abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 06:00 | Nová verze

Po čtyřech a půl měsících vývoje od vydání verze 5.3 byla vydána nová verze 5.4 svobodného open source redakčního systému WordPress. Kódové označení Adderley bylo vybráno na počest amerického jazzového trumpetisty Nata Adderleyho.

Ladislav Hagara | Komentářů: 0
včera 23:44 | IT novinky

Association for Computing Machinery vzhledem k probíhající pandemii COVID-19 nabízí bezplatný přístup do databáze publikací ACM Digital Library, a to do 30. června 2020.

Fluttershy, yay! | Komentářů: 2
včera 23:11 | IT novinky

Humble Bundle nabízí balík her (některých multiplatformních a/nebo bez DRM), knih, komiksů,… za cenu alespoň €28. Akce Humble Conquer COVID-19 Bundle probíhá do 7. dubna. Výtěžek bude věnován humanitárním/charitativním organizacím Lékaři bez hranic, Direct Relief, International Rescue Committee a Partners In Health.

Fluttershy, yay! | Komentářů: 7
včera 18:44 | Komunita

Český LibreOffice tým vydává překlad příručky LibreOffice Online. Příručka vznikla překladem anglického originálu, který byl vytvořen v rámci projektu Google Season of Docs 2019. Příručka je ke stažení na českých stránkách LibreOffice. Český tým pokračuje s překladem příručky Začínáme s LibreOffice a hledá další dobrovolníky pro překlad z angličtiny a revize přeloženého textu.

Zdeněk Crhonek | Komentářů: 0
včera 17:55 | Nová verze

Theia je nové modulární vývojové prostředí (IDE) určené k běhu jako webová aplikace a modifikovatelné pomocí doplňků kompatibilních s MS Visual Studio Code. Vývoj zaštiťuje Eclipse Foundation. Více v oznámení vydání verze 1.0.

Fluttershy, yay! | Komentářů: 1
včera 17:44 | Upozornění

V souvislosti s nedávnými kybernetickými útoky na nemocniční zařízení v České republice nabídl Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) ve spolupráci se sdružením CZ.NIC, správcem české národní domény a provozovatelem Národního bezpečnostního týmu CSIRT.CZ, pomoc klíčovým zdravotnickým subjektům, na které se vztahuje reaktivní opatření NÚKIB.

Ladislav Hagara | Komentářů: 1
včera 16:55 | Komunita

GitLab je vyvíjen jako open core. Základ je open source a zdarma. Rozšiřující funkce jsou proprietární a je nutné za ně platit. Sid Sijbrandij, spoluzakladatel a CEO společnosti GitLab, oznámil, že 18 funkcí je nově uvolněno jako open source.

Ladislav Hagara | Komentářů: 0
včera 14:11 | Zajímavý projekt

V souvislosti s koronavirem SARS-CoV-2 a onemocněním COVID-19 vzniká celá řada open source projektů. Zmínit lze například ochrannou polomasku vytisknutelnou i na běžné 3D tiskárně bez použití speciálních materiálů BUT–H1 nebo obličejový ochranný štít.

Ladislav Hagara | Komentářů: 24
30.3. 19:33 | Zajímavý software

OpenRGB (dříve OpenAuraSDK) je nový svobodný software (verze 0.1) umožňující nastavení podsvícení řady různých „herních“ komponent a periferií (dokáže se také integrovat s projektem OpenRazer); seznam již podporovaného hardwaru je ve wiki projektu.

Fluttershy, yay! | Komentářů: 0
30.3. 15:33 | Zajímavý článek

Sergio Prado v článku Jak se testuje jádro Linux? poskytuje přehled nástrojů používaných právě k testování Linuxu, a to v oblastech statické analýzy kódu, automatizovaného testování a průběžné integrace.

