
Комментарии 59
Ещё больше Чебурнетии... Расщепление Certificate Authority на скрепный и все остальные.
Расщепление Certificate Authority на скрепный и все остальные.
Я так думаю - правильней на скрепный и те что могут послать в лес когда захотят, а повод всегда найдется.
Ты виноват уж тем, что хочется мне кушать.
когда захотят
А что случилось?
Простите, а вот эти самые, которые "ты виноват уж тем, что мне хочется кушать", они только на той стороне, котороя в противовес "скрепной" идет? Или все же кушать хочется и тем, у кого инфраструктура гугла, телеграма и дискорда внезапно устарела? Вы точно сейчас ничего не забываете?
"ты виноват уж тем, что мне хочется кушать"
В нашем современном капиталистическом мире сильный кушает слабого.
Или слабый прячется под крыло другого сильного (И все равно слабый это обед - только запасной).
Мне не нравится такое мироустройство.
Но я не отрицаю реальность.
И когда спрашивают - А что случилось? Надо просто расставить все по своим местам. И увидеть кто с кем "дерется" и за что.
На плесень и липовый мёд.
Жду теперь, когда корневой сертификат НУЦ добавят в дистрибутивы Windows и браузеров
Удачи...
Не понимаю, почему винда в РФ еще осталась, как явление. Легально не купить, раньше пираткой массово пользовались, тк была реально удобной, а теперь нативной рекламы нет (пока еще) разве что в контекстных меню. На интересы пользователя винда плевать хотела не меньше всяких максов...
От этого винда только лучше. И пусть держится от моих пользовательский интересов подальше, а делает только то, что приказано.
Винда остаётся относительно удобной, с хорошей поддержкой железа и периферии, понятная в переходе на новые версии. на пользователей и их мнение мелкософт всегда клал болт и это не выбивало его из самых дорогих компаний мира.
На тему легально не купить - хз, можно купить для другого региона и сменить регион, язык. Ну да, нет официального магазина, но мне ехать, а не шашечки. Для обывателя Линукс сложнее и менее универсален, а покупать(!) "российский" Линукс - это боль бюджетников, простой юзер себе лучше видеокарточку обновит или проц посвежее поставит.
Не сказал бы, что винда понятнее при выходе новых версий- по аналогии с автомобилями, это бы выглядело, как поменять местами педаль газа и рычаг включения поворотников частенько. Но и не в этом основная суть претензии к винде, а в том, что потребляет чрезмерные ресурсы, не подчиняется пользователю беспрекословно и содержит в себе все больш еназойливой нативной рекламы. О русском линуксе даже и мысли не возникает, а вот дружелюбных дистрибутивов сейчас огромный выбор. Проблемы с драйверами к популярному железу остались в бсд-подобных системах и других редкостях на десктопе, но уж никак не для линукса. Не буду отрицать, что с точки зрения админов в линуксе тоже случаются непривычные перемены, но для пользователя, особенно не особо мощного компа, поведение и вид xfce практически не меняется. Да и кде тоже, в случае, если возможности компа позволяют его поставить. По поводу же легальности покупки- если винду нельзя закупать официально, то и обучать продуктам на винде законно не выйдет, и работодатели соответственно не смогут новые компы с виндой массово закупать, соответственно школьникам и студентам винда уже не нужна. Окончательно слезть лет 10 потребуется. Ну или представить себе чудо, что майкрософт повернется лицом к людям и уберет то, что бесит людей. В последнем очень сомневаюсь.
Open Shell и Windows Firewall Control творят чудеса - винда ходит строем. Хотите поскуднее набор - пользуйтесь LTSC.
Не у домашних же пользователей она строем ходит. Пока в основном бесит людей обновлениями и рекламой нативной. Да и настройки частенько слетают при обновлениях. Не разваливается, как 20+ лет назад, это конечно, плюс, но теперь прямо целенаправленно бесят.
Если там штатно весь цирк с конями не запихали - это не значит, что набор поскуднее. Всё не нужное можно и доставить парой команд.
Зато работает даже на 1155, но только с SSD под систему.
Альтернативы Windows могут быть хоть в 100 раз лучше, но “мы так привыкли, нам так удобнее”. Массовый переход могу представить по 2 сценариям:
В РФ начинают наказывать за использование Windows, независимо от того, лицензионная копия или нет.
