Имбирь - твой спиритический овощ. Войти !bnw Сегодня Клубы

Кто-то уже юзает Let's Encrypt? Долго они на запрос участия в бета-тестировании отвечали?

#Z8WLWR / @minoru / 2271 день назад

Нахуя он нужен?
#Z8WLWR/NBO / @l29ah / 2271 день назад

@l29ah ето, ждём GA

#Z8WLWR/EN6 / @anonymous --> #Z8WLWR/NBO / 2271 день назад

@l29ah Чтобы получать сертификаты быстрее, проще и заведомо бесплатно. Теперь у быдла уже не будет отмазок для отсутствия у их сервисов TLS, и Интернет станет лучше.

#Z8WLWR/NU1 / @minoru --> #Z8WLWR/NBO / 2271 день назад

@anonymous Что такое «GA»?

#Z8WLWR/6EA / @minoru --> #Z8WLWR/EN6 / 2271 день назад

@minoru general availability

#Z8WLWR/SYS / @anonymous --> #Z8WLWR/6EA / 2271 день назад
@minoru CAcert.
#Z8WLWR/M31 / @l29ah --> #Z8WLWR/NU1 / 2271 день назад

@anonymous Это следует читать как «ждём, пока Let's Encrypt выйдет из беты»?

#Z8WLWR/ATM / @minoru --> #Z8WLWR/SYS / 2271 день назад

@l29ah Ты предлагаешь забить на Certification Authorities и юзать self-signed сертификаты?

#Z8WLWR/KP0 / @minoru --> #Z8WLWR/M31 / 2271 день назад
@minoru Че блять?
#Z8WLWR/RI6 / @l29ah --> #Z8WLWR/KP0 / 2271 день назад

@l29ah А, ты имеешь в виду cacert.org? Я думал, ты про файл, в котором CA certificates лежат.

#Z8WLWR/CZX / @minoru --> #Z8WLWR/RI6 / 2271 день назад

@minoru агась

#Z8WLWR/Y85 / @anonymous --> #Z8WLWR/ATM / 2271 день назад

@l29ah топ пук // в браузеры уже добавили?

#Z8WLWR/T42 / @anonymous --> #Z8WLWR/M31 / 2271 день назад

@minoru Прочитал Википедию, TL;DR: никем не поддерживается. Maximum полезно.

#Z8WLWR/XLQ / @minoru --> #Z8WLWR/CZX / 2271 день назад
@anonymous Че за браузеры?
#Z8WLWR/K8L / @l29ah --> #Z8WLWR/T42 / 2271 день назад
@minoru Поддерживается всеми прыщедистрами. Схуя этот пукэнкрипт будет чем-то отличаться? Алсо, халявные серты сейчас у многих других провайдеров есть.
#Z8WLWR/T7R / @l29ah --> #Z8WLWR/XLQ / 2271 день назад
@l29ah потому что он уже поддерживается всеми браузерами и тулзами (кроме всякой джава) https://letsencrypt.org/2015/10/19/lets-encrypt-is-trusted.html проверить можешь там https://helloworld.letsencrypt.org/
#Z8WLWR/LWC / @anonymous --> #Z8WLWR/T7R / 2271 день назад

@l29ah > всеми прыщедистрами
Кроме дебиана и убунты, например. Меня больше волнует то, что их корневой сертификат отсутствует у Mozilla, которые как бы крупный дилер^Wпоставщик пака корневых сертификатов.

Схуя этот пукэнкрипт будет чем-то отличаться?

Тем, что работает везде благодаря тому, что его создатели таки заморочились и подписали свой корневой сертификат у другого CA, сертификат которого уже везде есть. Обещают также пропихнуть свой собственный, но это не так важно — уже и так работает, понимаешь?

Про все бесплатные сертификаты не скажу, но чтобы получить сертификат у StartSSL, нужно потратить гораздо больше времени, чем потребуется на аналогичную операцию у LE. А учитывая, что у последних автоматизация продления прямо из коробки, вообще счастье — следующий Жуйк будет нормально доступен, даже если следующий Угнич забъёт на сервис.

#Z8WLWR/MMK / @minoru --> #Z8WLWR/T7R / 2271 день назад
@anonymous Но пока нихуя не доступен и не ясно чем лучше любых других провайдеров.
#Z8WLWR/B19 / @l29ah --> #Z8WLWR/LWC / 2271 день назад
@minoru Чё работает ёпт, чё нажать блядь?
#Z8WLWR/TVK / @l29ah --> #Z8WLWR/MMK / 2271 день назад

@l29ah Тебе же выше написали — https://helloworld.letsencrypt.org/

#Z8WLWR/EHE / @minoru --> #Z8WLWR/TVK / 2271 день назад
@minoru Где там кнопка "получить серт, с вайлдкадами и без мозгоебли"?
#Z8WLWR/3DR / @l29ah --> #Z8WLWR/EHE / 2271 день назад

@l29ah Я имел в виду «сертификат работает as in поддерживается всеми и вся», а не «CA работает as in выдаёт сертификаты».