Fluttershy, yay! | Komentářů: 0
Se kterými dopady COVID-19 už jste se přímo osobně setkali?
 (3%)
 (54%)
 (39%)
 (38%)
 (37%)
 (6%)
 (20%)
Celkem 440 hlasů
 Komentářů: 43, poslední 29.3. 20:38
Rozcestník

www.AutoDoc.Cz

Let's Encrypt revokuje 3 miliony certifikátů

Otevřená certifikační autorita Let's Encrypt v diskusním fóru oznámila, že zítra 4. března kvůli chybě revokuje přes 3 miliony certifikátů. Zda se problém týká konkrétního certifikátů lze ověřit podle názvu počítače nebo sérového čísla.

3.3. 18:00 | Ladislav Hagara | Nová verze


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Diskuse byla administrátory uzamčena

3.3. 18:29 bigBRAMBOR | skóre: 34
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
unknown: dial tcp: i/o timeout

Tak ted nevim
3.3. 18:56 Slavko
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
skúste doménové meno, nie meno počítača ;-)

The certificate currently available on example.org is OK. It is not one of the certificates affected by the Let's Encrypt CAA rechecking problem. Its serial number is ...
4.3. 07:18 bigBRAMBOR | skóre: 34
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
tak uz mi to taky jde, kdyz jsem to zkousel, koncilo to chybou, ted uz to jde normlane
3.3. 19:03 MMMMMMMMM | skóre: 43 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
služba je asi přetížená, zkusil bych to znovu ;)
3.3. 22:42 hbfd
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Chyba značí špatné standardy týkající se vývoje a kontroly kvality.
Takže tam všemožných divnochyb nejspíš budou mít víc.
3.3. 22:49 hbfd
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Krom toho mi to řešení chyby přijde naprosto nesmyslně paranoidní. Zneužitelnost nula. Jenom všechny uživatele učí, že varování o rozbitých certifikátech je něco naprosto normálního a všudypřítomného.

Halt se ukazuje skutečná podstata Let's encrypt - je to projekt anarchistů budovaný stojící na individuálním zápalu pro věc. Jenže anarchisti nejsou dobří vývojáři spolehlivého softwaru. Tam je naopak potřeba tvrdá korporátní přísnost, pořádek, a pečlivé kalkulování....

Proto Let's encrypt nikdy nebude mít smysl pro jakoukoliv enterprise aplikaci.
3.3. 23:07 hbfd
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Trololol.

"I received the email about 75 minutes before it was March 4th in New Zealand. Giving a 75 minute heads up via email is absolute inacceptable."

Otázka: "I appreciate the urgency of the issue BUT at this time the client is refusing to renew the certificate because of rate limits! Can those be lifted (or slightly increased) for the next two days? Otherwise, what should I do exactly?"
Něčí odpověď: "If you can’t renew because of the duplicate certificate rate limit (“too many certificates already issued for exact set of domains”), you can temporary bypass it by creating a certificate with the domain(s) you want and additional domain."

"I never received notice via email for this problem. I validated we had 45 affected certificates in the dump via account id. We have received prior emails affecting this account in the past, you may have a serious problem on your hands there."
"When I first heard about this problem, at about 1600 UTC, I had not received an email. But i thought to check, so I ran a script and discovered one current certificate was affected. Several hours later, when I was about to double check my script after reading kjo’s comment, I noticed that I had received an email at about 2000 UTC."
3.3. 23:57 Max | skóre: 68 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Co je to enterprise aplikace? To je ta věc, co vypadá jak další OS, nemá to otevřenou dokumentaci a stojí to šíleně peněz?
Provozujeme v rámci firmy mj. aplikace i pro externí firmy, všechno se snažíme clusterovat minimálně do role active-pasive a všude Let'sEncrypt a no problemo.
Pokud jde o chybu popsanou ve zprávičce, tak ta se netýká ani jednoho z našich certifikátů.
Zdar Max
PS: ten objem zákazníků a spolehlivost služeb u LetsEncrypt spíše napovídá v neprospěch tvého tvrzení...
Měl jsem sen ... :(
4.3. 00:29 zx
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Cokoliv, kde pětihodinová odstávka má nějaký skutečný dopad na Váš byznys. Třeba větší eshop, freemail, objednávkovej portál na pizzu, nebo internetové bankovnictví.

