Comments 32
GlobalSign_admin,
Присоединюсь к вопросу, тем более, что являюсь представителем одного из ваших клиентов и рад был бы автоматизации взаимодействия с вами.
Слабаки — у меня недавно на опенвпн-сервере закончился 10ти летний сертификат и естественно я был к этому не готов :)
А EV зачем хоронить? Для удобства рыболовов?
Отдельно отмечу, что практика автоматизации от letsencrypt неоднозначна.
Нативные скрипты очень часто подводили внезапной поломкой, пока не перешел на скрипты certbot — чуть больше года на десятке серверов и ни одного сбойного деплоя сертификатов.
Моя ошибка есть следствие очень редкой поддержки этих скриптов — один раз сделал и забыл.
А т.к. много чего успел попробовать, пока нашел стабильность, то в голове каша.
Я одного не могу понять — они хотят сделать так, чтобы после того, как LE прилёг (война, санкции, etc), весь интернет перестал работать в течение трёх месяцев?
Может, http лучше? Только представьте себе: http будет работать ДАЖЕ если все CA в мире помрут и отзовут все свои сертификаты к чертям.
а куда при этом денутся самоподписанные сертификаты? всё лучше будет, чем просто HTTP
Даже самоподписанный сертификат вас не спасёт от выпиливания вашего шифра из бразуеров. SSL/TLS гниёт со скоростью дохлой рыбы в +40. Прошло три года — и браузер уже не может подключиться к вашему SSL'ю, потому что http — можно, а SSL 3 — нельзя.
Сравнивать некую сущность, которая подвергается эволюционированию, с ее (сущности) полным отсутствием — довольно странно.
Вы не поняли моей позиции. Есть http. Есть https. Браузеры считают http умеренно небезопасным, но отлично с ним работают. Браузеры считают https с ssl3 настолько небезопасным, что отказываются поддерживать протокол, который был прогрессивным лет 20 назад.
Мой поинт в том, что http — не гниёт, а https — гниёт. Любой сайт на https (даже интранет на сапоподписанном сертификате) рискует перестать работать через 5-7 лет из-за очередного POODLE2. Сделав http, мы получим более живучую версию, чем https.
Браузеры считают http умеренно небезопасным, но отлично с ним работают.Логично. Потому что http выполняет ту функцию, которую обещает.
Браузеры считают https с ssl3 настолько небезопасным, что отказываются поддерживать протокол, который был прогрессивным лет 20 назад.И это логично, но по обратной причине — невыполнение обещанного.
В этом ключе есть смысл сравнивать исполнение/неисполнение обещаемого функционала.
Но ни как не наличие/отсутствие функционала, потому что http и ssl3 абсолютно разные по сути вещи.
Мой поинт в том, что http — не гниёт, а https — гниёт.А я почему-то уверен, что близится день, когда http прекратит свое существование.
Значит он тоже гниет, только гораздо медленнее и невооруженному взгляду незаметно.
http? Прекратит существование? Простите, а что вместо него? Сломанный by design PKI?
Вот, скажите, как мне сделать рабочий сайт на https для домена localhost? Попросить LE подписать сертификатик?
Но у каждого владельца localhost есть возможность сгенерить свой серт и даже создать цепочку CA, затем скормить это любимому браузеру.
http? Прекратит существование?Я утрировал ваше видение того, что инструменты со временем протухают.
А вот кстати как по-нормальному скормить браузеру свой серт? Когда я добавляю в свой Firefox самоподписанный серт конкретно для локалхоста, замочек безопасности всё равно ярко светит предупреждением о небезопасности, а когда я делаю свой CA ради зелёного замочка — появляется возможность утечки приватного ключа (предполагаем, что среднестатистический домашний комп не особо защищён) и соответствующего MitM для всех остальных сайтов помимо локалхоста.
А вот кстати как по-нормальному скормить браузеру свой серт?Ровно так, как рекомендует документация к браузеру.
PKI по-взрослому — когда необходимые процедуры CA производятся не на тех хостах, которые им защищаются, а асинхронное шифрование тут в помощь, и к хосту с ключом CA нет никакого внешнего доступа.
Нестрашно поиграться в PKI на своем компе, если запросы не выходят за рамки локалхоста.
Но когда мы вылазим из песочницы локалхоста и раздаем серты своим сайтам на внешних хостингах, надо осмыслить рекомендуемую политику безопасности при развертывании PKI и таки сделать CA на хосту защищенном от внешних посягательств, тем самым мы исключаем компрометацию ключей CA.
Отсюда и рекомендация иметь иерархию CA, когда корневой создает только подчиненные CA, а подписью сертов занимаются исключительно подчиненные, это сделает менее болезненным отзыв скомпрометированного подчиненного CA.
Всё вами написанное я и так прекрасно знаю, но проблемы с домашним локалхостом, когда ни о какой иерархии CA речи не идёт, это никак не решает
Впрочем, если у кого не надо есть доступ к домашнему компу, то тут уже проблемы пострашнее приватного ключа, так что я наверно глупый вопрос задал и беспокоюсь не о том (хотя пойду-ка перепрячу свой CA подальше, чтоб просто случайно не утёк)
Правильно рассуждаете. По большому счету многим сайтам и не нужен tls, тут вопрс в другом, монополисты поиска будет такие сайты опускать ниже других в ранге только потому, что нет серта и это не меньше раздражает.
А, ну и напоследок, кто вообще гарантирует что все эти выдавальщики сертификатов не расшифруют весь трафик по желанию?
Вот это вот гарантирует криптография как наука.
Как именно она гарантирует, что вот прямо сейчас в данный момент времени COMODO CA не выпустил новый сертификат для Хабра со своим приватным ключом, не передал его и ключ вашему интернет-провайдеру и с помощью него интернет-провайдер не подсматривает, какие посты вы читаете на Хабре?
А ваше уточнение относится более к доверию и организационным мерам, и тут я с вами согласен, что этого никто не гарантирует.
Форум CA/B проголосовал против сокращения срока действия SSL-сертификатов до 397 дней