Вайлдкардов, кстати, не предвидится — говорят, что получить сертификат настолько просто, что такая фича тупо не нужна.

#Z8WLWR/VK3 / @minoru --> #Z8WLWR/3DR / 2271 день назад
@minoru Анус твой не нужен. Давай, прикрути это говно к какому-нибудь point.im.
#Z8WLWR/AQF / @l29ah --> #Z8WLWR/VK3 / 2271 день назад

@l29ah Ок, аргумент засчитан, но ты не тому человеку доказываешь; иди на их форум, там от твоего хейтерства больше пользы будет.

#Z8WLWR/29X / @minoru --> #Z8WLWR/AQF / 2271 день назад

@minoru хули ты пиздишь, обсуждения вайлдкардов признали несвоевременным и, вероятно, будут пилить после GA.

#Z8WLWR/QZM / @anonymous --> #Z8WLWR/VK3 / 2271 день назад

@anonymous В FAQ пишут:

Q: Will Let’s Encrypt issue wildcard certificates?

A: We currently have no plans to do so, but it is a possibility in the future. Hopefully wildcards aren’t necessary for the vast majority of our potential subscribers because it should be easy to get and manage certificates for all subdomains.

#Z8WLWR/3O4 / @minoru --> #Z8WLWR/QZM / 2271 день назад

@minoru и чо?

#Z8WLWR/H97 / @anonymous --> #Z8WLWR/3O4 / 2271 день назад

@anonymous Ты сказал, что я пизжу. Я тебе показал текст, который пересказывал. Поменялось ли твоё мнение?

#Z8WLWR/2XO / @minoru --> #Z8WLWR/H97 / 2271 день назад

@minoru Не поменялось, в баг-репортах и рассылке обсуждались кейсы где wildcard нужны и не могут быть заменены сертом с кучей SAN (inb4 пруф // лень искать), но до GA решили не обсуждать т. к. есть и более приоритетные задачи.

#Z8WLWR/9GU / @anonymous --> #Z8WLWR/2XO / 2271 день назад

@anonymous Ок, тогда признаю, что пизжу, но прошу суд^Wарбитра оправдать меня, ибо я по неинформированности, а не со злым умыслом.

#Z8WLWR/JNE / @minoru --> #Z8WLWR/9GU / 2271 день назад
Я пока разбираюсь (есть домен в вайтлисте). Но поскольку их тулзы поддерживают только авторизацию по http, то заюзать не могу, мне подходить лишь dns.
#Z8WLWR/P7J / @anonymous / 2266 дней назад

@anonymous Э-э-э, а можно о твоей ситуации поподробней? У тебя нет белого IP?

#Z8WLWR/F6L / @minoru --> #Z8WLWR/P7J / 2266 дней назад
@minoru Да, сервер во внутренней сети.
#Z8WLWR/OS6 / @anonymous --> #Z8WLWR/F6L / 2266 дней назад

@anonymous Зачем тебе во внутренней сети сертификат, подписанный внешним Certification Authority? У тебя нет возможности распространить свой кастомный root certificate среди пользователей?

#Z8WLWR/ISO / @minoru --> #Z8WLWR/OS6 / 2266 дней назад
@minoru Не везде. Алсо, нормально обслуживаемый CA - тот еще геморрой.
#Z8WLWR/KLF / @anonymous --> #Z8WLWR/ISO / 2266 дней назад

@anonymous Погоди-ка, у тебя есть внутренний сервис, для которого есть внешняя DNS-запись? Что за фигню ты там творишь? :)

#Z8WLWR/4C0 / @minoru --> #Z8WLWR/KLF / 2266 дней назад
@minoru DNS запись просто есть. Т.к. зона всего одна, и в ней находятся разные хосты (как внутренние, так и внешние), то получается, что она доступна извне. Поскольку угроза от этого низкая, то смысла смысла ебаться с вьюхами и, упаси, отдельной приватной зоной нет.
#Z8WLWR/C5Q / @anonymous --> #Z8WLWR/4C0 / 2266 дней назад

@anonymous То есть у тебя запись резолвится в локальный адрес? И DNS-сервер, я так понимаю, у тебя не твой собственный?

