Где блекджек, где мои шлюхи? Ничерта не работает! Войти !bnw Сегодня Клубы

Кто-то уже юзает Let's Encrypt? Долго они на запрос участия в бета-тестировании отвечали?

#Z8WLWR / @minoru / 3296 дней назад

Нахуя он нужен?
#Z8WLWR/NBO / @l29ah / 3296 дней назад

@l29ah ето, ждём GA

#Z8WLWR/EN6 / @anonymous --> #Z8WLWR/NBO / 3296 дней назад

@l29ah Чтобы получать сертификаты быстрее, проще и заведомо бесплатно. Теперь у быдла уже не будет отмазок для отсутствия у их сервисов TLS, и Интернет станет лучше.

#Z8WLWR/NU1 / @minoru --> #Z8WLWR/NBO / 3296 дней назад

@anonymous Что такое «GA»?

#Z8WLWR/6EA / @minoru --> #Z8WLWR/EN6 / 3296 дней назад

@minoru general availability

#Z8WLWR/SYS / @anonymous --> #Z8WLWR/6EA / 3296 дней назад
@minoru CAcert.
#Z8WLWR/M31 / @l29ah --> #Z8WLWR/NU1 / 3296 дней назад

@anonymous Это следует читать как «ждём, пока Let's Encrypt выйдет из беты»?

#Z8WLWR/ATM / @minoru --> #Z8WLWR/SYS / 3296 дней назад

@l29ah Ты предлагаешь забить на Certification Authorities и юзать self-signed сертификаты?

#Z8WLWR/KP0 / @minoru --> #Z8WLWR/M31 / 3296 дней назад
@minoru Че блять?
#Z8WLWR/RI6 / @l29ah --> #Z8WLWR/KP0 / 3296 дней назад

@l29ah А, ты имеешь в виду cacert.org? Я думал, ты про файл, в котором CA certificates лежат.

#Z8WLWR/CZX / @minoru --> #Z8WLWR/RI6 / 3296 дней назад

@minoru агась

#Z8WLWR/Y85 / @anonymous --> #Z8WLWR/ATM / 3296 дней назад

@l29ah топ пук // в браузеры уже добавили?

#Z8WLWR/T42 / @anonymous --> #Z8WLWR/M31 / 3296 дней назад

@minoru Прочитал Википедию, TL;DR: никем не поддерживается. Maximum полезно.

#Z8WLWR/XLQ / @minoru --> #Z8WLWR/CZX / 3296 дней назад
@anonymous Че за браузеры?
#Z8WLWR/K8L / @l29ah --> #Z8WLWR/T42 / 3296 дней назад
@minoru Поддерживается всеми прыщедистрами. Схуя этот пукэнкрипт будет чем-то отличаться? Алсо, халявные серты сейчас у многих других провайдеров есть.
#Z8WLWR/T7R / @l29ah --> #Z8WLWR/XLQ / 3296 дней назад
@l29ah потому что он уже поддерживается всеми браузерами и тулзами (кроме всякой джава) https://letsencrypt.org/2015/10/19/lets-encrypt-is-trusted.html проверить можешь там https://helloworld.letsencrypt.org/
#Z8WLWR/LWC / @anonymous --> #Z8WLWR/T7R / 3296 дней назад

@l29ah > всеми прыщедистрами
Кроме дебиана и убунты, например. Меня больше волнует то, что их корневой сертификат отсутствует у Mozilla, которые как бы крупный дилер^Wпоставщик пака корневых сертификатов.

Схуя этот пукэнкрипт будет чем-то отличаться?

Тем, что работает везде благодаря тому, что его создатели таки заморочились и подписали свой корневой сертификат у другого CA, сертификат которого уже везде есть. Обещают также пропихнуть свой собственный, но это не так важно — уже и так работает, понимаешь?

Про все бесплатные сертификаты не скажу, но чтобы получить сертификат у StartSSL, нужно потратить гораздо больше времени, чем потребуется на аналогичную операцию у LE. А учитывая, что у последних автоматизация продления прямо из коробки, вообще счастье — следующий Жуйк будет нормально доступен, даже если следующий Угнич забъёт на сервис.

#Z8WLWR/MMK / @minoru --> #Z8WLWR/T7R / 3296 дней назад
@anonymous Но пока нихуя не доступен и не ясно чем лучше любых других провайдеров.
#Z8WLWR/B19 / @l29ah --> #Z8WLWR/LWC / 3296 дней назад
@minoru Чё работает ёпт, чё нажать блядь?
#Z8WLWR/TVK / @l29ah --> #Z8WLWR/MMK / 3296 дней назад

@l29ah Тебе же выше написали — https://helloworld.letsencrypt.org/

#Z8WLWR/EHE / @minoru --> #Z8WLWR/TVK / 3296 дней назад
@minoru Где там кнопка "получить серт, с вайлдкадами и без мозгоебли"?
#Z8WLWR/3DR / @l29ah --> #Z8WLWR/EHE / 3296 дней назад

@l29ah Я имел в виду «сертификат работает as in поддерживается всеми и вся», а не «CA работает as in выдаёт сертификаты».

