LINUX.ORG.RU

Let's Encrypt объявили о поддержке Wildcard Certificate

 , ,


1

0

Организация Let's Encrypt, в лице исполнительно директора, заявила о начале поддержки выдачи Wildcard Certificate — единый сертификат подтверждающий подлинность домена для всех поддоменов. Ранее требовалось получать на каждый поддомен отдельный сертификат (поддерживался только алиас www).

Для получения Wildcard-сертификата требуется клиент с поддержкой протокола ACMEv2 — список совместимого ПО. Для прохождения процедуры подтверждения владения доменом доступна авторизация только способом DNS-01 — внесение в файл зоны DNS записей типа TXT.

Для перехода на новый протокол требуется повторное подтверждение владением домена. О сроках прекращения поддержки старого протокола ACMEv1 пока не сообщается, т.е. в обозримом будущем будет все также доступно подтверждение через размещение кода в текстовом файле.

>>> Анонс

★★★

Проверено: jollheef ()

Джва года ждал!

Теперь можно для внутренних локалок использовать, хе хе!

jollheef ★★★★★ ()
Последнее исправление: jollheef (всего исправлений: 1)

поддерживался только альянс www

Алиас?

Radjah ★★★★★ ()

ждём разорения коммерческих CA

Harald ★★★★★ ()

Что за альянс?
Имеется ввиду alias?

blackst0ne ★★★★★ ()
Ответ на: комментарий от Harald

Скорее понижение доверия к ресурсам, которые LE используют.

Radjah ★★★★★ ()
Ответ на: комментарий от deadNightTiger

Ну когда каждый вася для своего говносайта может вкрутить HTTPS, уже получается не «уважаемая контора», а «потому что могут нахаляву».

Ну или я устарел и по инерции считаю наличие HTTPS чем-то таким, что могут себе только большие дяди позволить.

Radjah ★★★★★ ()
Ответ на: комментарий от Radjah

HTTPS является сейчас чем-то таким, что должно присутствовать на любом сайте, принимающим какие-либо данные от пользователя, или работающего с современными Web API (например, ServiceWorker не работают без HTTPS, а это очень важно для PWA, обеспечения управления кэшированием и работы в оффлайне).

avol ()
Ответ на: комментарий от Radjah

Ну или я устарел и по инерции считаю наличие HTTPS чем-то таким, что могут себе только большие дяди позволить.

да

скорее не иметь сейчас HTTPS считается днищем

Harald ★★★★★ ()
Ответ на: комментарий от Radjah

Альянс кофе, бессонной ночи, сбора кривых портов во фре и сильного ветра за окошком.

mandala ★★★ ()
Ответ на: комментарий от Harald

Не дождешься. LE пока лишь подтверждает владение доменом, более высокие уровни она просто физически не потянет.

mandala ★★★ ()
Ответ на: комментарий от Radjah

Ты не понимаешь чем отличается просто сертификат домена и сертификат который дают в офисе при предъявлении пачки документов.

Т.е. сертификат LE сегодня лишь дает некую гарантию целостности трафика, и того что домен example.ru это example.ru, а не нечто иное.

mandala ★★★ ()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от avol

то должно присутствовать на любом сайте, принимающим какие-либо данные от пользователя

Можно посмеяться, но я сделал https даже для карманного баунсера (у него вебмода). Кроме меня на него ни кто не конектится.

mandala ★★★ ()
Ответ на: комментарий от mandala

Просвети тогда. Я знаю, что сертификатом за бабки еще можно код подписывать, если там нужные поля выставлены.

Radjah ★★★★★ ()
Ответ на: комментарий от Radjah

Такой сертификат как LE на халяву дает каждый первый хостер. Вот уровни:

  • Сертификаты, которые подтверждают только доменное имя (Domain Validation — DV) — выдают на право и налево, хостеры/регистраторы часто дают на халяву в нагрузку к домену/хостингу. Именно их дает LE.
  • Сертификаты, которые подтверждают домен и организацию (Organization Validation — OV) — как выдают зависит от конкретного CA, только юрлица, различные проверки от записи во whois данных юр.лица, до звонков, валидации счетов и т.п.
  • Сертификаты, с расширенной проверкой (Extendet Validation — EV) — типа самые крутые. Проверка вплоть до документов на торговые марки, уставных документов и т.д.

