Два года в /fg/. Войти !bnw Сегодня Клубы

Кто-то уже юзает Let's Encrypt? Долго они на запрос участия в бета-тестировании отвечали?

#Z8WLWR / @minoru / 3328 дней назад

Нахуя он нужен?
#Z8WLWR/NBO / @l29ah / 3328 дней назад

@l29ah ето, ждём GA

#Z8WLWR/EN6 / @anonymous --> #Z8WLWR/NBO / 3328 дней назад

@l29ah Чтобы получать сертификаты быстрее, проще и заведомо бесплатно. Теперь у быдла уже не будет отмазок для отсутствия у их сервисов TLS, и Интернет станет лучше.

#Z8WLWR/NU1 / @minoru --> #Z8WLWR/NBO / 3328 дней назад

@anonymous Что такое «GA»?

#Z8WLWR/6EA / @minoru --> #Z8WLWR/EN6 / 3328 дней назад

@minoru general availability

#Z8WLWR/SYS / @anonymous --> #Z8WLWR/6EA / 3328 дней назад
@minoru CAcert.
#Z8WLWR/M31 / @l29ah --> #Z8WLWR/NU1 / 3328 дней назад

@anonymous Это следует читать как «ждём, пока Let's Encrypt выйдет из беты»?

#Z8WLWR/ATM / @minoru --> #Z8WLWR/SYS / 3328 дней назад

@l29ah Ты предлагаешь забить на Certification Authorities и юзать self-signed сертификаты?

#Z8WLWR/KP0 / @minoru --> #Z8WLWR/M31 / 3328 дней назад
@minoru Че блять?
#Z8WLWR/RI6 / @l29ah --> #Z8WLWR/KP0 / 3328 дней назад

@l29ah А, ты имеешь в виду cacert.org? Я думал, ты про файл, в котором CA certificates лежат.

#Z8WLWR/CZX / @minoru --> #Z8WLWR/RI6 / 3328 дней назад

@minoru агась

#Z8WLWR/Y85 / @anonymous --> #Z8WLWR/ATM / 3328 дней назад

@l29ah топ пук // в браузеры уже добавили?

#Z8WLWR/T42 / @anonymous --> #Z8WLWR/M31 / 3328 дней назад

@minoru Прочитал Википедию, TL;DR: никем не поддерживается. Maximum полезно.

#Z8WLWR/XLQ / @minoru --> #Z8WLWR/CZX / 3328 дней назад
@anonymous Че за браузеры?
#Z8WLWR/K8L / @l29ah --> #Z8WLWR/T42 / 3328 дней назад
@minoru Поддерживается всеми прыщедистрами. Схуя этот пукэнкрипт будет чем-то отличаться? Алсо, халявные серты сейчас у многих других провайдеров есть.
#Z8WLWR/T7R / @l29ah --> #Z8WLWR/XLQ / 3328 дней назад
@l29ah потому что он уже поддерживается всеми браузерами и тулзами (кроме всякой джава) https://letsencrypt.org/2015/10/19/lets-encrypt-is-trusted.html проверить можешь там https://helloworld.letsencrypt.org/
#Z8WLWR/LWC / @anonymous --> #Z8WLWR/T7R / 3328 дней назад

@l29ah > всеми прыщедистрами
Кроме дебиана и убунты, например. Меня больше волнует то, что их корневой сертификат отсутствует у Mozilla, которые как бы крупный дилер^Wпоставщик пака корневых сертификатов.

Схуя этот пукэнкрипт будет чем-то отличаться?

Тем, что работает везде благодаря тому, что его создатели таки заморочились и подписали свой корневой сертификат у другого CA, сертификат которого уже везде есть. Обещают также пропихнуть свой собственный, но это не так важно — уже и так работает, понимаешь?

Про все бесплатные сертификаты не скажу, но чтобы получить сертификат у StartSSL, нужно потратить гораздо больше времени, чем потребуется на аналогичную операцию у LE. А учитывая, что у последних автоматизация продления прямо из коробки, вообще счастье — следующий Жуйк будет нормально доступен, даже если следующий Угнич забъёт на сервис.

#Z8WLWR/MMK / @minoru --> #Z8WLWR/T7R / 3328 дней назад
@anonymous Но пока нихуя не доступен и не ясно чем лучше любых других провайдеров.
#Z8WLWR/B19 / @l29ah --> #Z8WLWR/LWC / 3328 дней назад
@minoru Чё работает ёпт, чё нажать блядь?
#Z8WLWR/TVK / @l29ah --> #Z8WLWR/MMK / 3328 дней назад

@l29ah Тебе же выше написали — https://helloworld.letsencrypt.org/

#Z8WLWR/EHE / @minoru --> #Z8WLWR/TVK / 3328 дней назад
@minoru Где там кнопка "получить серт, с вайлдкадами и без мозгоебли"?
#Z8WLWR/3DR / @l29ah --> #Z8WLWR/EHE / 3328 дней назад

@l29ah Я имел в виду «сертификат работает as in поддерживается всеми и вся», а не «CA работает as in выдаёт сертификаты».

