vitus_wagner: My photo 2005 (Default)
[personal profile] vitus_wagner
Полгода назад я написат ругательный пост про LetsEncrypt. С общим смыслом "С изделием людей, которые так пишут, нельзя иметь дело там, где это касается безопасности".

Как показала практика, не только с изделием, но и с сервисами нельзя иметь дело.

Ибо вот.

Для того, чтобы написать софт для рассылок, который помещает явным образом в письмо адреса всех получателей, надо обладать знаниями о функционировании электронной почты на уровне типичной секретарши.

Date: 2016-06-12 07:57 pm (UTC)
From: [identity profile] besm6.livejournal.com
Знаешь, Витус, это смотря сколько безопасности тебе надо.

Какой из приличных сервисов сертификации (в смысле, тех, чей сертификат CA не надо ставить юзеру отдельно) позволяет получить сертификат на имя хоста в домене, в котором ты контролируешь только этот веб-сервер (доступный снаружи по HTTP и HTTPS, и больше никак)?

Админов домена не контролируешь - пулемет не выдают, а без массовых расстрелов с ними вменяемого взаимодействия не получается.

LetsEncrypt позволяет. Да, это несекьюрно. Зато работоспособно, и уже позволяет не светить паролями к серверу в открытом канале.

Date: 2016-06-13 09:32 pm (UTC)
From: [identity profile] besm6.livejournal.com
У меня ситуация такая, какая есть. Админы - как обычно в большой конторе. С большим трудом удалось добиться прямого проброса портов. Они все пытались пустить через обратный прокси, но им очень лень было возиться с сертификатами. Организовывать мне на это доменное имя почту ради startssl никто не будет. Покупать сертификат там, где покупают на VPN, тоже никто не будет, во всяком случае за вменяемое время.

startssl, кстати, хочет не любого, а админского email из домена. Хотя соглашается и на этот домен, и на родительский. Нормальная security measure, но в моей ситуации, натурально, не работает. А LetsEncrypt работает, и задачу "не светить в Интернет конфиденциальную информацию, включая доменные пароли" решает.

Date: 2016-06-14 09:21 am (UTC)
From: [identity profile] grey-kristy.livejournal.com
startssl.com и без почты позволяет

Я вообще не понимаю весь этот хайп вокруг LetsEncrypt. Есть же уже бесплатные ssl сертификаты, и на год, а не не месяц

Date: 2016-06-14 09:26 am (UTC)
From: [identity profile] grey-kristy.livejournal.com
А wosign.com на 2 года выдает

Date: 2016-07-01 09:52 am (UTC)
From: [identity profile] dreams4rent.livejournal.com
Уязвимость удостоверяющего центра StartSSL позволяла получить сертификат для чужого домена (http://www.opennet.ru/opennews/art.shtml?num=44708)
Да, StartSSL это серьезная контора, не то что этот хипстерский LE.

Profile

vitus_wagner: My photo 2005 (Default)
vitus_wagner

August 2025

S M T W T F S
     1 2
3456789
10111213141516
17181920212223
24252627282930
31      

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Aug. 3rd, 2025 08:13 pm
Powered by Dreamwidth Studios