|
| 1.2, Аноним (-), 11:22, 20/10/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +16 +/– | |
Торговцы воздухом доживают свой век!
База Root CA очиститься от мусора.
| | |
| 1.3, Аноним (-), 11:24, 20/10/2015 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– |
Это теперь как получается - любой может создать себе сертификат, который будет приниматься всеми браузерами?
| | |
| |
| |
| 3.6, Anono (?), 11:38, 20/10/2015 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Не всеми браузерами, еще есть Safari и IE :)
написано же: включение Let's Encrypt в хранилище корневых сертификатов Mozilla, Google, Microsoft и Apple
Microsoft (IE) и Apple (Safari) тоже
| | |
|
| 2.7, Akkerman (?), 11:42, 20/10/2015 [^] [^^] [^^^] [ответить]
| +5 +/– |
Любой владелец домена или веб сервера, на который указывает домен.
| | |
| 2.13, rshadow (ok), 12:28, 20/10/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Да. Разница только в уровне доверия. Будет подтверждено только что сертификат для этого сайта (серенький значек замочка). Но не будет подтверждена принадлежность к организации (зелененьким замочек не станет).
Но это уже очень большой шаг вперед. Т.к. https смогут использовать все владельцы сайтов, и даже опеннет сможет.
| | |
| |
| |
| 4.18, Аноним (-), 12:56, 20/10/2015 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> но, ведь, опеннет и так по хттпс :/
В каком месте? Скажи еще, что HSTS.
| | |
| 4.21, rshadow (ok), 13:05, 20/10/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
Действительно... с мая этого сертификат. Поторопились покупать =)
| | |
| 4.25, Аноним (-), 13:49, 20/10/2015 [^] [^^] [^^^] [ответить]
| +6 +/– | |
> но, ведь, опеннет и так по хттпс :/
только у админа этого сервера не все в порядке с знаниями по безопасности.
сертификат получил, а как настроить ngnix его не научили.
https://www.ssllabs.com/ssltest/analyze.html?d=opennet.ru
This server supports weak Diffie-Hellman (DH) key exchange parameters. Grade capped to B. MORE INFO »
This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate. Grade capped to C. MORE INFO »
The server supports only older protocols, but not the current best TLS 1.2. Grade capped to C. MORE INFO »
The server does not support Forward Secrecy with the reference browsers. MORE INFO »
| | |
| |
| 5.33, . (?), 16:14, 20/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
Ну это - да, не отключил SSL3. Хотя если честно - никто почти не отключил, сколько бы мы в колокола не били ... :( Действительно отключат если оно само с очередным апдейтом.
| | |
| 5.48, тоже Аноним (ok), 22:27, 20/10/2015 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Знания по безопасности не обязывают иметь паранойю.
Чем, собственно, таким уж серьезным ОпенНету могут аукнуться проблемы с SSL?
| | |
|
|
| 3.19, Аноним (-), 12:56, 20/10/2015 [^] [^^] [^^^] [ответить]
| –6 +/– |
> Да. Разница только в уровне доверия. Будет подтверждено только что сертификат для
> этого сайта (серенький значек замочка). Но не будет подтверждена принадлежность к
> организации (зелененьким замочек не станет).
> Но это уже очень большой шаг вперед. Т.к. https смогут использовать все
> владельцы сайтов, и даже опеннет сможет.
Доверие не имеет уровня. Оно бинарно. Или да или нет. Точка.
| | |
| |
| 4.27, pavlinux (ok), 14:04, 20/10/2015 [^] [^^] [^^^] [ответить]
| +6 +/– |
 > Доверие не имеет уровня. Оно бинарно. Или да или нет. Точка.
Поздравляю, Шарик ты - балбес и тут не сайт по философии.
Уровни доверия оцениваются по степени возможного ущерба в случае утечки информации.
И, следственно, мер направленных на обеспечения уровня необходимой защиты.
| | |
| |
| 5.49, тоже Аноним (ok), 22:28, 20/10/2015 [^] [^^] [^^^] [ответить]
| +3 +/– |
Ну, есть и бинарная безопасность: да - если сервер физически отключен от сети...
| | |
|
|
| 3.30, Адекват (ok), 14:50, 20/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
 > организации (зелененьким замочек не станет).