Nepřekvapuje mě, že jsou zákazníci spokojeni. Nemusí nic platit, a trvá poměrně dlouho zjistit, že kvalitu svárů nikdo nekontroluje.
K tomu, že se vás to nedotklo gratuluji, ale uvědomte si, že jste mohli být v pozici toho Novozélanďana. Já bych nechtěl mít buzení telefonem kvůli nefunkčnímu produkčnímu webu jenom proto, že si na rozdíl od toho Novozélanďana, běžně nečtu firemní email ve tři čtvrtě na jedenáct večer.
4.3. 06:00 Mti. | skóre: 31 | blog: Mti
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Nepsali tam nahodou taky, ze revokace budou "v nejaky cas" ale podle UTC...? Takze podle mne mel uplne stejne casu jak ostatni. (Nerikam, ze je to prijemne, ale.... )
Vidim harddisk mrzuty, jehoz hlava plotny se dotyka...
4.3. 06:10 rpajik | skóre: 17 | blog: rpajikuv_blog
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
1. Toho času bylo extrémně málo

2. Informace byla jen na webu, problém jsme přes noc řešili na několika tisícovkách domén a ani k jedné nepřišel email

3. Je to chyba té CA - ta celou situaci bagatelizuje tweety typu "simply solution", řeší to admini co spravují servery, zákazník co ušetřil za certifikát ten čas nikdy nezaplatí.

Říkám to už roky - LE není vhodný certifikát pro komerční použití ( tedy weby které když nefungují, tak je měřitelné o kolik peněz se přišlo )
4.3. 06:28 Mti. | skóre: 31 | blog: Mti
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Nic z toho nerozporuju, jen sem rypnul do ohaneni se tim nestastnym novozelandanem.
Vidim harddisk mrzuty, jehoz hlava plotny se dotyka...
4.3. 15:17 srds
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Ano, dodatečně mu řekli, že to bude v UTC, a že to není čas kdy to udělaj, ale čas kdy s tím nejdřív budou ochotní začít.
4.3. 07:24 ...
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
řeší to admini co spravují servery, zákazník co ušetřil za certifikát ten čas nikdy nezaplatí.
Zákazníkovi je toto řešení nabízeno stylem, pojďte k nám, u nás máte certifikáty k vašemu webu zdarma. Takže provozovatel o tom, že se něčím takovým může zabývat, nepochybně věděl a zakalkuloval si to do ceny.
4.3. 08:00 rpajik | skóre: 17 | blog: rpajikuv_blog
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Nějaké webhostingy nepochybně ano. Když spravujete klientům jejich servery, tak to bylo spíš vynuceno okolnostmi ale určitě to nebyla "konkurenční výhoda".
4.3. 08:31 j
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
A to si jako vazne myslis, ze kdyz budes mit cert za penize, ze se ti nemuze stat presne totez? Kdyz se dneska soudruzi v guuglu usnesou, ze srovna tvoje CA jim nevyhovuje, tak se zejtra na tvuj web uz nikdo nepripoji.

Pricemz naopak, s naprosto nemyslnym certifikatem za penize muzes narazit na to, ze jako spravce tech klidne i desitek tisic webu s tim nic udelat nemuzes, protoze potrebujes nejakou akci (treba i jen klipnuti na link v mailu) od kazdyho jednoho drzitele domen. Sem zvedav, jak je budes ve 3 rano uhanet aby klikali ...
4.3. 09:03 ...
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Když budeš mít certifikáty za prachy a dojde k něčemu podobnému, tak svoji práci naúčtuješ zákazníkovi. A budeš k tomu mít podklad, protože vydavatel něco, něco..., mimo tvoji působnost...