Отдельно стоит сказать о Wildcard Certificate — это любой сертификат который удостоверяет *.exemle.ru, а не конкретные адреса. DV может быть как wildcard, так и нет.

mandala ★★★ ()
Последнее исправление: mandala (всего исправлений: 2)
Ответ на: комментарий от Radjah

Я знаю, что сертификатом за бабки еще можно код подписывать

Я знаю лишь про https. Что там с подписями — это отдельная песня.

mandala ★★★ ()
Ответ на: комментарий от Radjah

Угнав домен или зарегистрировав похожий нет проблем получить DV — именно для этого существуют OV и EV. В браузерах они отображаются со свистелками и перделками, тогда как DV попроще.

Думаю с распространением https DV перестанут вообще выделять в браузерах, а http помечать «красным» и черепом с костями (сейчас уже, если есть форма ввода пароля или карты, или чего то похожего).

mandala ★★★ ()
Ответ на: комментарий от mandala

Сертификаты, которые подтверждают только доменное имя (Domain Validation — DV) — выдают на право и налево

И кто же их давал направо и лево до LE?

ipeacocks ★★★★★ ()
Ответ на: комментарий от ipeacocks

OV и EV — вот основная кормушка коммерческих CA. А DV просто массовка.

mandala ★★★ ()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от mandala

Пруф? Даже самые простые сертификаты до LE стоили очень приличных денег.

ipeacocks ★★★★★ ()
Ответ на: комментарий от ipeacocks

Мне регистратор давал — т.е. регистратор отправлял заявку в CA от моего имени, я не платил за это, только за услуги регистратора. Условия те же — запись TXT в DNS. Присылали не шифрованной почтой, лол.

mandala ★★★ ()
Ответ на: комментарий от ipeacocks

10 баксов они стоили на год, на уровне стоимости года регистрации доменного имени. Да и щас можно купить если лень возится с LE.

mandala ★★★ ()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от mandala

Ну если регистратор и CA имел - то может быть. А так напрямую чтоб бесплатный - я не слышал.

ipeacocks ★★★★★ ()
Ответ на: комментарий от ipeacocks

Нет, именно давал (и дают до сих пор) через себя заявку в коммерческий CA c которым и платно сотрудничают. Я в панельке регистратора жму кнопку, мне на почту валится сертификат. В зависимости от регистратора/хостера или твоих записей NS надо или самому внести TXT, или это автоматом делает админка.

mandala ★★★ ()
Ответ на: комментарий от ipeacocks

https://www.firstssl.ru/

Первая ссылка из гугла, обычный (не Wildcard Certificate) DV — 494 рубля в год если за два года платишь, 564 рубля — если только за год.

Это первая ссылка из гугла, там Wildcard Certificate DV — уже не адекватная цена. Но это как и с хостингом — надо смотреть, цена за одно и тоже может различаться на порядок (пример: я вчера за 100 рублей развернул VPS с кастомной ОС, а у некоторых такие характеристики стоят 300+ рублей с ограничениями, еще и нет того ПО которое мне нужно)

mandala ★★★ ()
Ответ на: комментарий от mandala

Ну русские сервисы - это не серьезно. Хотя ок, можем считать, что вы меня убедили.

ipeacocks ★★★★★ ()
Ответ на: комментарий от ipeacocks

Ну я не ставил цель провести анализ рынка. Просто пример. Уверен есть куча более адекватных предложений на рынке.

mandala ★★★ ()
Ответ на: комментарий от mandala

Сертификаты, которые подтверждают только доменное имя (Domain Validation — DV) — выдают на право и налево, хостеры/регистраторы часто дают на халяву в нагрузку к домену/хостингу. Именно их дает LE.

