let's encrypt присоединился к санкциям

https://www.sslshopper.com/ssl-checker.html#hostname=max.ru

Связано ли это с тем, что у кое-кого 5 дней назад отозвали сертификат GlobalSign и они переехали на LE?

Оставайтесь с нами, впереди много интересного.

Это связано с тем что интернет начали делить. Раз RU/РФ домены застолбили официально и навесили вагон репрессий, то просто прилетела закономерная отвечочка.

у меня сертификат до 3го сетября.

Дополнение: Комментируя изменение пользовательского соглашения, директор организации ISRG (Internet Security Research Group), которая является учредителем проекта Let’s Encrypt, пояснил, что сертификаты продолжат выдаваться для частных лиц и негосударственных компаний из Ирана и России, но не будут доступны для российских и иранских госучреждений.

Будет печально если так. Массово использую сертификаты LE на ip (не на домены) для всяких сервисов из-за идиотского поведения браузеров, которые орут на самоподписанные. А так это всё через 5-6 дней истечёт, т.к. они короткоживущие.

opennet:

В данный момент запросы к Let’s Encrypt на получение сертификатов из РФ для доменов, не упомянутых в санкционных списках, принимаются без ограничений.

сертификаты продолжат выдаваться для частных лиц и негосударственных компаний из Ирана и России, но не будут доступны для российских и иранских госучреждений <…> изменения лишь документируют давно сложившуюся практику для выполнения юридических формальностей

Возможность предоставлять сертификаты для негосударственных учреждений и частных лиц на подсанкционных территориях обеспечивается благодаря действующим в США законам о защите частной переписки и послаблениям, принятым Управлением по контролю за иностранными активами (OFAC) для содействия соблюдению прав человека и свобод в интернете.

Также, см. первый ответ здесь.

Почитал. Самое грустное, что весьма вероятно в ответ тоже что-нибудь запретят. Но поскольку реально что-то запретить американцам практически невозможно, как бы не запретили нам, «защитив» от них.

поведения браузеров, которые орут на самоподписанные

ip-адресов и ос-браузеров так много, что добавить самоподписанные в доверенные не вариант?

Себе, знакомым и т.п. - без проблем, но не всё из этого используется ограниченным кругом лиц.

На работе тупо блочат нелокальные IP. Для автоматизаций/интеграций затрахаешься прописывать игноры сертификатов и добавлять самоподписанные на все машины, мобилы и впски.

добавлять самоподписанные на все машины, мобилы и впски.

Мобилы не нужны, а для остального изучи работу пакетного менеджера. Только добавлять надо не игноры, а своё CA, которым всё и подписывать.

Просто законы не нужно нарушать.

Чьи законы? Свои законы, как понимаю, не нарушаются.

А у нас есть какие-то другие альтернативы ЛЕ по части бесплатных SSL сертификатов?

Были китайцы давно, но их прикрыли.

Минцифры не предлагать.

Минцифры не предлагать.

Кстати, почему? Владетели парковочного мессенджера тоже почему-то ими побрезговали…

потому что его нет в ca-bundle, он устанавливается отдельно и на том же андроиде генерирует неубираемое предупреждение о возможности перехвата трафика.

К.О.

Минцифры не предлагать.

Как думаешь, не запланирован ли у властей принудительный отказ от иностранных CA для российских сайтов? На какой год?

Весьма хороший способ мотивировать граждан установить себе нужное CA. Побочный эффект - потеря российскими сайтами заметной доли иностранных посетителей, но не думаю что это их волнует. Оставят несколько разрешённых экспортных ресурсов (RT например).

обсуждалось уже где-то

бредогенератор то работает по полной, техническая сторона хромает на все конечности

PS: да проще уже сразу отделить чебурнет от интернета

кванмён, наэнара

А техническую сторону тебя и заставят реализовывать, по призыву на гос службу ИТ-безопасности.

а вот это им не светит, и на это несколько причин )

Ну, можно же обязать на импортируемые ведроиды пихать нужный CA в доверенные. С десктопами ещё проще. Могли бы провернуть уже давно. Недоработали-с…

Станут более жестко продвигать минцифровские сертификаты

«Let’s encrypt» присоединился к санкциям.

Давно пора отказаться от единого удостоверяющего узла в мировой сети. Англичане любят так делать: захватить какой-нибудь судоходный канал и потом ничего не делать и просто взимать плату за проход судна по каналу. Мышление прирожденных дармоедов, а трудягам смысла нет кормить этих «удостоверятелей».

Как можно было бы решить задачу подлинности интернет-страницы? - Например, менять на странице картинку каждые десять секунд, при наведении камерой телефона на которую из телефонного приложения было бы видно подлинная страница это или подмененная. Или при входе в учетную запись присылать код на телефон в «Госуслуги» для государственных министерств и ведомств.

Пришло время придумать что-то новенькое. Если все станет удобно, то весь мир перейдет на новое бесплатное, распределенное, удостоверяющее решение.

минцифровские сертификаты

У которых нет ACME. У скама нет ботов и миниприложений. У яндекса/мыла правктически нет IMAP/POP. Это даже не «импортозамещение», а сюр какой-то.