U certifikátů zadarmo, které jsi zákazníkovi vnutil, pravdapodobně nic neuhádáš, ani nenaúčtuješ. Pokud je náhodou požadoval zákazník, tak snad...

A pokud to budou všechno tvoje certifikáty, tak nenaúčtuješ nikomu nic, budeš akorát nadávat a příště se zkusíš poohlédnout po jiném vydavateli certifikátů.. Možná..
4.3. 15:43 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Když budeš mít certifikáty za prachy a dojde k něčemu podobnému, tak svoji práci naúčtuješ zákazníkovi. A budeš k tomu mít podklad, protože vydavatel něco, něco..., mimo tvoji působnost...

U certifikátů zadarmo, které jsi zákazníkovi vnutil, pravdapodobně nic neuhádáš, ani nenaúčtuješ. Pokud je náhodou požadoval zákazník, tak snad...
Takže porovnáváš situaci, kdy zákazník požadoval komerční certifikát, se situací, kdy ty jsi zákazníkovi něco vnutil? Jo, to dává smysl.
A pokud to budou všechno tvoje certifikáty, tak nenaúčtuješ nikomu nic, budeš akorát nadávat a příště se zkusíš poohlédnout po jiném vydavateli certifikátů..
To bych moc rád (ne kvůli tomuhle incidentu, ale protože se mi nelíbí ToS LE), ale žádného jiného jsem nenašel. Nápady? (pozn. jde řádově o jednotky soukromých domén a na každé jednotky subdomén, v práci pak o desítky. Kalkulace by s tím měla počítat a pokud vyjde, že navrhované certifikáty budou stát $2000 za rok, tak to fakt nepůjde)
Když je letní čas, tak chodí Polednice strašit v poledne nebo v jednu?
4.3. 17:00 hbdf
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Souhlasím, vnucovat zákazníkům LE byla blbost, a krajně netaktické rozhodnutí.
4.3. 17:03 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
No a co je teda ta alternativa?
Když je letní čas, tak chodí Polednice strašit v poledne nebo v jednu?
4.3. 17:35 hbdf
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Nevnucovat jim nic, a přesunout odpovědnost za rozhodnutí na ně. Nebo jak jsi to myslel, když si říkal, že je můj problém, že jsem jim něco doporučil já, a teď jsou z toho náklady navíc, které bych chtěl proplatit.
4.3. 17:36 hbdf
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Protože tam přece vede to tvoje:
"Takže porovnáváš situaci, kdy zákazník požadoval komerční certifikát, se situací, kdy ty jsi zákazníkovi něco vnutil? Jo, to dává smysl."
4.3. 18:01 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Nechápu, proč by to tam mělo vést, a jinak jsou ještě dvě další možnosti (certifikáty za prachy, které jsi zákazníkovi vnutil, a certifikáty zadarmo, které jsi nikomu nevnutil).
Když je letní čas, tak chodí Polednice strašit v poledne nebo v jednu?
4.3. 17:59 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Nevnucovat jim nic, a přesunout odpovědnost za rozhodnutí na ně.
To u většiny use-case, se kterými jsem se potkal, nejde, protože oni tomu nerozumí.
Nebo jak jsi to myslel, když si říkal, že je můj problém, že jsem jim něco doporučil já, a teď jsou z toho náklady navíc, které bych chtěl proplatit.
To jsem někde říkal?
Když je letní čas, tak chodí Polednice strašit v poledne nebo v jednu?
4.3. 10:12 rpajik | skóre: 17 | blog: rpajikuv_blog
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Tak LE neni jediná CA se kterou lze komunikovat přes API a udělat validaci přes http nebo dns. Někde bude dokonce fungovat i ACME. Ten argument neberu.

