Следовательно, смена пароля не имеет смысла. Наивный вывод, такой же как зачем менять замки если их вы покупаете с ключами которые произвели на том же заводе. В следствие вашего "смена пароля не имеет смысла" - это использование "прямого" парольного механизма - не имеет смысла. Покупка замка с ключами - не имеет смысла, куда там его частая смена. Копайте глубже, это самообоман по выше указанному определению утечки пароля. А что делать? Надо использовать другие механизмы, крипта на публичном ключе и челендж-респонс схемы и т.д. Но это все не отменяет того факта пароля (как ключевой фразы или разделенного секрета) и его частой смены. пс: доказательство с нулевым разглашением, на досуг.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #154

161. Сообщение от Dmitry (??), 17-Янв-26, 17:46	+/–
такие браузеры существуют. а кто такой браузер будет рекламировать хомякам?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

162. Сообщение от Аноним (9), 17-Янв-26, 17:49	+/–
Кто мешает браузерам игнорировать эти rfc? Если бы браузеры делались по стандартам, они бы не ломали каждый месяц html/css/js.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #134 Ответы: #169

163. Сообщение от Аноним (24), 17-Янв-26, 17:52    Скрыто ботом-модератором	+/–
> Неверно. критерии совершенной секретности по Шеннону к прочтению.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #154

164. Сообщение от Аноним (164), 17-Янв-26, 18:43    Скрыто ботом-модератором	+/–
ЛЕ не даёт инструменты, даёт API. На основе этого вам есть с десяток инструментов. Свою реализацию на баше+кореутилс можно написать за 40 если хочется. Тут одни виндузятники сидят штoле?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #145

165. Сообщение от нах. (?), 17-Янв-26, 18:43	+/–
Теперь CT серверы знают как минимум что кто-то к нам зашел. И хранят. В бездонных логах. (они вообще как-то дофига лишнего хотят знать даже в текущей ситуации. причем совершенно неясно, нахрена оно - им.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136 Ответы: #168

166. Сообщение от нах. (?), 17-Янв-26, 18:45	+/–
Ну взяли. А дальше что делать будииим? Может ты кодить умеешь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155

168. Сообщение от Аноним (24), 17-Янв-26, 18:54    Скрыто ботом-модератором	+/–
Ну и OCSP знал, а ты ведь доверяешь им по определению это же во владениях CA.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #165

169. Сообщение от Аноним (101), 17-Янв-26, 19:12	–1 +/–
Ну как минимум никто не мешает анонимам заниматься демагогией на opennet. Это ещё круче
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #162

170. Сообщение от Dmitry (??), 17-Янв-26, 19:46	+/–
основной баг в безопасности не в TLS/https а DNS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

171. Сообщение от нах. (?), 17-Янв-26, 20:03	+/–
> На в ходе в контору получает от аппаратика печатающий ежедневные одноразовые пароли теперь пароль знает тот кто настраивал аппаратик, тот кто подглядел полученное, и возможно еще и cpaная кошка. А запомнить его невозможно потому что он на каждом входе новый. Безусловно это лудше и надежней просто запомненного не самого примитивного пароля. > Хотите сказать, что пароль это что-то личное и никто в конторе его знать не должен, и он > должен сочиняться именно владельцем? да, потому что учетка у нас - тоже личная, с именем и фамилием, а вовсе не "6ляха номер пять" и утечку потом повесят - именно на владельца. И хрен ты чего докажешь. Вот же ж ибшник стоит с папочкой,в ней все логи подшиты. Твоя учетка, ты значит и заходил. И именно по этой причине все нормальные системы (не будем показывать пальцем) не позволяют незаметно для пользователя изменить его пароль. А при правильных настройках еще и параноят если пароль изменяется слишком часто. Чтобы шибкоумному ибшнику этим в голову заниматься не пришло (а пришло так чтоб обломался). > Защищать конторскую информацию должна контора, это не ваша задача. тогда контора и за утечки этой информации должна отвечать. Она ж не защитила. А ты вроде как и не обязан. Но она этого делать вовсе не собирается (а ты таки обязан и тебя заставят это подписать), поэтому если занесет в такую - БЕГИТЕ оттуда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #152

172. Сообщение от Аноним (173), 17-Янв-26, 20:18	+/–
а вот врать не надо. кроме ЛЕ никто не раздает серификаты для зоны .ru
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #159 Ответы: #174

173. Сообщение от Аноним (173), 17-Янв-26, 20:31	+/–
Какая то странная логика про бекапы. Даи про один сервер тоже странная.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

174. Сообщение от Аноним (173), 17-Янв-26, 20:34	+/–
November 30, 2020 at 6:38 PM Currently, SSL certificates of any type cannot be issued for the following country code top-level domains (TLDs): ISO Code    Country Name    TLD BY    Belarus    .by CU    Cuba    .cu KP    Democratic People's Republic of Korea (DPRK)    .kp IR    Iran    .ir LY    Libya    .ly MM    Myanmar    .mm RU    Russia    .ru RU    Russia / Soviet Union    .su SD    Sudan    .sd SS    South Sudan    .ss SY    Syria    .sy VE    Venezuela    .ve YE    Yemen     .ye These TLDs are restricted by US & EU Export restriction laws, as well as internal corporate guidelines. https://help.zerossl.com/hc/en-us/articles/360060119833-Rest...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #172

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема