@l29ah Чтобы получать сертификаты быстрее, проще и заведомо бесплатно. Теперь у быдла уже не будет отмазок для отсутствия у их сервисов TLS, и Интернет станет лучше.
@minoru Поддерживается всеми прыщедистрами. Схуя этот пукэнкрипт будет чем-то отличаться? Алсо, халявные серты сейчас у многих других провайдеров есть.
@l29ah > всеми прыщедистрами Кроме дебиана и убунты, например. Меня больше волнует то, что их корневой сертификат отсутствует у Mozilla, которые как бы крупный дилер^Wпоставщик пака корневых сертификатов.
Схуя этот пукэнкрипт будет чем-то отличаться?
Тем, что работает везде благодаря тому, что его создатели таки заморочились и подписали свой корневой сертификат у другого CA, сертификат которого уже везде есть. Обещают также пропихнуть свой собственный, но это не так важно — уже и так работает, понимаешь?
Про все бесплатные сертификаты не скажу, но чтобы получить сертификат у StartSSL, нужно потратить гораздо больше времени, чем потребуется на аналогичную операцию у LE. А учитывая, что у последних автоматизация продления прямо из коробки, вообще счастье — следующий Жуйк будет нормально доступен, даже если следующий Угнич забъёт на сервис.
Q: Will Let’s Encrypt issue wildcard certificates?
A: We currently have no plans to do so, but it is a possibility in the future. Hopefully wildcards aren’t necessary for the vast majority of our potential subscribers because it should be easy to get and manage certificates for all subdomains.
@minoru Не поменялось, в баг-репортах и рассылке обсуждались кейсы где wildcard нужны и не могут быть заменены сертом с кучей SAN (inb4 пруф // лень искать), но до GA решили не обсуждать т. к. есть и более приоритетные задачи.
@anonymous Зачем тебе во внутренней сети сертификат, подписанный внешним Certification Authority? У тебя нет возможности распространить свой кастомный root certificate среди пользователей?
@minoru DNS запись просто есть. Т.к. зона всего одна, и в ней находятся разные хосты (как внутренние, так и внешние), то получается, что она доступна извне. Поскольку угроза от этого низкая, то смысла смысла ебаться с вьюхами и, упаси, отдельной приватной зоной нет.
@anonymous Поддвачиваю. Так много где делается. Например
```
$ host c.yandex-team.ru
c.yandex-team.ru is an alias for vs-conductor.http.yandex.net.
vs-conductor.http.yandex.net has address 5.255.240.208
vs-conductor.http.yandex.net has IPv6 address 2a02:6b8:0:3400::208
```
@minoru > То есть у тебя запись резолвится в локальный адрес?
Какая разница, локальный или нет? То, что адрес белый - не значит, что он не фаерволится.
> И DNS-сервер, я так понимаю, у тебя не твой собственный?
Свой, разумеется.
@anonymous Дык если фаерволл твой собственный, и есть белый IP, и DNS свой собственный, то тебе доступны тысяча и один способ верифицироваться через HTTP!
@minoru Ага, уже бегу упрашивать безопасников с сетевиками дать доступ извне к внутреннему сервису с важной информацией, чтобы можно было потестить сертификат. Может, тогда и 22 порт сразу открыть?
@anonymous На данный момент тестят с одного-единственного IP, 66.133.109.36, делая один-единственный GET одного-единственного файлика размером 87 байт из заранее известной директории. Так что ты подумай (хотя анон из /LW8 прав).
@anonymous Настрогать говноскрипт для автообновления НАМНОГО проще, чем сделать и эксплуатировать нормальный CA с качественными политиками и удобным интерфейсом.
@anonymous У меня, видимо, какое-то неправильно понемания работы CA, ибо с моей точки зрения это выглядит как генерация root-сертификата (самоподписного) и настройка распространения его между пользователями. Всё. Хотя если у тебя там КОВОРКИНГ и постоянно шляются бомжи^Wхипстеры со своими хинк^Wмакбуками, то да, ситуация осложняется.
@minoru Проблема не в хипстерах, а в том, что хостов дохуища. Алсо, даже если у меня не коворкинг, это не отменяет того, что главное в PKI - политика функционирования (параметры сертификатов, дистрибуция, отзывы). Плюс это осложняется тем, что удобного опенсорсного софта для автоматизации работы CA нет.
Т.е. мало того, что придется пройтись по граблям, прежде чем PKI будет нормально организован, так еще кучу говнокода написать придется и все равно тратить время на эксплуатацию всего этого хозяйства.
@anonymous Я не понимаю, зачем тебе full-fledged PKI. У неправильно угадал и у тебя там не энтерпрайз? Потому что в энтерпрайзе ты просто завидываешь самоподписанный вечный сертификат в образ, из которого разворачиваются новые машины, а для существующих пользователей рассылаешь инструкции по установке сертификатов (к бухгалтерам, конечно, отправляешь black ops, чтобы всё зачистили^Wнастроили там). Всё.
@minoru > Я не понимаю, зачем тебе full-fledged PKI.
Потому что с серверные недоверенные самоподписанные сертификаты сводят шифрование к нулю, а добавлять на каждых клиентах нужный набор серверных сертификатов в trust store я заебусь.
> У неправильно угадал и у тебя там не энтерпрайз?
У меня большой парк серверов. Мясные юзеры - вообще десятое дело, хотя и тоже делают свой вклад в общий гемррой.
@l29ah ето, ждём GA
@l29ah Чтобы получать сертификаты быстрее, проще и заведомо бесплатно. Теперь у быдла уже не будет отмазок для отсутствия у их сервисов TLS, и Интернет станет лучше.
@anonymous Что такое «GA»?
@minoru general availability
@anonymous Это следует читать как «ждём, пока Let's Encrypt выйдет из беты»?
@l29ah Ты предлагаешь забить на Certification Authorities и юзать self-signed сертификаты?
@l29ah А, ты имеешь в виду cacert.org? Я думал, ты про файл, в котором CA certificates лежат.
@minoru агась
@l29ah топ пук // в браузеры уже добавили?
@minoru Прочитал Википедию, TL;DR: никем не поддерживается. Maximum полезно.
@l29ah > всеми прыщедистрами
Кроме дебиана и убунты, например. Меня больше волнует то, что их корневой сертификат отсутствует у Mozilla, которые как бы крупный дилер^Wпоставщик пака корневых сертификатов.
Тем, что работает везде благодаря тому, что его создатели таки заморочились и подписали свой корневой сертификат у другого CA, сертификат которого уже везде есть. Обещают также пропихнуть свой собственный, но это не так важно — уже и так работает, понимаешь?
Про все бесплатные сертификаты не скажу, но чтобы получить сертификат у StartSSL, нужно потратить гораздо больше времени, чем потребуется на аналогичную операцию у LE. А учитывая, что у последних автоматизация продления прямо из коробки, вообще счастье — следующий Жуйк будет нормально доступен, даже если следующий Угнич забъёт на сервис.
@l29ah Тебе же выше написали — https://helloworld.letsencrypt.org/
@l29ah Я имел в виду «сертификат работает as in поддерживается всеми и вся», а не «CA работает as in выдаёт сертификаты».
Вайлдкардов, кстати, не предвидится — говорят, что получить сертификат настолько просто, что такая фича тупо не нужна.
@l29ah палю: https://hg.mozilla.org/releases/mozilla-release/file/default/security/nss/lib/ckfw/builtins/certdata.txt
@l29ah Ок, аргумент засчитан, но ты не тому человеку доказываешь; иди на их форум, там от твоего хейтерства больше пользы будет.
@minoru хули ты пиздишь, обсуждения вайлдкардов признали несвоевременным и, вероятно, будут пилить после GA.
@anonymous В FAQ пишут:
@minoru и чо?
@anonymous Ты сказал, что я пизжу. Я тебе показал текст, который пересказывал. Поменялось ли твоё мнение?
@minoru Не поменялось, в баг-репортах и рассылке обсуждались кейсы где wildcard нужны и не могут быть заменены сертом с кучей SAN (inb4 пруф // лень искать), но до GA решили не обсуждать т. к. есть и более приоритетные задачи.
@anonymous Ок, тогда признаю, что пизжу, но прошу суд^Wарбитра оправдать меня, ибо я по неинформированности, а не со злым умыслом.
@anonymous Э-э-э, а можно о твоей ситуации поподробней? У тебя нет белого IP?
@anonymous Зачем тебе во внутренней сети сертификат, подписанный внешним Certification Authority? У тебя нет возможности распространить свой кастомный root certificate среди пользователей?
@anonymous Погоди-ка, у тебя есть внутренний сервис, для которого есть внешняя DNS-запись? Что за фигню ты там творишь? :)
@anonymous То есть у тебя запись резолвится в локальный адрес? И DNS-сервер, я так понимаю, у тебя не твой собственный?
@anonymous Дык если фаерволл твой собственный, и есть белый IP, и DNS свой собственный, то тебе доступны тысяча и один способ верифицироваться через HTTP!
@anonymous На данный момент тестят с одного-единственного IP, 66.133.109.36, делая один-единственный GET одного-единственного файлика размером 87 байт из заранее известной директории. Так что ты подумай (хотя анон из /LW8 прав).
@anonymous У меня, видимо, какое-то неправильно понемания работы CA, ибо с моей точки зрения это выглядит как генерация root-сертификата (самоподписного) и настройка распространения его между пользователями. Всё. Хотя если у тебя там КОВОРКИНГ и постоянно шляются бомжи^Wхипстеры со своими хинк^Wмакбуками, то да, ситуация осложняется.
@minoru > понемания
@anonymous Я не понимаю, зачем тебе full-fledged PKI. У неправильно угадал и у тебя там не энтерпрайз? Потому что в энтерпрайзе ты просто завидываешь самоподписанный вечный сертификат в образ, из которого разворачиваются новые машины, а для существующих пользователей рассылаешь инструкции по установке сертификатов (к бухгалтерам, конечно, отправляешь black ops, чтобы всё зачистили^Wнастроили там). Всё.
@minoru Блин, что-то опечатка на опечатке, прости.