Microsoft применяет удалённый kill switch.
Так поколения пользователей постепенно меняются, меняются и запросы работодателей. Мало кто из людей станет заморачиваться с виндой, когда на учебе, потом на работе привыкнут к другой ос. А винда начинает бесить и тех, кто к ней привык. Вот я, например, не привыкал изначально к рекламе в меню пуск, к меняющимся не по моей воле обоям тоже не привыкал. Это резко отталкивает многих.
То что меня в Винде всегда бесило я сразу убивал. Вот вообще не задумываясь. Особенно всякую ересь, которая потребляет ресурсы мимо кассы, типа рекламы, анимированные темы, виджеты, новости, избыточная телеметрия. Сейчас в Андроиде такая же история пошла, родные приложения идут под снос (либо выключаются) и заменяются другими, мое мнение - охренели мне в моем телефоне рекламу показывать при открытии галереи.
Кстати, законных оснований признать винду вредоносным софтом хоть отбавляй. И это отнюдь не политические натянутые основания. Почему этого не сделали раньше- понимаю, а сейчас- хороший вопрос.
Так это и самому можно сделать, разве кто запрещает?
А что там такого в acme.sh изменили? Почему стандартной версией или вообще certbot нельзя пользоваться?
Я с НУЦ пока связываться не собираюсь, т.к успешно победил LE, но тем не менее, а что у них есть проблемы с этим?
8555 это как я понимаю и есть acme, все изменения скрипта, которые я увидел в описании по большей части косметические, типа обязательно чтобы страна была RU. Все это так же должно настраиваться в LEGO аналогично тому как в скрипте acme.sh.
Вано, погоди. Если сертификата в операционках по умолчанию нет, то ведь теряется весь смысл, особенно для статичных хомячковых сайтов. Он же все равно у подавляющего большинства будет показываться как недоверенный, т.е. что есть, что нет. А в появление его в ОСах я бы не ждал на фоне процесса отзыва забугорными конторами. Ну и в догонку, если ты там в доке копался, НУЦ wildcard сертификаты поддерживает?
Приняли 210-ФЗ, там есть и про НУЦ, так что его наличие в операционках - дело времени.
Не думаю, что Microsoft его добавит в Trusted Root, а вот установщик Диадок сможет.

Сразу расставим точки над ё: я не в коем разе не против статьи, даже наоборот, т.к. такая инфа может и пригодится когда-нибудь.
Суть моих возражений только про твой сценарий почему ты связался с НУЦ: т.е. необходимость в таком ущербном сертификате для домашней страницы (а насколько я помню там были одни фотографии). Дело ведь не в том, что ты доверяешь своему сайту :) а в том что для большинства других он таковым не будет (я то на твой сайт и без страха без сертификата зайду). Потому что этот ФЗ это про конторы, т.е. того же Диадока на личном компе вряд ли встретишь. Ну допустим банки или госуслуги будут хотеть, но в этом случае, они например у меня будут сидеть в какой-нибудь песочнице с этим сертом, и оттуда я по другим сайтам ходить не буду. Полагаю другие похожим образом рассуждают.
Яндекс.браузер я на десктопах ни у себя ни у знакомых не наблюдаю, все его вычищают нещадно. Единственное где он у меня встретился недавно это предустановленный на андроиде у мамы, кстати туда и сертификат обяжут производителей ставить, если еще не. Но ты ж про винды :)
acme.sh делает только DV-сертификаты, на портале НУЦ выпускает и OV-сертификаты.
OV-сертификаты это не про wildcard, а про организации и их проверки. Тот же Let's encrypt позволяет делать обычные wildcard сертификаты, только для их автоматического подтверждения по-моему нужно чтобы регистратор домена предоставлял API-доступ к записям своего домена а многие его не дают. Т.е. изменение TEXT записи это ручная работа и тот же certbot (полагаю и acme.sh) wildcard сертификаты от Let's encrypt автоматом не обновляют.
acme.sh умеет дёргать API разных регистраторов, и соответственно автоматически обновляет wildcard-сертификаты.
