А вот кстати как по-нормальному скормить браузеру свой серт?
Ровно так, как рекомендует документация к браузеру.
PKI по-взрослому — когда необходимые процедуры CA производятся не на тех хостах, которые им защищаются, а асинхронное шифрование тут в помощь, и к хосту с ключом CA нет никакого внешнего доступа.
Нестрашно поиграться в PKI на своем компе, если запросы не выходят за рамки локалхоста.
Но когда мы вылазим из песочницы локалхоста и раздаем серты своим сайтам на внешних хостингах, надо осмыслить рекомендуемую политику безопасности при развертывании PKI и таки сделать CA на хосту защищенном от внешних посягательств, тем самым мы исключаем компрометацию ключей CA.
Отсюда и рекомендация иметь иерархию CA, когда корневой создает только подчиненные CA, а подписью сертов занимаются исключительно подчиненные, это сделает менее болезненным отзыв скомпрометированного подчиненного CA.
Когда у каждого есть свой localhost, очевидно, что между собой они никак не должны пересекаться, а значит и обратиться к публичным CA нет возможности.
Но у каждого владельца localhost есть возможность сгенерить свой серт и даже создать цепочку CA, затем скормить это любимому браузеру.
http? Прекратит существование?
Я утрировал ваше видение того, что инструменты со временем протухают.
Браузеры считают http умеренно небезопасным, но отлично с ним работают.
Логично. Потому что http выполняет ту функцию, которую обещает.
Браузеры считают https с ssl3 настолько небезопасным, что отказываются поддерживать протокол, который был прогрессивным лет 20 назад.
И это логично, но по обратной причине — невыполнение обещанного.
В этом ключе есть смысл сравнивать исполнение/неисполнение обещаемого функционала.
Но ни как не наличие/отсутствие функционала, потому что http и ssl3 абсолютно разные по сути вещи.
Мой поинт в том, что http — не гниёт, а https — гниёт.
А я почему-то уверен, что близится день, когда http прекратит свое существование.
Значит он тоже гниет, только гораздо медленнее и невооруженному взгляду незаметно.
amarao, читал много ваших статей с пользой для своего развития, но некоторые комменты от вас очень удивляют.
Сравнивать некую сущность, которая подвергается эволюционированию, с ее (сущности) полным отсутствием — довольно странно.
Посыпаю голову пеплом. У меня дружба сложилась с acme.sh, а не с certbot.
Моя ошибка есть следствие очень редкой поддержки этих скриптов — один раз сделал и забыл.
А т.к. много чего успел попробовать, пока нашел стабильность, то в голове каша.
В принципе, не столь важно каким словом начинать, важно как и что говорить, если диалог продолжается.
К примеру, на звонки с предложением юридических/банковских/телематических услуг, т.е. с целью рекламы, с места в карьер интересуюсь о наличии у позвонившего парашютных прыжков и далее по полной программе начинаю впаривать услуги своего аэроклуба. Заставляю позвонившего вести мою линию диалога, а не его.
GlobalSign_admin,
Присоединюсь к вопросу, тем более, что являюсь представителем одного из ваших клиентов и рад был бы автоматизации взаимодействия с вами.
Отдельно отмечу, что практика автоматизации от letsencrypt неоднозначна.
Нативные скрипты очень часто подводили внезапной поломкой, пока не перешел на скрипты certbot — чуть больше года на десятке серверов и ни одного сбойного деплоя сертификатов.
Деликатное «Слушаю вас» делает меня внимательным слушателем и исполнителем чужой воли.
Если бы речь шла о звонке в компанию на рабочий телефон, я бы с вами согласился.
А для левых звонков на мой личный телефон лучше буду я диктовать условия.
На незнакомые номера люблю отвечать так: "Говорите!", произношение делаем грубым голосом и с максимально требовательной интонацией.
У этого метода всего один отрицательный момент — если звонок был легитимный, то вызывающая сторона слегка конфузится.
А мне гораздо интереснее было бы узнать, осмысленно ли авторы свитков применили технологию сохранения текста сквозь века и, если да, то каков был процесс разработки этой технологии.
Отрицать ошибку есть еще одна ошибка, если первая реальна.
Я не знаю насколько прав Рубен Сантамарта, но представители Боинга меня удивили своим отрицанием вместо предложения совместного исследования проблемы.
А в свете недавних проблем с MCAS, так и подавно, им бы гонор не мешало отключить.
— в git-репозитариях лежат конфиги ansible, puppet, etc, т.е. от хранения ключей, паролей совсем избавиться как-бы не получается (да, есть vault, etc, но это снижение рисков, а не устранение проблемы)
А кто мешает разделить код приложений от кода системы управления конфигурациями?
У меня (админа) нет доступа к коду приложений, а у разрабов нет доступа к коду salt.
