Тут не исправить уже ничего, Господь, жги! Войти !bnw Сегодня Клубы

Кто-то уже юзает Let's Encrypt? Долго они на запрос участия в бета-тестировании отвечали?

#Z8WLWR / @minoru / 3063 дня назад

Нахуя он нужен?
#Z8WLWR/NBO / @l29ah / 3063 дня назад

@l29ah ето, ждём GA

#Z8WLWR/EN6 / @anonymous --> #Z8WLWR/NBO / 3063 дня назад

@l29ah Чтобы получать сертификаты быстрее, проще и заведомо бесплатно. Теперь у быдла уже не будет отмазок для отсутствия у их сервисов TLS, и Интернет станет лучше.

#Z8WLWR/NU1 / @minoru --> #Z8WLWR/NBO / 3063 дня назад

@anonymous Что такое «GA»?

#Z8WLWR/6EA / @minoru --> #Z8WLWR/EN6 / 3063 дня назад

@minoru general availability

#Z8WLWR/SYS / @anonymous --> #Z8WLWR/6EA / 3063 дня назад
@minoru CAcert.
#Z8WLWR/M31 / @l29ah --> #Z8WLWR/NU1 / 3063 дня назад

@anonymous Это следует читать как «ждём, пока Let's Encrypt выйдет из беты»?

#Z8WLWR/ATM / @minoru --> #Z8WLWR/SYS / 3063 дня назад

@l29ah Ты предлагаешь забить на Certification Authorities и юзать self-signed сертификаты?

#Z8WLWR/KP0 / @minoru --> #Z8WLWR/M31 / 3063 дня назад
@minoru Че блять?
#Z8WLWR/RI6 / @l29ah --> #Z8WLWR/KP0 / 3063 дня назад

@l29ah А, ты имеешь в виду cacert.org? Я думал, ты про файл, в котором CA certificates лежат.

#Z8WLWR/CZX / @minoru --> #Z8WLWR/RI6 / 3063 дня назад

@minoru агась

#Z8WLWR/Y85 / @anonymous --> #Z8WLWR/ATM / 3063 дня назад

@l29ah топ пук // в браузеры уже добавили?

#Z8WLWR/T42 / @anonymous --> #Z8WLWR/M31 / 3063 дня назад

@minoru Прочитал Википедию, TL;DR: никем не поддерживается. Maximum полезно.

#Z8WLWR/XLQ / @minoru --> #Z8WLWR/CZX / 3063 дня назад
@anonymous Че за браузеры?
#Z8WLWR/K8L / @l29ah --> #Z8WLWR/T42 / 3063 дня назад
@minoru Поддерживается всеми прыщедистрами. Схуя этот пукэнкрипт будет чем-то отличаться? Алсо, халявные серты сейчас у многих других провайдеров есть.
#Z8WLWR/T7R / @l29ah --> #Z8WLWR/XLQ / 3063 дня назад
@l29ah потому что он уже поддерживается всеми браузерами и тулзами (кроме всякой джава) https://letsencrypt.org/2015/10/19/lets-encrypt-is-trusted.html проверить можешь там https://helloworld.letsencrypt.org/
#Z8WLWR/LWC / @anonymous --> #Z8WLWR/T7R / 3063 дня назад

@l29ah > всеми прыщедистрами
Кроме дебиана и убунты, например. Меня больше волнует то, что их корневой сертификат отсутствует у Mozilla, которые как бы крупный дилер^Wпоставщик пака корневых сертификатов.

Схуя этот пукэнкрипт будет чем-то отличаться?

Тем, что работает везде благодаря тому, что его создатели таки заморочились и подписали свой корневой сертификат у другого CA, сертификат которого уже везде есть. Обещают также пропихнуть свой собственный, но это не так важно — уже и так работает, понимаешь?

Про все бесплатные сертификаты не скажу, но чтобы получить сертификат у StartSSL, нужно потратить гораздо больше времени, чем потребуется на аналогичную операцию у LE. А учитывая, что у последних автоматизация продления прямо из коробки, вообще счастье — следующий Жуйк будет нормально доступен, даже если следующий Угнич забъёт на сервис.

#Z8WLWR/MMK / @minoru --> #Z8WLWR/T7R / 3063 дня назад
@anonymous Но пока нихуя не доступен и не ясно чем лучше любых других провайдеров.
#Z8WLWR/B19 / @l29ah --> #Z8WLWR/LWC / 3063 дня назад
@minoru Чё работает ёпт, чё нажать блядь?
#Z8WLWR/TVK / @l29ah --> #Z8WLWR/MMK / 3063 дня назад

@l29ah Тебе же выше написали — https://helloworld.letsencrypt.org/

#Z8WLWR/EHE / @minoru --> #Z8WLWR/TVK / 3063 дня назад
@minoru Где там кнопка "получить серт, с вайлдкадами и без мозгоебли"?
#Z8WLWR/3DR / @l29ah --> #Z8WLWR/EHE / 3063 дня назад

@l29ah Я имел в виду «сертификат работает as in поддерживается всеми и вся», а не «CA работает as in выдаёт сертификаты».