Делать или пользоваться? Это как бы разные вещи. Если у моего регистратора timeweb нет API для изменения DNS записей, только через вебморду. То как acme.sh это обойдет. Я смотрел сорцы кого-то из списка этих автоботов, там были API известных автору регистраторов, и чтобы добавить своего регистратора нужно чтобы этот рег предоставлял API.
Уточнение: у timeweb вроде есть API, но по-моему это если ты у них хостишься, а за просто услугу DNS я увидел только индейское жилище.
у моего регистратора timeweb нет API
Сочувствую, я пользуюсь reg.ru, для него у acme.sh есть модуль так что всё работает, и выпуск и авто-продление wildcard-сертификатов.
Ну это как раз не беда, ровно сегодня пришло уведомление что через месяц домен заканчивается и надо продлить, может и перенесу куда. Я разбирался впервые с этим соответственно почти год тому назад, но каша в голове небольшая осталась и я могу заблуждаться: проблема больше не из-за регистратора, первую скрипку играет как раз УЦ.
Сам УЦ должен давать возможность выпускать wildcard сертификаты (например Let’s Encrypt начал выдавать бесплатные wildcard-сертификаты в с 2018).
Далее, чтобы выпустить сертификат, УЦ проверяет что ты являешься владельцем домена. Let's Encrypt это делает двумя способами: изменением записи TEXT в DNS или покладанием файла в определенную папку на сервере. Но вот беда, оба способа он использует только для полного домена, а для домена со звездочкой, только через TEXT. Отсюда и появляется требование в наличии программного доступа (API) к редактированию DNS записей для автоапдейта. А наличие такого API это уже воля или не воля регистратора. Поэтому если тот же НУЦ умеет выпускать wildcard с выкладыванием файла на сервер, то необходимость в API у рега отпадает.
Т.е. домен вида example.com я у timeweb успешно автоматом обновляю, а вот *.example.com не могу, только руками.
Но, что-то мне подсказывает, что эти способы проверки у всех УЦ примерно одинаковые т.к. используют какой-нибудь единый стандартный протокол. И поэтому с этой точки зрения НУЦ вряд ли имеет преимущество перед LE по этому вопросу.
Вилдкард насколько мне известно только через днс можно продлить, а простой домен и файлом может обойтись.
https://github.com/acmesh-official/acme.sh/wiki/dnsapi2#165-use-timeweb-cloud-dns-api
Сначала читаем документацию, а потом делаем заявления, не наоборот, чтобы не получать такие комментарии))
Документация не причем, проблема была не в том как автоматизировать через API. Эта дока вполне понятно описывает как автоматизировать обвновление вилдкард сертификатов, если бы не одно но: у timeweb есть несколько типов сервисов и они используют разные акки. И знать бы об этом заранее. Я изначально зарегистрировал себе домен через них из-за отзывов и цены, только потом мне понадобились серты для нескольких поддоменов и я тогда узнал про вилдкакрд и что так секурнее, чтобы не палить внутренние сервисы. Так вот, мой изначальный акк оказался на их сервисе с hosting в урл, а API доступен на другом с cloud в урл (и это так же видно что дока только про клауд). И это разные акки!!! И для меня совершенно не было очевидно, как перенести (и вообще возможно ли это) уже оплаченный домен. И собственно я не торопясь дожидался окончание этого года и через месяц бы попробовал перекупить его на новом акке с API.
Собственно гуглеж в режиме AI меня уверил, что это возможно, что цены не изменятся, что нужно использовать процедуру переноса как это делается когда ты переходишь от другого рега, что API появится. Ну и учитывая что осталось всего месяц до конца оплаченного периода, я не сильно рискуя все это проделал.
А уже когда я перевел домен на нужный акк, настройку по ней я бы сделал за 5 минут, дольше пришлось вспоминать что и где лежит, как я настраивал веб-сервер и как вычистить мусор от старых проб с сертификатов. В итоге она мне не понадобилась, потому что я в какой-то момент слез с nginx на caddy, а там свои настройки и yb certbot ни acme.sh мне нужны. Опять же все решилось с помощью ИИ в течении этих самых 5-10 минут, он и подсказал где и что у меня должно лежать, и что в настройках поменять и где это сверить с оф.доками самого caddy.