Вайлдкардов, кстати, не предвидится — говорят, что получить сертификат настолько просто, что такая фича тупо не нужна.

#Z8WLWR/VK3 / @minoru --> #Z8WLWR/3DR / 3328 дней назад
@minoru Анус твой не нужен. Давай, прикрути это говно к какому-нибудь point.im.
#Z8WLWR/AQF / @l29ah --> #Z8WLWR/VK3 / 3328 дней назад

@l29ah Ок, аргумент засчитан, но ты не тому человеку доказываешь; иди на их форум, там от твоего хейтерства больше пользы будет.

#Z8WLWR/29X / @minoru --> #Z8WLWR/AQF / 3328 дней назад

@minoru хули ты пиздишь, обсуждения вайлдкардов признали несвоевременным и, вероятно, будут пилить после GA.

#Z8WLWR/QZM / @anonymous --> #Z8WLWR/VK3 / 3328 дней назад

@anonymous В FAQ пишут:

Q: Will Let’s Encrypt issue wildcard certificates?

A: We currently have no plans to do so, but it is a possibility in the future. Hopefully wildcards aren’t necessary for the vast majority of our potential subscribers because it should be easy to get and manage certificates for all subdomains.

#Z8WLWR/3O4 / @minoru --> #Z8WLWR/QZM / 3328 дней назад

@minoru и чо?

#Z8WLWR/H97 / @anonymous --> #Z8WLWR/3O4 / 3328 дней назад

@anonymous Ты сказал, что я пизжу. Я тебе показал текст, который пересказывал. Поменялось ли твоё мнение?

#Z8WLWR/2XO / @minoru --> #Z8WLWR/H97 / 3328 дней назад

@minoru Не поменялось, в баг-репортах и рассылке обсуждались кейсы где wildcard нужны и не могут быть заменены сертом с кучей SAN (inb4 пруф // лень искать), но до GA решили не обсуждать т. к. есть и более приоритетные задачи.

#Z8WLWR/9GU / @anonymous --> #Z8WLWR/2XO / 3328 дней назад

@anonymous Ок, тогда признаю, что пизжу, но прошу суд^Wарбитра оправдать меня, ибо я по неинформированности, а не со злым умыслом.

#Z8WLWR/JNE / @minoru --> #Z8WLWR/9GU / 3328 дней назад
Я пока разбираюсь (есть домен в вайтлисте). Но поскольку их тулзы поддерживают только авторизацию по http, то заюзать не могу, мне подходить лишь dns.
#Z8WLWR/P7J / @anonymous / 3323 дня назад

@anonymous Э-э-э, а можно о твоей ситуации поподробней? У тебя нет белого IP?

#Z8WLWR/F6L / @minoru --> #Z8WLWR/P7J / 3323 дня назад
@minoru Да, сервер во внутренней сети.
#Z8WLWR/OS6 / @anonymous --> #Z8WLWR/F6L / 3323 дня назад

@anonymous Зачем тебе во внутренней сети сертификат, подписанный внешним Certification Authority? У тебя нет возможности распространить свой кастомный root certificate среди пользователей?

#Z8WLWR/ISO / @minoru --> #Z8WLWR/OS6 / 3323 дня назад
@minoru Не везде. Алсо, нормально обслуживаемый CA - тот еще геморрой.
#Z8WLWR/KLF / @anonymous --> #Z8WLWR/ISO / 3323 дня назад

@anonymous Погоди-ка, у тебя есть внутренний сервис, для которого есть внешняя DNS-запись? Что за фигню ты там творишь? :)

#Z8WLWR/4C0 / @minoru --> #Z8WLWR/KLF / 3323 дня назад
@minoru DNS запись просто есть. Т.к. зона всего одна, и в ней находятся разные хосты (как внутренние, так и внешние), то получается, что она доступна извне. Поскольку угроза от этого низкая, то смысла смысла ебаться с вьюхами и, упаси, отдельной приватной зоной нет.
#Z8WLWR/C5Q / @anonymous --> #Z8WLWR/4C0 / 3323 дня назад

@anonymous То есть у тебя запись резолвится в локальный адрес? И DNS-сервер, я так понимаю, у тебя не твой собственный?

