"In subsequent Chrome releases, these exceptions will be reduced and ultimately removed, culminating in the full distrust of these CAs." — не "позже передумали", а "сразу написали".
По Cloudflare: с вами связались, сказали, что вас это задело? Вроде как они писали, что именно так и поступят. Или вы просто раздули из мухи слона?
Вы то ли комментарием ошиблись, то ли у вас просто фантазия богатая. WoSign и StartCom заблокировали бы, даже если бы не было никакого Let's Encrypt. И это всё ещё не мешает вам купить сертификат у адекватного поставщика.
Ваши голословные утверждения про Cloudflare вообще не комментирую :)
Форсинг — ну так почему бы не пофорсить классный ресурс, подходящий под нужды 95% людей? А если ваши вкусы специфичны ваши задачи не закрываются предложением LE — на рынке куча других предложений.
Я с месяц назад тоже столкнулся с ситуацией, когда на одном из сайтов не продлился сертификат LE. Криворукость админов, забывших добавить задачу в крон, никто не отменял. На моих серверах всё отлично продлевается с первой попытки.
Так если не хотите — не играйте. На Let's Encrypt свет клином не сошёлся, любые прежние службы сертификации вам с удовольствием что-нибудь продадут под ваши цели.
Так и Juniper мелкий в сравнении с Cisco — на один порядок ниже выручка. Как и у Mikrotikls на один порядок ниже, чем у Juniper. Так что неплохо бы как-то обозначать критерии крупности при таких утверждениях :)
Что-то по профильным тикетам certbot'а застой уже с полгода наблюдается, но в целом они согласны с тем, что не всегда обязательно для каждого продления сертификата генерировать новый приватный ключ, и хотят добавить опцию сохранения текущего ключа.
Сейчас это можно делать, создав собственный CSR и используя его в запросах.
У сторонних клиентов тоже должны быть соответствующие опции, по идее.
HTTP Public Key Pinning сводит вашу задачу к следующей: невезучий клиент должен ни разу не заходить в данном браузере на сайт банка перед тем, как на него будет осуществлён MitM.
Даже если совсем лень читать документацию, можно воспользоваться встроенной командой: systemctl edit systemd-journal-remote.service. Она сама разберётся, что куда записать, чтобы обновления не откатили изменения :)
Пару недель назад разобрал пачку старого хлама. Диски CD-DVD+-R/RW, записанные в районе 2001-2010 годов, прочитались без особых вопросов. Даже скупая мужская слеза пробежала при взгляде на содержимое диска со своей коллекцией софта пятнадцатилетней давности…
На второй картинке соседствуют Linux 0.01 (я так понимаю, года до 1991) и sha512 (спецификация 2002 года) — как это получилось? А вдруг в Git можно посмотреть историю изменения ещё тех версий? Было бы интересно прикоснуться глазом к изменениям у самых истоков =)
При ручной установке корневого сертификата HPKP (да, я что-то не сразу заметил описку, не HSTS, конечно же) игнорируется: https://bugs.chromium.org/p/chromium/issues/detail?id=561646
Производители браузеров пошли навстречу корпоративным админам, и при ручной установке сертификата в локальное хранилище весь HSTS игнорируется чуть более, чем полностью. Чтобы работодатель мог вырезать своим работникам рекламу из страниц и смотреть, куда они при этом ходят. Считается, что пользователь при такого рода установке идёт на этот шаг осознанно, полностью понимая и принимая возможные последствия.
"In subsequent Chrome releases, these exceptions will be reduced and ultimately removed, culminating in the full distrust of these CAs." — не "позже передумали", а "сразу написали".
По Cloudflare: с вами связались, сказали, что вас это задело? Вроде как они писали, что именно так и поступят. Или вы просто раздули из мухи слона?
Вы то ли комментарием ошиблись, то ли у вас просто фантазия богатая. WoSign и StartCom заблокировали бы, даже если бы не было никакого Let's Encrypt. И это всё ещё не мешает вам купить сертификат у адекватного поставщика.
Ваши голословные утверждения про Cloudflare вообще не комментирую :)
"Подрезали" — вы про это https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html, что ли? Так там, вроде, всё по существу написано.
Форсинг — ну так почему бы не пофорсить классный ресурс, подходящий под нужды 95% людей? А если
ваши вкусы специфичнываши задачи не закрываются предложением LE — на рынке куча других предложений.Я с месяц назад тоже столкнулся с ситуацией, когда на одном из сайтов не продлился сертификат LE. Криворукость админов, забывших добавить задачу в крон, никто не отменял. На моих серверах всё отлично продлевается с первой попытки.
Так если не хотите — не играйте. На Let's Encrypt свет клином не сошёлся, любые прежние службы сертификации вам с удовольствием что-нибудь продадут под ваши цели.
Так и Juniper мелкий в сравнении с Cisco — на один порядок ниже выручка. Как и у Mikrotikls на один порядок ниже, чем у Juniper. Так что неплохо бы как-то обозначать критерии крупности при таких утверждениях :)
"Cisco стала первым из крупных производителей аппаратного обеспечения, который выявил уязвимость, упомянутую в документах ЦРУ"
Вроде и не скажешь, что MikroTik сильно мелкие, так что спорное утверждение: https://forum.mikrotik.com/viewtopic.php?f=21&t=119308
Вы уверены, что если им не выделяют деньги на разработку, то выделяют на покупку разработок? =)
Ура, в certbot реализовали соответствующий функционал: https://github.com/certbot/certbot/pull/3819
В Беларусбанке — максимум 12 символов. Разработчики пару лет назад обещали обратить внимание, но воз и ныне там.
Расскажете, что за провайдеры? Хотя бы намекните :) Спасибо.
А BIND 9.4 вышел в 2007-м. Выходит, автор что-то недоговаривает?
Сейчас это можно делать, создав собственный CSR и используя его в запросах.
У сторонних клиентов тоже должны быть соответствующие опции, по идее.
HTTP Public Key Pinning сводит вашу задачу к следующей: невезучий клиент должен ни разу не заходить в данном браузере на сайт банка перед тем, как на него будет осуществлён MitM.
Даже если совсем лень читать документацию, можно воспользоваться встроенной командой: systemctl edit systemd-journal-remote.service. Она сама разберётся, что куда записать, чтобы обновления не откатили изменения :)
Увы, с трудом.
https://ru.wikipedia.org/wiki/Проблема_скрытого_узла
Детёныши тоже находятся до весны в состоянии, подобном спячке? И что у них с запасом питания?
При ручной установке корневого сертификата HPKP (да, я что-то не сразу заметил описку, не HSTS, конечно же) игнорируется: https://bugs.chromium.org/p/chromium/issues/detail?id=561646