#Z8WLWR/XB2 / @minoru --> #Z8WLWR/C5Q / 2266 дней назад
@anonymous Поддвачиваю. Так много где делается. Например ``` $ host c.yandex-team.ru c.yandex-team.ru is an alias for vs-conductor.http.yandex.net. vs-conductor.http.yandex.net has address 5.255.240.208 vs-conductor.http.yandex.net has IPv6 address 2a02:6b8:0:3400::208 ```
#Z8WLWR/XHU / @anonymous --> #Z8WLWR/C5Q / 2266 дней назад
@minoru > То есть у тебя запись резолвится в локальный адрес? Какая разница, локальный или нет? То, что адрес белый - не значит, что он не фаерволится. > И DNS-сервер, я так понимаю, у тебя не твой собственный? Свой, разумеется.
#Z8WLWR/061 / @anonymous --> #Z8WLWR/XB2 / 2266 дней назад

@anonymous Дык если фаерволл твой собственный, и есть белый IP, и DNS свой собственный, то тебе доступны тысяча и один способ верифицироваться через HTTP!

#Z8WLWR/0HI / @minoru --> #Z8WLWR/061 / 2266 дней назад
@minoru Ага, уже бегу упрашивать безопасников с сетевиками дать доступ извне к внутреннему сервису с важной информацией, чтобы можно было потестить сертификат. Может, тогда и 22 порт сразу открыть?
#Z8WLWR/6VC / @anonymous --> #Z8WLWR/0HI / 2266 дней назад
@anonymous настрой уже свои сертификаты лучше, а то тебе каждые 90 дней придётся ебаться
#Z8WLWR/LW8 / @anonymous --> #Z8WLWR/6VC / 2266 дней назад

@anonymous На данный момент тестят с одного-единственного IP, 66.133.109.36, делая один-единственный GET одного-единственного файлика размером 87 байт из заранее известной директории. Так что ты подумай (хотя анон из /LW8 прав).

#Z8WLWR/PLY / @minoru --> #Z8WLWR/6VC / 2266 дней назад
@anonymous Настрогать говноскрипт для автообновления НАМНОГО проще, чем сделать и эксплуатировать нормальный CA с качественными политиками и удобным интерфейсом.
#Z8WLWR/YTA / @anonymous --> #Z8WLWR/LW8 / 2266 дней назад

@anonymous У меня, видимо, какое-то неправильно понемания работы CA, ибо с моей точки зрения это выглядит как генерация root-сертификата (самоподписного) и настройка распространения его между пользователями. Всё. Хотя если у тебя там КОВОРКИНГ и постоянно шляются бомжи^Wхипстеры со своими хинк^Wмакбуками, то да, ситуация осложняется.

#Z8WLWR/DHX / @minoru --> #Z8WLWR/YTA / 2266 дней назад

@minoru > понемания

_<

#Z8WLWR/ZW2 / @minoru --> #Z8WLWR/DHX / 2266 дней назад
@minoru Проблема не в хипстерах, а в том, что хостов дохуища. Алсо, даже если у меня не коворкинг, это не отменяет того, что главное в PKI - политика функционирования (параметры сертификатов, дистрибуция, отзывы). Плюс это осложняется тем, что удобного опенсорсного софта для автоматизации работы CA нет. Т.е. мало того, что придется пройтись по граблям, прежде чем PKI будет нормально организован, так еще кучу говнокода написать придется и все равно тратить время на эксплуатацию всего этого хозяйства.
#Z8WLWR/C57 / @anonymous --> #Z8WLWR/DHX / 2266 дней назад

@anonymous Я не понимаю, зачем тебе full-fledged PKI. У неправильно угадал и у тебя там не энтерпрайз? Потому что в энтерпрайзе ты просто завидываешь самоподписанный вечный сертификат в образ, из которого разворачиваются новые машины, а для существующих пользователей рассылаешь инструкции по установке сертификатов (к бухгалтерам, конечно, отправляешь black ops, чтобы всё зачистили^Wнастроили там). Всё.

#Z8WLWR/RTQ / @minoru --> #Z8WLWR/C57 / 2266 дней назад

@minoru Блин, что-то опечатка на опечатке, прости.

#Z8WLWR/REY / @minoru --> #Z8WLWR/RTQ / 2266 дней назад
@minoru > Я не понимаю, зачем тебе full-fledged PKI. Потому что с серверные недоверенные самоподписанные сертификаты сводят шифрование к нулю, а добавлять на каждых клиентах нужный набор серверных сертификатов в trust store я заебусь. > У неправильно угадал и у тебя там не энтерпрайз? У меня большой парк серверов. Мясные юзеры - вообще десятое дело, хотя и тоже делают свой вклад в общий гемррой.
#Z8WLWR/213 / @anonymous --> #Z8WLWR/RTQ / 2266 дней назад
@minoru Алсо, с десктопами и виндой было бы намного проще: нажимаешь 2 кнопки и у тебя уже есть PKI с интеграцией прямо в АД.
#Z8WLWR/GXU / @anonymous --> #Z8WLWR/RTQ / 2266 дней назад
ipv6 ready BnW для ведрофона BnW на Реформале Викивач Котятки

Цоперайт © 2010-2016 @stiletto.