В хроме все зелененькое, и замочек нормальных размеров, не то что в этом файерфоксе - мелкий такой, им что, жалко было ?
| | |
| |
| 4.59, Аноним (-), 11:38, 21/10/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
ну сделайте свою сборку огнелиса, с зелененькими обоями и замочками
| | |
|
|
| 2.23, angra (ok), 13:35, 20/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
 Вообще-то это уже несколько месяцев как можно сделать. Ребята не первые, кто предоставляет такую возможность. Но чем больше подобных сервисов, тем лучше.
| | |
| |
| 3.35, . (?), 16:22, 20/10/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
Да?!? 8-о
Я вообщето кроме сабжей знаю только два CA которые всё ещё трастед и раздают сертификаты бесплатно.
| | |
| |
| 4.62, angra (ok), 12:00, 21/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
Как твое "знаю только два" противоречит моему "есть как минимум еще один"?
| | |
|
|
| 2.74, XoRe (ok), 00:06, 24/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
 > Это теперь как получается - любой может создать себе сертификат, который будет
> приниматься всеми браузерами?
Любой может бесплатно создать себе сертификат.
Платно и сейчас можно.
| | |
|
| |
| |
| 3.43, Какаянахренразница (ok), 17:12, 20/10/2015 [^] [^^] [^^^] [ответить]
| +5 +/– |
 > Ну так предъяви, предъяви пол кило подконтрольных доменов.
По слухам, Let's Encrypt будет поддерживать "экзотические" домены типа *.tk, на которые плюётся StartSSL. Если слухи подтвердятся, то полкило подконтрольных доменов я предъявлю, предъявлю.
| | |
| |
| 4.70, count0krsk (ok), 21:59, 22/10/2015 [^] [^^] [^^^] [ответить]
| +3 +/– |
 И тут на одного зарегенного пользователя у www.tk стало больше, и на 1 доступный домен меньше ))
| | |
|
|
|
| |
| 2.10, Аноним (-), 11:53, 20/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
За wildcard и EV. также остальные ca могут заработать на контрактах с крупными it компаниями, которые хотят выпускать сертификаты для большого количества своих доменов без дополнительной валидации через api.
| | |
| 2.15, rshadow (ok), 12:33, 20/10/2015 [^] [^^] [^^^] [ответить]
| +2 +/– |
LE не только сертификаты пилит, но и утилиту их автообновления. Чтобы забыть все эти мороки с генерацией как страшный сон.
Так что для многих wildcard станет просто делом техники.
| | |
| 2.20, Аноним (-), 12:57, 20/10/2015 [^] [^^] [^^^] [ответить]
| –4 +/– | |
> Хорошее начинание, жаль что пока за wildcard сертификаты надо будет по-прежнему платить.
Поздно. Как и весь HTTPS. Актуально это было 20 лет назад. Сейчас поезд ушел и это как волосы на лобке - прикрывают, но от насилия не защищают.
| | |
| |
| 3.75, XoRe (ok), 00:08, 24/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
>> Хорошее начинание, жаль что пока за wildcard сертификаты надо будет по-прежнему платить.
> Поздно. Как и весь HTTPS. Актуально это было 20 лет назад. Сейчас
> поезд ушел и это как волосы на лобке - прикрывают, но
> от насилия не защищают.
Марти?
| | |
|
|
| 1.16, Crazy Alex (ok), 12:44, 20/10/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 "Вот и всё, а ты боялась"... И нечего было кричать о том, что нет поддержки во всех брауерах, а значит - никому не надо. И впрямую их сертификаты в списки добавят, попомните моё слово. Думаю, уже месяцев через шесть станет повсеместным правилом хорошего тона эту штуку использовать когда поднимаешь новый сервис, кроме больших контор, конечно.
| | |
| |
| 2.17, Аноним (-), 12:55, 20/10/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
> "Вот и всё, а ты боялась"... И нечего было кричать о том,
> что нет поддержки во всех брауерах, а значит - никому не
> надо. И впрямую их сертификаты в списки добавят, попомните моё слово.
> Думаю, уже месяцев через шесть станет повсеместным правилом хорошего тона эту
> штуку использовать когда поднимаешь новый сервис, кроме больших контор, конечно.
