Comments 38
А всем подряд (не-бетатестерам) начнут раздавать только через месяц-другой.
Планируется начать 16 ноября. У них в блоге так написано.
Главное чтобы сертификаты были доверенными, тогда RIP Комодо и ко.
Конечно будут, иначе какой вообще смысл создавать такой проект? Достаточно было бы юзер-френдли обвязки над easy-rsa. Мне кажется, этот CA просто подпишет один из существующих общепризнанных CA. Сертификаты же позволяют наследовать доверие через сколько угодно уровней, так что если получится договориться с одним из таких — мороки с введением нового корневого можно будет избежать.
UFO just landed and posted this here
Они и заморочились. Их сертификат будет корневым как минимум в Firefox и Chrome. Но вот проблема: куча пользователей сидит на браузерах образца 2010 года и ничего на системе не обновляет. Поэтому подпись от IdenTrust необходима, иначе будет слишком много нареканий.
Эта проблема, собственно, была одной из самых сложных, остальное-то более-менее дело техники (даже непонятно, почему никто из существующих CA не сделал того же).
Эта проблема, собственно, была одной из самых сложных, остальное-то более-менее дело техники (даже непонятно, почему никто из существующих CA не сделал того же).
UFO just landed and posted this here
Я имею в виду, почему нельзя было раньше сделать так, чтобы получение TLS-сертификата не было болью в заднице? Выучите man openssl, man csr, вышлите то, пропишите это. Всё же превосходно автоматизируется (пока вы не захотите EV-сертификат, конечно).
А так — да, конечно, динозаврам рынка CA придётся нелегко. Есть, конечно, те же EV, но вряд ли от них большой доход, уже даже не все банки покупают себе EV.
А так — да, конечно, динозаврам рынка CA придётся нелегко. Есть, конечно, те же EV, но вряд ли от них большой доход, уже даже не все банки покупают себе EV.
У меня вопрос в таком случае — как они обеспечат воспринимаемую уникальность сертификатов (чтобы соединяясь с Райвффайзенбанком я полнимал, что это он, а не Raifaizenbank inc — индивидульаный предприниматель зарегестрированный в Нижней Шепетовке). Насколько я знаю, сейчас есть некая проверка при выдачи сертификата — или нет?
Для привязки домена нужно пройти проверку, и только после неё можно запросить сертификат.
А они сделают //бесплатную// проверку?
Да, иначе сертификат не будет бесплатным. Проверяется только владение доменом, а это легко автоматизируется.
Владение доменом — унылая проверка. Куплю я домен paypai.co, и буду устраивать фишинг под PayPal, всё будет хорошее и зелёное.
А если они будут выдавать вилдкарт сертификаты, то вообще всё плохо будет paypal.com.someevilsite.com
А если они будут выдавать вилдкарт сертификаты, то вообще всё плохо будет paypal.com.someevilsite.com
Вы и сейчас можете это сделать. Только проверки домена достаточно для получения множества сертификатов, в том числе и wildcard.
Да, но сами сертификаты платные. Причём не такие уж и дешёвые по сравнению с доменами. Т.е. для фишеров получение сертификата это дополнительная статья расходов, которая делает схему с покупкой https менее выгодной.
Есть и триальные. Всё равно подобные сайты долго не живут.
Да ладно, StartSSL, Comodo и WoSign годами выдавали сертификаты бесплатно. Не было такой статьи расходов.
StartSSL, насколько я помню, требовал много личной информации для выдачи, и были ограничения по использованию. WoSign — в рекламных целях. Comodo вроде бы только email-сертификтаы выдавал, хотя могу ошибаться.
Но с учётом того, что сказал 1x1 про триальные, я понял, что проблема в принципе не очень существенная, хотя слегка портит работу с сертификатами. Т.е. если платёжный шлюз берёт себе бесплатный или копеечный сертификат — деньги доверять ему не стоит, придётся теперь следить за этим.
Но с учётом того, что сказал 1x1 про триальные, я понял, что проблема в принципе не очень существенная, хотя слегка портит работу с сертификатами. Т.е. если платёжный шлюз берёт себе бесплатный или копеечный сертификат — деньги доверять ему не стоит, придётся теперь следить за этим.
Сертификат стоит 10 долларов в год. Кстати, так же как и домен.
А некоторые лоукостеры за домен+сертификат дают неплохую скидку.
Если кто-то будет красть деньги, прикидываясь paypal, 20$ он наверное отобьет.
А некоторые лоукостеры за домен+сертификат дают неплохую скидку.