A je něco jiného, když se odstraňuje kořenová CA z browseru a to co se teď stalo u LE. Před pár lety se třeba musely přegenerovat certifikáty vydané Symantecem ( thawte, ... bylo to několik brandů ) ... byl dopředu zveřejněnej plán jak proběhne a toho času na dostatek.

Mimochodem ... když by došlo k tomu že browsery přestanou věřit LE, to by byl panečku mazec. Je to strašná past - https má dneska i web kde je vystavený polední menu nějaký zapadlý hospody, aby je nepenalizoval google a browsery neřvaly jak je to nebezpečný( s bezpečností to nemá nic společnýho, pokud se na webu nelze přihlásit nebo nakoupit ). Aby se jim to v ssl validatoru zobrazilo pěkně zeleně, tak tam dají HSTS hlavičku ( reálně neví ani proč a k čemu to reálně je ). A v tu chvíli není uniku. Když by LE skončil a nebyla náhrada, tak všichni tyhle lidi musí nějaký certifikát koupit.
4.3. 15:45 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
s bezpečností to nemá nic společnýho, pokud se na webu nelze přihlásit nebo nakoupit
A pokud tě nezajímá že někdo další uvidí na jakou stránku lezeš a pokud tě nezajímá že do toho půjde cestou cokoli injectnout a pokud…
A v tu chvíli není uniku.
Souhlas, ale tohle je spíš na výrobce browserů a jejich dementní handlování HSTS.
Když je letní čas, tak chodí Polednice strašit v poledne nebo v jednu?
4.3. 16:57 hbfd
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Tak DNS je vidět, a kombinace metadata (délky, další požadavky ve stejný čas...) dokážou podle mě ve spojitosti s nějakým hidden markov modelem pohybu po webu taky docela zázraky. Když sleduju, jak se někdo proklikává webem, tak můžu odhadovat celkem přesně, kde zrovna teď je...

A třeba zjistit, že člověk kterého poslouchám odeslal konkrétní komentář na abclinuxu je trivka.
4.3. 15:39 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Je to chyba té CA - ta celou situaci bagatelizuje tweety typu "simply solution", řeší to admini co spravují servery, zákazník co ušetřil za certifikát ten čas nikdy nezaplatí.
Jednak by mě zajímalo jakou máš hodinovku, protože pro mě to znamenalo ten cronjob, který se spouští jednou za měsíc, spustit ručně (doslova se tam nasshčkovat, crontab -l, a pastnout do konzole), tedy asi tak minuta na server.

A jednak by mě zajímal nějaký výpočet, protože když porovnám (cena ceritfikátu + to že se musí _ručně_ každé dva roky (teď už dokonce jenom každý rok) objednávat a instalovat) vs. automatické klienty pro LE, tak to prostě nemůže vyjít ani kdybychom počítali pouze ten čas a zanedbali, že komerční CA se může stát přesně totéž (a pak řešení není spustit jeden skript, ale ručně to všechno předělat).
Když je letní čas, tak chodí Polednice strašit v poledne nebo v jednu?
4.3. 15:40 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
to že se musí _ručně_ každé dva roky (teď už dokonce jenom každý rok) objednávat a instalovat
OK, píšeš, že některé komerční CA už taky mají ACME. Nicméně furt je tam režie vůbec s tím řešit platbu.
Když je letní čas, tak chodí Polednice strašit v poledne nebo v jednu?
5.3. 11:53 j
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Prave ze ty komercni CA se snazi "tvarit bezpecne", takze ti trebas pri kazdy akci s certifikatama posilaj email, kterej musis potvrdit. A pokud nejses v pozici spravce domeny/mailserveru a zaroven spravce nejakyho webu, coz typicky nejses, tak potrebujes nejakou dalsi osobu, ktera tu akci potvrdi.

Takze viz vejs, dopadnes tak, ze v pripade ze udelaj presne totez co ted LE (= pres noc revokujou tvuj cert) tak ti reseni toho i pro par jednotek serveru muze zabrat i par dnu.