Давно пора отказаться от единого удостоверяющего узла в мировой сети

Так не единого удостоверяющего узла, их много. И в целом нет монополии на них - поставщики браузеров и операционных систем сами решают, какие CA добавлять а какие нет. В списке CA вполне могли бы быть и удостоверяющие центры из РФ, если бы к ним было доверие. И мы вполне могли бы сделать свой нескучный Let’s encrypt.

Англичане любят так делать: захватить какой-нибудь судоходный канал и потом ничего не делать и просто взимать плату за проход судна по каналу

Let’s encrypt бесплатен…

Как можно было бы решить задачу подлинности интернет-страницы? - Например, менять на странице картинку каждые десять секунд, при наведении камерой телефона на которую из телефонного приложения было бы видно подлинная страница это или подмененная.

Ты вроде гуманитарий, а не подумал что сидеть за компьютером с постоянно поднятым телефоном в руке будет неудобно. P.S. И как быть когда открываешь сайт на телефоне? Наводить на него второй телефон? :^)

Пришло время придумать что-то новенькое

Придумай, это не запрещено

Минцифры не предлагать.

Почему?

сертификаты продолжат выдаваться для частных лиц и негосударственных компаний

Не трогай. Это на Новый Год.

реально что-то запретить американцам практически невозможно

Они и сами неплохо справляются. Собственно, санкции — это запреты, которые США наложили сами на себя (и своих союзников/вассалов).

У яндекса/мыла правктически нет IMAP/POP.

За деньги же есть вроде или нет?

Мышление прирожденных дармоедов

Вот же тунеядцы, ни разу не заплатили нам за использование их инфраструктуры.

Let’s encrypt бесплатен…

Бесплатным бывает только сыр в мышеловке… и то только для второй мышки :)

Молодой человек, где линукс брали? Почем дистрибутивчик?

С каких пор линукс бесплатен?

Так им и надо.

Надо было изначально использовать скрепный НУЦ. А не богомерзкие западные GlobalSign и LE.

А что вопросом на вопрос?

А Вы почему?

В списке CA вполне могли бы быть и удостоверяющие центры из РФ, если бы к ним было доверие.

Проблема состоит в том, кто решает, кому доверять, а кому нет.

И эти доверяльщики, по указке одного государства, могут не доверять другому.

Так что, дело тут не в монополии, а в единой точке отказа.

Система эта не идеальная и справедливости там нет.

и справедливости там нет

но проблемы, внезапно, возникают не у всех…

У которых нет ACME

Потому что он до этого времени был не нужен в силу того что пользователей у этих сертификатов ограниченное количество.

У скама нет ботов и миниприложений

Как и много чего ещё. Но думаю что появится со временем

У яндекса/мыла правктически нет IMAP/POP

Судя по недавним лоровским новостям, «за деньги - да!»(с) песня

Боты и приложения в мессенджере не нужны. Впрочем макс - мейлрушое поделие и тоже не нужен.

Почта должна быть на своём сервере.

Проблема состоит в том, кто решает, кому доверять, а кому нет.

Это решают мейнтенеры дистрибутивов и разработчики браузеров. Их не один и даже не два. Это не «единая точка отказа». То, что никто не хочет доверять сертификатам от страны которая очень активно вмешивается в интернет трафик, не является каким-то всемирным заговором.

То, что никто не хочет доверять сертификатам от страны которая очень активно вмешивается в интернет трафик,

Зато сертификатам от тех кто митмил jabber доверяют прекрасно. Очевидно, дело не во вмешательстве в траффик, а в том, кто именно вмешивается.

Зато сертификатам от тех кто митмил jabber доверяют прекрасно.

LE не митмил jabber.ru

Вообще-то это был хетцнер

https://notes.valdikss.org.ru/jabber.ru-mitm/

А у let’s encrypt как раз все отлично с certificate transparency

https://en.wikipedia.org/wiki/Certificate_Transparency

https://letsencrypt.org/docs/ct-logs/

Нет, вы не правы. Потому что штаб квартира организации разработчика браузера/дистрибутива/ОС, даже если это некоммерческая организация, находится и зарегистрирована на территории США/ЕС, зачастую. По какому-то «счастливому» совпадению…

Как и большинство, если не все, из корневых ЦС, включенные в какой-нибудь оффтопик и андроед.

И они обязаны соблюдать сранкции своих стран. Если ЦС от этой страны попадёт в список, произойдёт немедленный отзыв. И незамедлительное исключение сертификата из CA Bundle, в том числе.

Единая административная точка отказа. А вопрос «доверия» уже вторичен.

Если бы не было этой ручки, тогда может быть, было бы и так. Что вон, эта страна такая плохая, что ни один браузер/ОС/дистрибутив не станет добавлять её корневые сертификаты, мало ли, посмеет казахстанский инцидент повторить.

А я это не писал. Митмили немцы, причём не важно даже кто конкретный исполнитель, важно что инициатором митма было их государство. По этой логике, все немецкие CA должны быть выкинуты из браузерных списков.

CT это отдельная тема, но я не про LE писал, см. выше.

Вот в том числе и для этого и создавалась ублюдочная система Trusted CA которая должна сдохнуть.

Предпочитаешь каждому добавлять сертикаты отдельных сайтов в браузер вручную?

Предпочитаешь каждому добавлять сертикаты отдельных сайтов в браузер вручную?

Даже такой костыль будет на много порядков лучше и правильнее, чем ограниченный набор коммерсантов которому почему-то все обязаны доверять.