Вайлдкардов, кстати, не предвидится — говорят, что получить сертификат настолько просто, что такая фича тупо не нужна.

#Z8WLWR/VK3 / @minoru --> #Z8WLWR/3DR / 3296 дней назад
@minoru Анус твой не нужен. Давай, прикрути это говно к какому-нибудь point.im.
#Z8WLWR/AQF / @l29ah --> #Z8WLWR/VK3 / 3296 дней назад

@l29ah Ок, аргумент засчитан, но ты не тому человеку доказываешь; иди на их форум, там от твоего хейтерства больше пользы будет.

#Z8WLWR/29X / @minoru --> #Z8WLWR/AQF / 3296 дней назад

@minoru хули ты пиздишь, обсуждения вайлдкардов признали несвоевременным и, вероятно, будут пилить после GA.

#Z8WLWR/QZM / @anonymous --> #Z8WLWR/VK3 / 3296 дней назад

@anonymous В FAQ пишут:

Q: Will Let’s Encrypt issue wildcard certificates?

A: We currently have no plans to do so, but it is a possibility in the future. Hopefully wildcards aren’t necessary for the vast majority of our potential subscribers because it should be easy to get and manage certificates for all subdomains.

#Z8WLWR/3O4 / @minoru --> #Z8WLWR/QZM / 3296 дней назад

@minoru и чо?

#Z8WLWR/H97 / @anonymous --> #Z8WLWR/3O4 / 3296 дней назад

@anonymous Ты сказал, что я пизжу. Я тебе показал текст, который пересказывал. Поменялось ли твоё мнение?

#Z8WLWR/2XO / @minoru --> #Z8WLWR/H97 / 3296 дней назад

@minoru Не поменялось, в баг-репортах и рассылке обсуждались кейсы где wildcard нужны и не могут быть заменены сертом с кучей SAN (inb4 пруф // лень искать), но до GA решили не обсуждать т. к. есть и более приоритетные задачи.

#Z8WLWR/9GU / @anonymous --> #Z8WLWR/2XO / 3296 дней назад

@anonymous Ок, тогда признаю, что пизжу, но прошу суд^Wарбитра оправдать меня, ибо я по неинформированности, а не со злым умыслом.

#Z8WLWR/JNE / @minoru --> #Z8WLWR/9GU / 3296 дней назад
Я пока разбираюсь (есть домен в вайтлисте). Но поскольку их тулзы поддерживают только авторизацию по http, то заюзать не могу, мне подходить лишь dns.
#Z8WLWR/P7J / @anonymous / 3291 день назад

@anonymous Э-э-э, а можно о твоей ситуации поподробней? У тебя нет белого IP?

#Z8WLWR/F6L / @minoru --> #Z8WLWR/P7J / 3291 день назад
@minoru Да, сервер во внутренней сети.
#Z8WLWR/OS6 / @anonymous --> #Z8WLWR/F6L / 3291 день назад

@anonymous Зачем тебе во внутренней сети сертификат, подписанный внешним Certification Authority? У тебя нет возможности распространить свой кастомный root certificate среди пользователей?

#Z8WLWR/ISO / @minoru --> #Z8WLWR/OS6 / 3291 день назад
@minoru Не везде. Алсо, нормально обслуживаемый CA - тот еще геморрой.
#Z8WLWR/KLF / @anonymous --> #Z8WLWR/ISO / 3291 день назад

@anonymous Погоди-ка, у тебя есть внутренний сервис, для которого есть внешняя DNS-запись? Что за фигню ты там творишь? :)

#Z8WLWR/4C0 / @minoru --> #Z8WLWR/KLF / 3291 день назад
@minoru DNS запись просто есть. Т.к. зона всего одна, и в ней находятся разные хосты (как внутренние, так и внешние), то получается, что она доступна извне. Поскольку угроза от этого низкая, то смысла смысла ебаться с вьюхами и, упаси, отдельной приватной зоной нет.
#Z8WLWR/C5Q / @anonymous --> #Z8WLWR/4C0 / 3291 день назад

@anonymous То есть у тебя запись резолвится в локальный адрес? И DNS-сервер, я так понимаю, у тебя не твой собственный?