Алекс, ну ты-то не клинический идиoт, должен понимать, что иллюзия безопасности значительно хуже полной небезопасности!
| | |
| |
| 3.28, pavlinux (ok), 14:09, 20/10/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> "Вот и всё, а ты боялась"... И нечего было кричать о том,
>> что нет поддержки во всех брауерах, а значит - никому не
>> надо. И впрямую их сертификаты в списки добавят, попомните моё слово.
>> Думаю, уже месяцев через шесть станет повсеместным правилом хорошего тона эту
>> штуку использовать когда поднимаешь новый сервис, кроме больших контор, конечно.
> Алекс, ну ты-то не клинический идиoт, должен понимать, что иллюзия безопасности значительно
> хуже полной небезопасности!
А он вроде и не говорил про безопасность. ))
Да и в самой новости только сказано "... будут помечены в браузерах как безопасные."
| | |
| 3.32, Crazy Alex (ok), 15:27, 20/10/2015 [^] [^^] [^^^] [ответить]
| +7 +/– | |
Да я уже объяснял свою точку зрения не раз: для тех сервисов, где нужна нормальная безопасность, вроде банков, в любом случае нужны дополнительные меры - обычно это OTP в каком-то виде.
А задачу "прикрыть трафик от соседа, сотрудника провайдера и любопытного, но тупого товарища майора" SSL от Let's Encrypt вполне выполняет. От умного товарища майора и прочих серьёзных атак не спасёт - так там в любом случае нужен комплекс мер - как софтовых, так и организационных.
Плюс, мне нравятся ещё две вещи:
1) исчезнет нужда в возне с сертификатами на всяких личных серверах - и web, и xmpp, и, как противник облаков вне энетрпрайза, я это очень приветствую. А так через пол-года https будет корректно настраиваться прямо дистрибутивными пакетами, из коробки.
2) Роскомнадзор сможет давить толькос сайты целиком, что сделает цензуру гораздо более неудобной и заметной.
| | |
| |
| 4.34, Аноним (-), 16:15, 20/10/2015 [^] [^^] [^^^] [ответить]
| –17 +/– |
когда твой ребенок траванется спайсом - будешь так же твердить о свободе и цензуре ?
| | |
| |
| 5.36, Аноним (-), 16:22, 20/10/2015 [^] [^^] [^^^] [ответить]
| +9 +/– |
Тащмайор, шел бы ты номера спайсодилеров с заборов отдирать. А лучше ловить по номерам их.
| | |
| |
| 6.41, Иванов Иван (?), 16:47, 20/10/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Тащмайор, шел бы ты номера спайсодилеров с заборов отдирать. А лучше ловить
> по номерам их.
Дык точна - с заборами-то вернее выйдет! Молодёжь она там вся - у заборов. А в инете только полкалеки-ботаника - можно даж и не запариваться!
| | |
| |
| 7.71, count0krsk (ok), 22:04, 22/10/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Дык точна - с заборами-то вернее выйдет! Молодёжь она там вся -
> у заборов. А в инете только полкалеки-ботаника - можно даж и
> не запариваться!
Ви таки не повегите, но норкоманы редко заходят в инет, потому что "запускают" всё, с чего можно это сделать барыгам или в ломбарды. А вот мимо заборов таки ходят, как и дети ваши. Так что боритесь в инете, и внуки незаметно появятся ;-)
| | |
|
|
| 5.39, . (?), 16:40, 20/10/2015 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> когда твой ребенок траванется спайсом - будешь так же твердить о свободе и цензуре ?
К когда твоя младшая уедет к рыцарям IGIL - о чем будешь твердить ты?
Истина как обычно - где то посередине.
| | |
| |
| 6.45, Аноним (-), 20:21, 20/10/2015 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> К когда твоя младшая уедет к рыцарям IGIL - о чем будешь твердить ты?
Т.е. если будет больше свобод и меньше цензуры, то младшая в игил не уедет?
> Истина как обычно - где то посередине.
Закончишь школу - пиши ещё.
| | |
| |
| 7.53, . (?), 03:33, 21/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
Закончивший школу не знает как у алкашей руки дрожат? Сопляк :)
Ну в тудым ответил, каюсь.
