В Let's Encrypt приступили к поэтапному уменьшению срока действия сертификатов

[sorrowinghorse]

И здесь шринкфляция...

[kovserg]

А вот интересно если у всех провайдеров стоят ТСПУ что что мешает получать сертификаты у lets encrypt для любого сайта который хостится у такого провайдера, ведь подтвердить "владение сайтом" в такой ситуации не состовляет никаких проблем. И потом mit в полный рост и никто не заметит пока не сравнит сертификат с сайта через инет с тем что насамом деле на сайте используется. Так то идея была хорошая. Но в современных реалиях она полностью дырявая. И сокращение срока действия сертификата никак этому не поможет. А вот DNS-PERSIST-01 уже что-то, но по тойже схеме можно и DNS записи подменять.

ps: тут даже когда на год выдают сертификат, умудряются про него забыть https://br.fas.gov.ru/

[fhunter]

А вот интересно если у всех провайдеров стоят ТСПУ что что мешает получать сертификаты у lets encrypt для любого сайта который хостится у такого провайдера, ведь подтвердить "владение сайтом" в такой ситуации не состовляет никаких проблем.

CAA записи и DNSSEC + привязка к аккаунту.

И потом mit в полный рост и никто не заметит пока не сравнит сертификат с сайта через инет с тем что насамом деле на сайте используется. Так то идея была хорошая.

При использовании авторизации по сертификатам - она ломается при этом.

• есть публичный список выданных сертификатов от Let's encrypt

[ildarz]

Чтобы получить через ACME сертификат на доменное имя, достаточно контролировать либо соответствующий веб-сайт, либо зону DNS. Если то или другое (или оба) хостится не у вас, то хостер в теории может сделать подмену без всяких ТСПУ. А еще вам могут продать паленый алкоголь, в ресторане подсыпать в еду яд, таксист - ограбить и убить, и так далее. Сплошные риски в этой жизни.

[mixsture]

С хостером вы можете что-то сделать. Расположить это у разных или перебирать их, пытаясь по репутации и отзывам найти того, кто с меньшим шансом будет этим заниматься. Или даже части системы расположить у себя на шкафу. А вот с ТСПУ так не выйдет, поэтому его уязвимости на порядок важнее.

[sigprof]

Скомпрометировать проверку владения доменом через метод http-01 возможно у любого хостера — см. случай с jabber.ru. Через CAA можно попробовать как-то защититься от этого (тогда атакующему нужно будет подделать ответы DNS — защитой от этого может служить DNSSEC, но только в том случае, если атакующий не может модифицировать ответы и от вышестоящей зоны).

ps: тут даже когда на год выдают сертификат, умудряются про него забыть https://br.fas.gov.ru/

На самом деле, чем больше срок действия сертификата, тем проще про него забыть (а кто-то таким путём забывал и про продление домена, что ещё хуже).

[Pinkbyte]

Тем временем российский PT NAD до сих пор не имеет API для автоматизированного обновления сертификатов. Кровавый энтерпрайз как никогда кровав, наши безопасники очень довольны заниматься слежением за устаревающими сертами(нет)

[4kirill20]

Тспу цензурой заняты, куда им до благих целей

[eulampius]

Очень нужны альтернативы LE. Вся "рыба" прикармливается в одном месте. Это очень опасно!