Вайлдкардов, кстати, не предвидится — говорят, что получить сертификат настолько просто, что такая фича тупо не нужна.

#Z8WLWR/VK3 / @minoru --> #Z8WLWR/3DR / 3063 дня назад
@minoru Анус твой не нужен. Давай, прикрути это говно к какому-нибудь point.im.
#Z8WLWR/AQF / @l29ah --> #Z8WLWR/VK3 / 3063 дня назад

@l29ah Ок, аргумент засчитан, но ты не тому человеку доказываешь; иди на их форум, там от твоего хейтерства больше пользы будет.

#Z8WLWR/29X / @minoru --> #Z8WLWR/AQF / 3063 дня назад

@minoru хули ты пиздишь, обсуждения вайлдкардов признали несвоевременным и, вероятно, будут пилить после GA.

#Z8WLWR/QZM / @anonymous --> #Z8WLWR/VK3 / 3063 дня назад

@anonymous В FAQ пишут:

Q: Will Let’s Encrypt issue wildcard certificates?

A: We currently have no plans to do so, but it is a possibility in the future. Hopefully wildcards aren’t necessary for the vast majority of our potential subscribers because it should be easy to get and manage certificates for all subdomains.

#Z8WLWR/3O4 / @minoru --> #Z8WLWR/QZM / 3063 дня назад

@minoru и чо?

#Z8WLWR/H97 / @anonymous --> #Z8WLWR/3O4 / 3063 дня назад

@anonymous Ты сказал, что я пизжу. Я тебе показал текст, который пересказывал. Поменялось ли твоё мнение?

#Z8WLWR/2XO / @minoru --> #Z8WLWR/H97 / 3063 дня назад

@minoru Не поменялось, в баг-репортах и рассылке обсуждались кейсы где wildcard нужны и не могут быть заменены сертом с кучей SAN (inb4 пруф // лень искать), но до GA решили не обсуждать т. к. есть и более приоритетные задачи.

#Z8WLWR/9GU / @anonymous --> #Z8WLWR/2XO / 3063 дня назад

@anonymous Ок, тогда признаю, что пизжу, но прошу суд^Wарбитра оправдать меня, ибо я по неинформированности, а не со злым умыслом.

#Z8WLWR/JNE / @minoru --> #Z8WLWR/9GU / 3063 дня назад
Я пока разбираюсь (есть домен в вайтлисте). Но поскольку их тулзы поддерживают только авторизацию по http, то заюзать не могу, мне подходить лишь dns.
#Z8WLWR/P7J / @anonymous / 3058 дней назад

@anonymous Э-э-э, а можно о твоей ситуации поподробней? У тебя нет белого IP?

#Z8WLWR/F6L / @minoru --> #Z8WLWR/P7J / 3058 дней назад
@minoru Да, сервер во внутренней сети.
#Z8WLWR/OS6 / @anonymous --> #Z8WLWR/F6L / 3058 дней назад

@anonymous Зачем тебе во внутренней сети сертификат, подписанный внешним Certification Authority? У тебя нет возможности распространить свой кастомный root certificate среди пользователей?

#Z8WLWR/ISO / @minoru --> #Z8WLWR/OS6 / 3058 дней назад
@minoru Не везде. Алсо, нормально обслуживаемый CA - тот еще геморрой.
#Z8WLWR/KLF / @anonymous --> #Z8WLWR/ISO / 3058 дней назад

@anonymous Погоди-ка, у тебя есть внутренний сервис, для которого есть внешняя DNS-запись? Что за фигню ты там творишь? :)

#Z8WLWR/4C0 / @minoru --> #Z8WLWR/KLF / 3058 дней назад
@minoru DNS запись просто есть. Т.к. зона всего одна, и в ней находятся разные хосты (как внутренние, так и внешние), то получается, что она доступна извне. Поскольку угроза от этого низкая, то смысла смысла ебаться с вьюхами и, упаси, отдельной приватной зоной нет.
#Z8WLWR/C5Q / @anonymous --> #Z8WLWR/4C0 / 3058 дней назад

@anonymous То есть у тебя запись резолвится в локальный адрес? И DNS-сервер, я так понимаю, у тебя не твой собственный?