---

A samo blaboly na tema "u le mi to ale nikdo nezplati" jsou zcela mimo misu, protoze ta situace je totozna - bud mam jako admin ve smlouve nejakou sazbu a pak si ji vyfakturuju, nebo mi platej nejakej pausal "za to ze to funguje" a pak to je proste dalsi prace navic se kterou musim pocitat ja, pri podpisu smlouvy.
4.3. 19:05 ...
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
...protože pro mě to znamenalo ten cronjob, který se spouští jednou za měsíc, spustit ručně
Tedy, ten můj cronjob obnoví certifikáty jenom tehdy, pokud mají platnost kratší, než něco. Pouští se sám každý den, takže by se spustil dneska taky, jenže by nic neobnovil. Aby obnovil certifikáty zrovna teď, když chci a není ještě ta správná doba, musím ho přemluvit. Pak obnoví všechny certifikáty, i ty, které obnovit není potřeba. A když takhle obnovoval včera certifikáty každý, kdo měl mezi tisícem certifikátů jeden vadný, měli v Letsencrypt dost zavařené servery.

Kromě toho, ačkoliv se chyba měla týkat toho, že v LA špatně ověřovali CAA záznamy, zneplatnili šmahem i některé certifikáty, pro které žádné CAA záznamy neexistovaly.
4.3. 20:02 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
zneplatnili šmahem i některé certifikáty, pro které žádné CAA záznamy neexistovaly
Samozřejmě, protože ta chyba byla o tom, že neověřovali ani existenci CAA záznamů. Nevědí tedy, že v době vydání certifikátu žádný CAA záznam neexistoval.
Když je letní čas, tak chodí Polednice strašit v poledne nebo v jednu?
4.3. 15:39 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Není mi jasné (platí i na hbfd a rpajik), zda tvrdíte, že „enterprise“ CA se tyto chyby nestávají (protipříklady z minulosti si jistě najdete), nebo že „enterprise“ CA by potenciálně neautorizovaně vystavené certifikáty nezneplatnila, což je lepší (pro jednoho provozovatele určitě, a na celkovou důvěru PKI kašleme?), nebo ještě něco jiného.
Když je letní čas, tak chodí Polednice strašit v poledne nebo v jednu?
4.3. 16:47 hbfd
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Ani jedno. Ve skutečnosti si myslím, že firma, která nesplňuje určité standardy by neměla být CA, stejně, jako by neměl kdokoliv vyrábět dopravní letadla.

Konkrétně kritizuji zjevně chybějící, či nedostatečné mechanismy kontroly kvality SW, které by tuto chybu odhalily před produkčním nasazením, pozdní informování, a celkově absenci krizových plánů, ve kterých by například bylo napsané, jak budou informovat lidi, že mají třeba zvednou rate limity, nebo časový odhad toho, jak rychle dokáží přegenerovat nebo revokovat milion certifikátů. Kdyby tyto plány měli, zjistili by, kde jim co rychlostně hoří, a měli by měsíce na optimalizaci, místo aby to zjišťovali a hackovali v šibeničních termínech...

Prostě CA by měla splňovat podobné standardy, jako někdo kdo implementuje krypto, nebo dělá řízení motoru u aut.
5.3. 08:07 j
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Jinak receno, o ani jenom zminenym oboru nevis vubec nic, protoze jak vadnych algorimu tak jajich vadnych implementaci jsou miliony, a v (nejen)ridicich jednokach aut je mozna vic chyb, nez ve widlich.

A vis proc? Protoze vzdycky jde predevsim o co jinyho nez ty prachy.
4.3. 10:52 fe
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
…je to projekt anarchistů budovaný stojící na individuálním zápalu pro věc. Jenže anarchisti nejsou dobří vývojáři spolehlivého softwaru. Tam je naopak potřeba tvrdá korporátní přísnost, pořádek, a pečlivé kalkulování....
Tak tohle svého času říkali zástupci firem SCO, Sun, IBM apod. o konkurenčním projektu jednoho bláznivýho fina!