С цензурой бороться надо, но свободы вредить (не в смысле политики, на неё я уже дааааавно 7-и кг. болт на "76" ложил, а вредить реально) тоже быть не должно. Иначе ... смотри страну 404 :(
Наркота, работорговля, лохотрон. Есть что давить и давить это _надо_. И не менее _надо_ не позволять давить остальное (а скорее и более).
А я и не обещал что будет легко :)
Там наверху какой перец обещал - да :) Мол с https невозможно заблочить сайтег, только IP целиком. Но во первых - органам по***уй, а во вторых - IE на XP всё :) Остальное таки умеет: https://www.digicert.com/ssl-support/apache-secure-multiple-sites-sni.htm
И будет вам селективный блок.
| | |
|
|
| 5.51, Crazy Alex (ok), 23:43, 20/10/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
Решение то же, что и с цензурой - не запрещать вся подряд, а просвещать, что сильно вредно, что нет. Без проб не обойдётся, понятное дело - но я не знаю вообще никого, кто бы не пробовал ту же траву. А вот вреда будет всяко меньше. Собственно, пока за курительные смеси не гоняли и в них был нормальный синтетический каннабиол - проблем особых не было. А теперь - травятся, потому что суют (пока) легальную, но ядовитую хрень. Запретят её - найдётся что-то ещё. Потому как спрос есть.
| | |
| 5.52, Ytch (ok), 23:59, 20/10/2015 [^] [^^] [^^^] [ответить]
| +3 +/– |
 > когда твой ребенок траванется спайсом
1. Ну-ка, расскажи нам всем, каким образом, блокировка какого-либо сайта роспотребом, защитит ребенка от спайса? С конкретными примерами из жизни только, а не из рекламно-пропагадистских речей.
2. Заполни пробелы в "логической" цепочке (а то чё-то связь никак не просматривается):
"доступные сертификаты"->"проще https"-> ... ->существенное ухудшение ситуации по детской наркомании.
3. Каким образом наличие подтвержденных сертификатов и https усложняет работу полиции, например, по мониторингу сайтов по продаже наркотиков и "отработке" их владельцев? У полиции, госнаркоконтроля, таможни и т. д. браузеры не поддерживают https или что? Как повлияет тот факт, что теперь сертификаты будут подтвержденные (о чем, собственно, сама новость)?
| | |
| |
| 6.54, . (?), 03:41, 21/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
Выдыхай Ytch :)
Всё гораздо проще:
нумбер 1 - практически никак. Ну ежели только рецепты варева уберутся ...
нумбер тво - перец запостивший мислид просто до сих пор на ослике в XP сидит, и думает что так будет ещё одну вечность ... А все чой то повелись 8-)
| | |
| |
| 7.58, иван иванов (?), 10:57, 21/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
Вдыхай глубже.
Даже если прямых рецептов на сайтах не будет, крутые поцы типа вас с Ytch будут выкладывать на ютуб ролики типа: "Чуваки, никаких рецептов не будет, ищите сами.. Но я вчера такую штуку вдул, что теперь весь такой гламурный и толерантный по самое оно..."
А для тинейджера в период половой ломки - это прямой вызов.
> Выдыхай Ytch :)
> Всё гораздо проще:
> нумбер 1 - практически никак. Ну ежели только рецепты варева уберутся ... | | |
|
|
|
|
|
|
| |
| 2.60, th3m3 (ok), 11:45, 21/10/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Дело не в бесплатности. Главное, это зашифрованное соединение. Веб станет более безопасным.
| | |
|
| 1.50, DmA (??), 22:35, 20/10/2015 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
а для почты они не планируют сделать такие бесплатные сертификаты? Удобно было
| | |
| 1.79, Diozan (ok), 09:31, 01/03/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Подниму тему. Вчера сделал эти сертификаты для своих сайтов. Удобно, процедура достаточно простая. В Gentoo имеется соответствующий портаг. Сертификат выдаётся на 3 месяца, но обещают, что с обновлением не будет проблем, функция обновления присутствует, и ничто не мешает её воткнуть в Крон. Использую их в связке с Lighttpd. Выписал сертификат на домен и два его поддомена.
Протестировал на разных браузерах, в числе которых Хром, Опера, Эдж, Файрфокс Яндекс. Ругнулся на сертификат только Файрфокс. Видимо, не договорились они пока с Мозиллой.
| | |
|