Вот честно, за последние 10 лет не встречал ни одного регистратора/хостера, которые предоставляли бы сертификаты на халяву. Они всегда стоили денег. Ну и надо отличать сапомодписанные хостером от нормальных LE, которые отработают в любом современном браузере и андроиде от 4-ой версии.

srzkptrsk ()
Ответ на: комментарий от srzkptrsk

Выдают от CA от которого и продают. Дают не просто так, а когда регишь домен, покупаешь хостинг и т.д. Не все, да. И не на все.

mandala ★★★ ()
Ответ на: комментарий от mandala

ну так приведите пример регистратора или хостера, который бы до LE вот так вот выдавал сертификаты..

srzkptrsk ()
Ответ на: комментарий от srzkptrsk

у так приведите пример регистратора или хостера, который бы до LE вот так вот выдавал сертификаты..

zomro.com — не реклама (ссылка реферальная, не хотите — просто скопируйте адрес, а не ссылку), но пользуюсь сам. Сертификаты от LE можжно получить прям в админке виртуального хостинга, на любой домен, при авторизации через DNS руками править TXT, при хостинг-способе админка сама все делает скриптом. Тут же есть и бесплатный ($0) DNS-хостинг на 50 доменов. Но нужно иметь услугу виртуального хостинга (shared hosting), цена вопроса $1,25.

У других хостеров возможно и еще как-то, в том числе и более лояльно. Изучайте предложения, не ленитесь.

mandala ★★★ ()
Последнее исправление: mandala (всего исправлений: 4)
Ответ на: комментарий от mandala

который бы до LE вот так вот выдавал сертификаты

Я же написал, что до LE, по моему опыту использования исключительно американских хостингов (российские sic!) ни один не давал сертификат на халяву.

srzkptrsk ()

Обновил, действительно работает. Хорошо.

imul ★★★★★ ()

Ура, товарищи!

Интересно, что будет с платными удостоверяющими центрами? Разорятся?

te111011010 ()

А как этим пользоваться?

На каждый пук(каждые 3 месяца) надо дергать днс сервер или просто 1 раз подтвердить(добавить тхт) и подписывать/продлевать серт?

Rost ★★★ ()
Последнее исправление: Rost (всего исправлений: 1)
Ответ на: комментарий от Rost

Один раз настроить, дальше всё автоматически будет обновляться. Только до wildcard было неудобство, если сертификат должен крутиться на другом сервере, а не том, у которого соответствующая A-запись. Как сейчас — не знаю. Приведу пример. Есть у меня jabber-сервер xmpp.example.org, который обслуживает jabber-домен example.org (для него нужен сертификат, выданный на имя example.org). При этом A-запись example.org резолвится на другой сервер. Так вот, раньше служба, обновляющая сертификат, должна была крутиться только на example.org. Как сейчас — не знаю. Если тоже на example.org — то по-прежнему неудобно.

te111011010 ()
Ответ на: комментарий от Rost

Но для веба всё нормально. Настроил один раз и можно забыть.

te111011010 ()
Ответ на: комментарий от ipeacocks

Я и раньше до появления LE регулярно встречал возможность купить SSL до 10$. Просто искал сайты и статьи по запросу «cheap ssl».

Но в целом хватало StartSSL, потом CACert, а потом уже LE появился.

Пруфы уже предоставили выше.

Chaser_Andrey ★★★★★ ()
Ответ на: комментарий от Radjah

Ну ещё есть EV-сертификаты, когда не просто зелёный замочек, а ещё название организации пишется в строке адреса. Их по-прежнему могут только большие дяди себе позволить. При этом подтверждается не просто владение доменом, но и юрлицом, на которое оформляется сертификат. Тут вряд ли что-то изменится в ближайшем будущем, поскольку такую проверку проблематично автоматизировать.

А так обычный HTTPS только подтверждает безопасность канала от тебя до сервера. И так всегда было. Но большее в большинстве случаев (если это не какой-нибудь онлайн-банк - но для них не проблема раскошелиться на сертификат никогда) и не нужно совершенно. И тут LE никаких дырок не добавляет - верифицировать домен не контролируя сервер невозможно (а если контролировать сервер, то и купленный сертификат утянуть можно, так что взлом в любом случае не учитываем).

KivApple ★★★★★ ()
Ответ на: комментарий от te111011010

OV и EV сертификаты требуют проверок, которые невозможно автоматизировать, поэтому их не будут выдавать бесплатно никогда.

KivApple ★★★★★ ()
Ответ на: комментарий от KivApple

Даже в светлом крипто-будущем, когда вместо нотариусов будут смарт-контракты? :)

deadNightTiger ★★★ ()

Сделал для своего доменчика wildcard сертификат. Всё работает. Только он работает для anything.domain.com, но не для самого domain.com. Это нормально?

pawnhearts ★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.