A kde jsou dnes oni a jejich projekty…
4.3. 15:20 yvba
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Přidávání do Linuxového kernelu se neděje s korporátní přísností?
4.3. 11:20 cezz | skóre: 24 | blog: dm6
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Proto Let's encrypt nikdy nebude mít smysl pro jakoukoliv enterprise aplikaci.
To je pravda, enterprise preferuje pristup ala Symantec kde bez problemov vydaju certifikat na lubovolnu domenu a ani ju nemusis vlastnit a este budu ten problem roky ignorovat kym ich Mozilla a Google neprinutili jednat.
Computers are not intelligent. They only think they are.
4.3. 15:21 yxvc
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Certifikáty by neměl vydávat každej. Jenže to pro některé hraničí s kacířstvím.
5.3. 08:10 j
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Ne, certifikaty by nemel vydavat nikdo. Respektive zadny certifikaty by nemely byt povazovany za "duveryhodne", jednoduse proto ze nejsou.

Autoritu ktera ti vyda cert pokud ma na dany domene email uz sem tu nekolikrat uvadel ... https://sectigo.com/ ... a je jim uplne jedno, ze pro tu domenu existuje cert od jiny CA.
4.3. 16:42 xjurasek
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Tam je naopak potřeba tvrdá korporátní přísnost, pořádek, a pečlivé kalkulování....
Sorry, ale každý jednotlivý bod se naprosto vylučuje s korporátním přístupem
4.3. 16:50 hbfd
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Víš jakej korporátní fašismus panuje v Googlu ohledně kódu?
4.3. 18:53 /dev/win
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
jakej?
4.3. 23:45 yx
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
UTFG
4.3. 21:14 Roman
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Lol, to je zase diskuse. :D Tak si platte dal, nikdo vam LE nenuti. Nepoucujte ostatni.
4.3. 23:44 cyberya
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Kvůli tvýmu diletanství mně budou volat zákazníci, že jim nefungujou internety.
5.3. 12:17 Roman
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Mozna jste si nevsimli, ale seznam.cz taky pouziva LE
5.3. 14:36 Kate | skóre: 9
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
No, zatím mi je ten „projekt anarchistů“ docela sympatický tím, že případné problémy přiznávají. Kdežto u různých komerčních CA se už několikrát ukázalo, že problém tutlají, jen aby jim náhodou neutekly zakázky.

Takový ten důsledek pečlivé kalkulace a korporátní přísnosti co se komunikace ven týče ;-)
4.3. 07:24 j
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Toz jak soudruzi, nastavime renew misto mesicne na denne? Tim se prece podobny problem vyresi sam, nebo ne?
4.3. 07:26 ...
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Nevyřeší, protože vás pravděpodobně bloknou na nějakou policy...
5.3. 08:13 j
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Tys to taky nepochopil vid? Tady se porad zkracuje platnost certifikatu s tim, ze se tim vyresej vsechny problemy sveta, aktualne sme "globalne" na 1 roce, a s LE na 3 mesicich. A vysledek je videt trebas prave tady.
6.3. 17:36 j
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Tak jen tak pro tu srandu sem se na to vysral abych si overil, jak to nefunguje ... a oni se na to vysrali taky ...

https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591/3

Ty certy, ktery nikdo nevymenil fungujou dal. Takze naprosto krasna realna ukazka jak jsou naprosto VSECHNY CA(a vubec celej sytem kolem) naprosto napicu!
6.3. 21:22 k
Rozbalit Rozbalit vše Re: Let's Encrypt revokuje 3 miliony certifikátů
Je na čase dotáhnout to dál. Nerevokovali včas, tak by měli ztratit důvěryhodnost, a být vyškrtnuti, ne?

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.