#Z8WLWR/XB2 / @minoru --> #Z8WLWR/C5Q / 3058 дней назад
@anonymous Поддвачиваю. Так много где делается. Например ``` $ host c.yandex-team.ru c.yandex-team.ru is an alias for vs-conductor.http.yandex.net. vs-conductor.http.yandex.net has address 5.255.240.208 vs-conductor.http.yandex.net has IPv6 address 2a02:6b8:0:3400::208 ```
#Z8WLWR/XHU / @anonymous --> #Z8WLWR/C5Q / 3058 дней назад
@minoru > То есть у тебя запись резолвится в локальный адрес? Какая разница, локальный или нет? То, что адрес белый - не значит, что он не фаерволится. > И DNS-сервер, я так понимаю, у тебя не твой собственный? Свой, разумеется.
#Z8WLWR/061 / @anonymous --> #Z8WLWR/XB2 / 3058 дней назад

@anonymous Дык если фаерволл твой собственный, и есть белый IP, и DNS свой собственный, то тебе доступны тысяча и один способ верифицироваться через HTTP!

#Z8WLWR/0HI / @minoru --> #Z8WLWR/061 / 3058 дней назад
@minoru Ага, уже бегу упрашивать безопасников с сетевиками дать доступ извне к внутреннему сервису с важной информацией, чтобы можно было потестить сертификат. Может, тогда и 22 порт сразу открыть?
#Z8WLWR/6VC / @anonymous --> #Z8WLWR/0HI / 3058 дней назад
@anonymous настрой уже свои сертификаты лучше, а то тебе каждые 90 дней придётся ебаться
#Z8WLWR/LW8 / @anonymous --> #Z8WLWR/6VC / 3058 дней назад

@anonymous На данный момент тестят с одного-единственного IP, 66.133.109.36, делая один-единственный GET одного-единственного файлика размером 87 байт из заранее известной директории. Так что ты подумай (хотя анон из /LW8 прав).

#Z8WLWR/PLY / @minoru --> #Z8WLWR/6VC / 3058 дней назад
@anonymous Настрогать говноскрипт для автообновления НАМНОГО проще, чем сделать и эксплуатировать нормальный CA с качественными политиками и удобным интерфейсом.
#Z8WLWR/YTA / @anonymous --> #Z8WLWR/LW8 / 3058 дней назад

@anonymous У меня, видимо, какое-то неправильно понемания работы CA, ибо с моей точки зрения это выглядит как генерация root-сертификата (самоподписного) и настройка распространения его между пользователями. Всё. Хотя если у тебя там КОВОРКИНГ и постоянно шляются бомжи^Wхипстеры со своими хинк^Wмакбуками, то да, ситуация осложняется.

#Z8WLWR/DHX / @minoru --> #Z8WLWR/YTA / 3058 дней назад

@minoru > понемания

_<

#Z8WLWR/ZW2 / @minoru --> #Z8WLWR/DHX / 3058 дней назад
@minoru Проблема не в хипстерах, а в том, что хостов дохуища. Алсо, даже если у меня не коворкинг, это не отменяет того, что главное в PKI - политика функционирования (параметры сертификатов, дистрибуция, отзывы). Плюс это осложняется тем, что удобного опенсорсного софта для автоматизации работы CA нет. Т.е. мало того, что придется пройтись по граблям, прежде чем PKI будет нормально организован, так еще кучу говнокода написать придется и все равно тратить время на эксплуатацию всего этого хозяйства.
#Z8WLWR/C57 / @anonymous --> #Z8WLWR/DHX / 3058 дней назад

@anonymous Я не понимаю, зачем тебе full-fledged PKI. У неправильно угадал и у тебя там не энтерпрайз? Потому что в энтерпрайзе ты просто завидываешь самоподписанный вечный сертификат в образ, из которого разворачиваются новые машины, а для существующих пользователей рассылаешь инструкции по установке сертификатов (к бухгалтерам, конечно, отправляешь black ops, чтобы всё зачистили^Wнастроили там). Всё.

#Z8WLWR/RTQ / @minoru --> #Z8WLWR/C57 / 3058 дней назад

@minoru Блин, что-то опечатка на опечатке, прости.

#Z8WLWR/REY / @minoru --> #Z8WLWR/RTQ / 3058 дней назад
@minoru > Я не понимаю, зачем тебе full-fledged PKI. Потому что с серверные недоверенные самоподписанные сертификаты сводят шифрование к нулю, а добавлять на каждых клиентах нужный набор серверных сертификатов в trust store я заебусь. > У неправильно угадал и у тебя там не энтерпрайз? У меня большой парк серверов. Мясные юзеры - вообще десятое дело, хотя и тоже делают свой вклад в общий гемррой.
#Z8WLWR/213 / @anonymous --> #Z8WLWR/RTQ / 3058 дней назад
@minoru Алсо, с десктопами и виндой было бы намного проще: нажимаешь 2 кнопки и у тебя уже есть PKI с интеграцией прямо в АД.
#Z8WLWR/GXU / @anonymous --> #Z8WLWR/RTQ / 3058 дней назад
ipv6 ready BnW для ведрофона BnW на Реформале Викивач Котятки

Цоперайт © 2010-2016 @stiletto.