PS: собственно именно благодаря этой самой доке я и узнал что у моего рега есть таки API
Ну и я бы проверил как он обновляется на самом деле. Поставь своему сервису вместо трех недель день-три (если у них есть ограничение на частоту обновления). Я когда год тому назад разбирался с Let's Encrypt например с первой попытки в чем-то элементарном накосячил.
Интересно, сайт такой во всех браузерах в РФ будет открываться с зеленым замочком? В противном случае это те еще грабли.
С чего бы? Для этого в системе должен быть уже корневой сертификат, той цепочки сертификатов авторизующих центров, которые участвуют в подписи выпущенного. Об этом и была хотелка в статье:
Жду теперь, когда корневой сертификат НУЦ добавят в дистрибутивы Windows и браузеров
Долго ждать придётся:( так значит и остается let's encrypt..
Я уверен, что проблемы с отзывом сертификатов исчезнут до того момента как сертификат НУЦ появится в ОСах по умолчанию. Хотяяяя..., кто-то же пользуется яндекс.браузером, у них наверное уже сейчас показывается как доверенный. Собсвенно можешь проверить и зайти на сам сайт Национальный удостоверяющий центр, у меня театр уже с вешалки показывает что "Not secure" красным.
Написано так, как будто все в России знают что такое НУЦ, ЕПГУ и DV.
И самое главное: с каких пор сертификат от НУЦ признается международным и доверенным?
Если курсор подвести к непонятной аббревиатуре, отмеченной серым, то можно щёлкнуть на ней мышкой и непонятная аббревиатура раскроется пояснением.
Я старался, чтобы текст был приятен на вид и тем, кто знает про ЕПГУ, и тем, кто называет их просто "Госуслуги".

Так как сертификат с криптографией стандарт RSA используется во многих странах, то да, сертификат RSA от НУЦ является международным.
Сертификат является доверенным для тех, кто ему доверяет. Я установил корневой сертификат НУЦ себе в ОС и теперь программы, использующие системное хранилище корневых сертификатов, ему доверяют.
Вы же знаете, что такое ЕПХХ?
Это Единый портал ХабраХабра.
А еще можно поднять свой корневой УЦ, тогда проблем с выпуском сертификата вообще никаких не будет.
А поскольку ждать, пока его сертификат добавят в хранилище доверенных корневых УЦ винды, примерно столько же, сколько и сертификат НУЦ, свой УЦ определенно прагматичнее ))
Вас собственными руками заставляют строить сеть внутри чебурнкта. Сами себе тюрьму строите.
Ваши пароли и сетевой траффик уже виден товарищу майору. Ибо ключи шифрования у них уже есть
Что характерно, сертификат для сайта НИИ Восход, который этот самый НУЦ поддерживает, выпущен УЦ GlobalSign

Ага добавят в Винду и браузеры и мак уже в очереди вымаливает дайте нам тоже добавить)))) судя по тенденции скорей корневой забанят на западе.
Вы реально думаете, что можно вот так вот просто и по хамски блочить западные сервисы продавливать свои причем, что блоки, что сами наши сервисы да 99% работают на западном же оборудовании и софте))). И после этого не получить ответку?:))
Всё доверие на сертификаты от западных (и восточных) компаний держалось на уверенности что у них совести не хватит подсматривать. Эта уверенность оставалась даже после слухов о раздаче некоторыми УЦ программно-аппаратных устройств для генерации поддельных сертификатов, выдачи сертификатов кому угодно и т.д. Сейчас же нет никакой надежды что, например, организация в зоне действия законов США не предоставит что угодно спецслужбам США, то же про Россию и про любую страну. То есть цепочка доверия к системе сертификатов разорвана во многих местах. И именно это настоящая проблема, интернет распался на Неуловимых Джо и тех кого уже ловят. Закладки в браузерах, контролируемых правительствами, телефоны с Андроид, контролируемые правительствами, приложения с излишними правами - это всё есть уже, и есть везде.
Пора признать что Интернет в том виде каким он был десять лет назад больше не существует. А мы тут обсуждаем что сертификат "минцифры" не стоит по умолчанию в браузере.
Повторяется история раннего Интернет - см. вирус Морриса. Все всем доверяли, пока студент не решил пошутить.
Как Let's Encrypt, только роднее: автоматическое получение бесплатного RSA DV-сертификата НУЦ