#Z8WLWR/XB2 / @minoru --> #Z8WLWR/C5Q / 3323 дня назад
@anonymous Поддвачиваю. Так много где делается. Например ``` $ host c.yandex-team.ru c.yandex-team.ru is an alias for vs-conductor.http.yandex.net. vs-conductor.http.yandex.net has address 5.255.240.208 vs-conductor.http.yandex.net has IPv6 address 2a02:6b8:0:3400::208 ```
#Z8WLWR/XHU / @anonymous --> #Z8WLWR/C5Q / 3323 дня назад
@minoru > То есть у тебя запись резолвится в локальный адрес? Какая разница, локальный или нет? То, что адрес белый - не значит, что он не фаерволится. > И DNS-сервер, я так понимаю, у тебя не твой собственный? Свой, разумеется.
#Z8WLWR/061 / @anonymous --> #Z8WLWR/XB2 / 3323 дня назад

@anonymous Дык если фаерволл твой собственный, и есть белый IP, и DNS свой собственный, то тебе доступны тысяча и один способ верифицироваться через HTTP!

#Z8WLWR/0HI / @minoru --> #Z8WLWR/061 / 3323 дня назад
@minoru Ага, уже бегу упрашивать безопасников с сетевиками дать доступ извне к внутреннему сервису с важной информацией, чтобы можно было потестить сертификат. Может, тогда и 22 порт сразу открыть?
#Z8WLWR/6VC / @anonymous --> #Z8WLWR/0HI / 3323 дня назад
@anonymous настрой уже свои сертификаты лучше, а то тебе каждые 90 дней придётся ебаться
#Z8WLWR/LW8 / @anonymous --> #Z8WLWR/6VC / 3323 дня назад

@anonymous На данный момент тестят с одного-единственного IP, 66.133.109.36, делая один-единственный GET одного-единственного файлика размером 87 байт из заранее известной директории. Так что ты подумай (хотя анон из /LW8 прав).

#Z8WLWR/PLY / @minoru --> #Z8WLWR/6VC / 3323 дня назад
@anonymous Настрогать говноскрипт для автообновления НАМНОГО проще, чем сделать и эксплуатировать нормальный CA с качественными политиками и удобным интерфейсом.
#Z8WLWR/YTA / @anonymous --> #Z8WLWR/LW8 / 3323 дня назад

@anonymous У меня, видимо, какое-то неправильно понемания работы CA, ибо с моей точки зрения это выглядит как генерация root-сертификата (самоподписного) и настройка распространения его между пользователями. Всё. Хотя если у тебя там КОВОРКИНГ и постоянно шляются бомжи^Wхипстеры со своими хинк^Wмакбуками, то да, ситуация осложняется.

#Z8WLWR/DHX / @minoru --> #Z8WLWR/YTA / 3323 дня назад

@minoru > понемания

_<

#Z8WLWR/ZW2 / @minoru --> #Z8WLWR/DHX / 3323 дня назад
@minoru Проблема не в хипстерах, а в том, что хостов дохуища. Алсо, даже если у меня не коворкинг, это не отменяет того, что главное в PKI - политика функционирования (параметры сертификатов, дистрибуция, отзывы). Плюс это осложняется тем, что удобного опенсорсного софта для автоматизации работы CA нет. Т.е. мало того, что придется пройтись по граблям, прежде чем PKI будет нормально организован, так еще кучу говнокода написать придется и все равно тратить время на эксплуатацию всего этого хозяйства.
#Z8WLWR/C57 / @anonymous --> #Z8WLWR/DHX / 3323 дня назад

@anonymous Я не понимаю, зачем тебе full-fledged PKI. У неправильно угадал и у тебя там не энтерпрайз? Потому что в энтерпрайзе ты просто завидываешь самоподписанный вечный сертификат в образ, из которого разворачиваются новые машины, а для существующих пользователей рассылаешь инструкции по установке сертификатов (к бухгалтерам, конечно, отправляешь black ops, чтобы всё зачистили^Wнастроили там). Всё.

#Z8WLWR/RTQ / @minoru --> #Z8WLWR/C57 / 3323 дня назад

@minoru Блин, что-то опечатка на опечатке, прости.

#Z8WLWR/REY / @minoru --> #Z8WLWR/RTQ / 3323 дня назад
@minoru > Я не понимаю, зачем тебе full-fledged PKI. Потому что с серверные недоверенные самоподписанные сертификаты сводят шифрование к нулю, а добавлять на каждых клиентах нужный набор серверных сертификатов в trust store я заебусь. > У неправильно угадал и у тебя там не энтерпрайз? У меня большой парк серверов. Мясные юзеры - вообще десятое дело, хотя и тоже делают свой вклад в общий гемррой.
#Z8WLWR/213 / @anonymous --> #Z8WLWR/RTQ / 3322 дня назад
@minoru Алсо, с десктопами и виндой было бы намного проще: нажимаешь 2 кнопки и у тебя уже есть PKI с интеграцией прямо в АД.
#Z8WLWR/GXU / @anonymous --> #Z8WLWR/RTQ / 3322 дня назад
ipv6 ready BnW для ведрофона BnW на Реформале Викивач Котятки

Цоперайт © 2010-2016 @stiletto.