Пользователям MacOS стоит воздержаться от установки приложений или скачивания файлов из сомнительных источников.
Большинству пользователей PC полезнее был бы совет: «Ничего не трогайте, ждите фикса!»
Т.к. то самое большинство кредит доверия предоставляет ресурсу/объекту на основании реакции софта/ОС: вкладка в браузере закрывается только если оный красным «проорал» на весь экран; архив не распаковывается только по причине его удаления антивирусником и т.д.
Не испытывают они сомнений, совсем.
PKI по-взрослому — когда необходимые процедуры CA производятся не на тех хостах, которые им защищаются, а асинхронное шифрование тут в помощь, и к хосту с ключом CA нет никакого внешнего доступа.
Нестрашно поиграться в PKI на своем компе, если запросы не выходят за рамки локалхоста.
Но когда мы вылазим из песочницы локалхоста и раздаем серты своим сайтам на внешних хостингах, надо осмыслить рекомендуемую политику безопасности при развертывании PKI и таки сделать CA на хосту защищенном от внешних посягательств, тем самым мы исключаем компрометацию ключей CA.
Отсюда и рекомендация иметь иерархию CA, когда корневой создает только подчиненные CA, а подписью сертов занимаются исключительно подчиненные, это сделает менее болезненным отзыв скомпрометированного подчиненного CA.
Но у каждого владельца localhost есть возможность сгенерить свой серт и даже создать цепочку CA, затем скормить это любимому браузеру.
Я утрировал ваше видение того, что инструменты со временем протухают.
Логично. Потому что http выполняет ту функцию, которую обещает.
И это логично, но по обратной причине — невыполнение обещанного.
В этом ключе есть смысл сравнивать исполнение/неисполнение обещаемого функционала.
Но ни как не наличие/отсутствие функционала, потому что http и ssl3 абсолютно разные по сути вещи.
А я почему-то уверен, что близится день, когда http прекратит свое существование.
Значит он тоже гниет, только гораздо медленнее и невооруженному взгляду незаметно.
Утверждение «не все есть гвоздь, когда в руках молоток» — считаю хорошим уровнем освоения «молотка» как инструмента.
Сравнивать некую сущность, которая подвергается эволюционированию, с ее (сущности) полным отсутствием — довольно странно.
Моя ошибка есть следствие очень редкой поддержки этих скриптов — один раз сделал и забыл.
А т.к. много чего успел попробовать, пока нашел стабильность, то в голове каша.
К примеру, на звонки с предложением юридических/банковских/телематических услуг, т.е. с целью рекламы, с места в карьер интересуюсь о наличии у позвонившего парашютных прыжков и далее по полной программе начинаю впаривать услуги своего аэроклуба. Заставляю позвонившего вести мою линию диалога, а не его.
GlobalSign_admin,
Присоединюсь к вопросу, тем более, что являюсь представителем одного из ваших клиентов и рад был бы автоматизации взаимодействия с вами.
Отдельно отмечу, что практика автоматизации от letsencrypt неоднозначна.
Нативные скрипты очень часто подводили внезапной поломкой, пока не перешел на скрипты certbot — чуть больше года на десятке серверов и ни одного сбойного деплоя сертификатов.
Если бы речь шла о звонке в компанию на рабочий телефон, я бы с вами согласился.
А для левых звонков на мой личный телефон лучше буду я диктовать условия.
На незнакомые номера люблю отвечать так: "Говорите!", произношение делаем грубым голосом и с максимально требовательной интонацией.
У этого метода всего один отрицательный момент — если звонок был легитимный, то вызывающая сторона слегка конфузится.
Отрицать ошибку есть еще одна ошибка, если первая реальна.
Я не знаю насколько прав Рубен Сантамарта, но представители Боинга меня удивили своим отрицанием вместо предложения совместного исследования проблемы.
А в свете недавних проблем с MCAS, так и подавно, им бы гонор не мешало отключить.
Ей даже мысли не приходит, что htop или консоль необходимы.
В абсолюте это невозможно в принципе, но можно минимизировать риски путем ограничения лиц, которым доступен код содержащий ключи/пароли.
А кто мешает разделить код приложений от кода системы управления конфигурациями?
У меня (админа) нет доступа к коду приложений, а у разрабов нет доступа к коду salt.
Большинству пользователей PC полезнее был бы совет: «Ничего не трогайте, ждите фикса!»
Т.к. то самое большинство кредит доверия предоставляет ресурсу/объекту на основании реакции софта/ОС: вкладка в браузере закрывается только если оный красным «проорал» на весь экран; архив не распаковывается только по причине его удаления антивирусником и т.д.
Не испытывают они сомнений, совсем.
Неверно — это ожидать от операций с временными величинами результатов, как от обычных десятичных чисел.