#Z8WLWR/XB2 / @minoru --> #Z8WLWR/C5Q / 3291 день назад
@anonymous Поддвачиваю. Так много где делается. Например ``` $ host c.yandex-team.ru c.yandex-team.ru is an alias for vs-conductor.http.yandex.net. vs-conductor.http.yandex.net has address 5.255.240.208 vs-conductor.http.yandex.net has IPv6 address 2a02:6b8:0:3400::208 ```
#Z8WLWR/XHU / @anonymous --> #Z8WLWR/C5Q / 3291 день назад
@minoru > То есть у тебя запись резолвится в локальный адрес? Какая разница, локальный или нет? То, что адрес белый - не значит, что он не фаерволится. > И DNS-сервер, я так понимаю, у тебя не твой собственный? Свой, разумеется.
#Z8WLWR/061 / @anonymous --> #Z8WLWR/XB2 / 3291 день назад

@anonymous Дык если фаерволл твой собственный, и есть белый IP, и DNS свой собственный, то тебе доступны тысяча и один способ верифицироваться через HTTP!

#Z8WLWR/0HI / @minoru --> #Z8WLWR/061 / 3291 день назад
@minoru Ага, уже бегу упрашивать безопасников с сетевиками дать доступ извне к внутреннему сервису с важной информацией, чтобы можно было потестить сертификат. Может, тогда и 22 порт сразу открыть?
#Z8WLWR/6VC / @anonymous --> #Z8WLWR/0HI / 3291 день назад
@anonymous настрой уже свои сертификаты лучше, а то тебе каждые 90 дней придётся ебаться
#Z8WLWR/LW8 / @anonymous --> #Z8WLWR/6VC / 3291 день назад

@anonymous На данный момент тестят с одного-единственного IP, 66.133.109.36, делая один-единственный GET одного-единственного файлика размером 87 байт из заранее известной директории. Так что ты подумай (хотя анон из /LW8 прав).

#Z8WLWR/PLY / @minoru --> #Z8WLWR/6VC / 3291 день назад
@anonymous Настрогать говноскрипт для автообновления НАМНОГО проще, чем сделать и эксплуатировать нормальный CA с качественными политиками и удобным интерфейсом.
#Z8WLWR/YTA / @anonymous --> #Z8WLWR/LW8 / 3291 день назад

@anonymous У меня, видимо, какое-то неправильно понемания работы CA, ибо с моей точки зрения это выглядит как генерация root-сертификата (самоподписного) и настройка распространения его между пользователями. Всё. Хотя если у тебя там КОВОРКИНГ и постоянно шляются бомжи^Wхипстеры со своими хинк^Wмакбуками, то да, ситуация осложняется.

#Z8WLWR/DHX / @minoru --> #Z8WLWR/YTA / 3291 день назад

@minoru > понемания

_<

#Z8WLWR/ZW2 / @minoru --> #Z8WLWR/DHX / 3291 день назад
@minoru Проблема не в хипстерах, а в том, что хостов дохуища. Алсо, даже если у меня не коворкинг, это не отменяет того, что главное в PKI - политика функционирования (параметры сертификатов, дистрибуция, отзывы). Плюс это осложняется тем, что удобного опенсорсного софта для автоматизации работы CA нет. Т.е. мало того, что придется пройтись по граблям, прежде чем PKI будет нормально организован, так еще кучу говнокода написать придется и все равно тратить время на эксплуатацию всего этого хозяйства.
#Z8WLWR/C57 / @anonymous --> #Z8WLWR/DHX / 3291 день назад

@anonymous Я не понимаю, зачем тебе full-fledged PKI. У неправильно угадал и у тебя там не энтерпрайз? Потому что в энтерпрайзе ты просто завидываешь самоподписанный вечный сертификат в образ, из которого разворачиваются новые машины, а для существующих пользователей рассылаешь инструкции по установке сертификатов (к бухгалтерам, конечно, отправляешь black ops, чтобы всё зачистили^Wнастроили там). Всё.

#Z8WLWR/RTQ / @minoru --> #Z8WLWR/C57 / 3291 день назад

@minoru Блин, что-то опечатка на опечатке, прости.

#Z8WLWR/REY / @minoru --> #Z8WLWR/RTQ / 3291 день назад
@minoru > Я не понимаю, зачем тебе full-fledged PKI. Потому что с серверные недоверенные самоподписанные сертификаты сводят шифрование к нулю, а добавлять на каждых клиентах нужный набор серверных сертификатов в trust store я заебусь. > У неправильно угадал и у тебя там не энтерпрайз? У меня большой парк серверов. Мясные юзеры - вообще десятое дело, хотя и тоже делают свой вклад в общий гемррой.
#Z8WLWR/213 / @anonymous --> #Z8WLWR/RTQ / 3291 день назад
@minoru Алсо, с десктопами и виндой было бы намного проще: нажимаешь 2 кнопки и у тебя уже есть PKI с интеграцией прямо в АД.
#Z8WLWR/GXU / @anonymous --> #Z8WLWR/RTQ / 3291 день назад
ipv6 ready BnW для ведрофона BnW на Реформале Викивач Котятки

Цоперайт © 2010-2016 @stiletto.