Если кто-то будет красть деньги, прикидываясь paypal, 20$ он наверное отобьет.
у них задача дать всем сертификаты, а не обеспечить валидацию.
Для банков будет выходом покупать сертификаты с красивыми плашками
Для банков будет выходом покупать сертификаты с красивыми плашками
Ну дык, в статье же написано. Подпишет IdenTrust.
Это будет их собственный корневой CA, признанный браузерами.
Смысл проекта в том, чтобы перевести весть трафик на HTTPS, а не проводить валидацию. Для получения доверенных сертификатов нужно обращаться к другим CA.
Защита трафика от прослушки и проверка владельца сертификата — разные вещи. Проект Let's Encrypt нацелен на первую задачу.
Смысл проекта в том, чтобы перевести весть трафик на HTTPS, а не проводить валидацию. Для получения доверенных сертификатов нужно обращаться к другим CA.
Защита трафика от прослушки и проверка владельца сертификата — разные вещи. Проект Let's Encrypt нацелен на первую задачу.
На картинке написано «чпокаются», а не «имеют отношения ».
Я бы с удовольствием получил бы у них серт. уже сейчас. Что из CA будет доверенным — это вопрос времени, но все шансы за (хотя, конечно, все участники рынка не рады — им почти за воздух брать деньги всегда интересно), а начинать использовать хотя бы для своих целей вполне себе вариант.
Только бы они wildcard выдавали, а не только на конкретное hostname.
Только бы они wildcard выдавали, а не только на конкретное hostname.
Кстати, кому прям не терпится, можно сделать https бесплатно с помощью cloudflare — они вас своим накроют. Но между вашим сервером и cloudflare трафик будет ходить нешифрованный.
Есть проще — StartSSL
Проще? Проще чем просто зарегистрироваться на сloudflare и добавить свой сайт в список?
Только он сразу выдает private key, генерируя CSR на своей стороне. Это немного не безопасно. Кроме того, отзыв сертификата и выдача более одного сертификата на домен — платно.
К слову, Let's Encrypt не обещает выдачу EV, CodeSign, Wildcard и не гарантирует великое множество зелени в качестве гарантии защиты сертификата. Некоторые промежуточные CA от Comodo, со сроком истечения в 2020 году и sha1, продают воздух по 3$/год. Так что «Динозавры» много не потеряют.
Тотальный ssl ускорит переход на IPv6, т.к. адресного пространства IPv4 не хватает на каждый блог (можно использовать несколько сертификатов на одном домене, но некоторые старые ОС и браузеры не умеют с ними работать + это не для shared хостинга).
К слову, Let's Encrypt не обещает выдачу EV, CodeSign, Wildcard и не гарантирует великое множество зелени в качестве гарантии защиты сертификата. Некоторые промежуточные CA от Comodo, со сроком истечения в 2020 году и sha1, продают воздух по 3$/год. Так что «Динозавры» много не потеряют.
Тотальный ssl ускорит переход на IPv6, т.к. адресного пространства IPv4 не хватает на каждый блог (можно использовать несколько сертификатов на одном домене, но некоторые старые ОС и браузеры не умеют с ними работать + это не для shared хостинга).
можно использовать несколько сертификатов на одном домене, но некоторые старые ОС и браузеры не умеют с ними работать + это не для shared хостинга
про браузеры: те браузеры, которые не поддерживают SNI уже не не используют(ся) в тестировании сайтов.
про шареды: если шаред древний на centos 5, то пожалуй да, более grade A без бубна не получить. полгода назад такая же беда была с centos 6, но сейчас все гуд, openssl > 1.0.1c. про deb-based я молчу, там все значительно лучше.
п.с. на одном IPv4 имею несколько доменов, ssllabs.com для всех выдает A+. ЧЯДНТ?
Только он сразу выдает private key, генерируя CSR на своей стороне
Никто не мешает забросить им свой CSR, так что аргумент не катит.
Ну, если вас устроит, что рядом с вашим сайтом в Subject Alt Name будет прописана порнуха, тогда да.
Раз уж тут про кф вспомнили, кто-нить смог на бесплатном тарифе подсунуть свой сертификат к домену за кф? Что-то у меня не выходит каменный цветок. То ли лыжи…
А как тогда будут промежуточные IPS, IDS смотреть трафик с сайтов зараженных? Сертификаты то всем, проверять не будут тщательно (не справятся с потоком запросов), сейчас покупают по 200$ (и продают не спрашивая, платят и ладно), а так бесплатно, еще проще еще больше.
Sign up to leave a comment.
Let’s Encrypt выдала первый бесплатный HTTPS сертификат