AbcLinuxu:/ Zprávičky / Let’s Encrypt

Štítky: Cisco, EFF, Let’s Encrypt, management, Mozilla, projekt, software, YouTube

Let’s Encrypt

Electronic Frontier Foundation (EFF), Mozilla, Cisco, Akamai, IdenTrust a University of Michigan představují projekt Let’s Encrypt. Jedná se o projekt otevřené certifikační autority, jež bude od léta 2015 nabízet certifikáty pro servery rychle, bezpečně, transparentně a zadarmo. Pro správu certifikátů a automatické nastavování serverů je vyvíjen klientský software. Videoukázka na YouTube. Technické detaily na stránkách projektu. Popis použitého protokolu ACME (Automated Certificate Management Environment) na GitHubu. [Slashdot]

19.11.2014 04:04 | Ladislav Hagara | Zajímavý projekt

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (3) ? , Tisk

Vložit další komentář

19.11.2014 09:04 R
Rozbalit Rozbalit vše Re: Let’s Encrypt

Odpovědět | Sbalit | Link | Blokovat | Admin

Nechapem tie snahy sifrovat uplne vsetko. Vacsina veci na webe je predsa verejne dostupna a tam to nema absolutne ziadny zmysel.

Ze provider nezisti, ci osoba XY prave na webe Noveho casu cita o nejakej celeb(v)rite alebo o vrazde, to je dobre naco? Ked to zisti Microsoft, Mozilla, Google a Facebook cez vselijake sledovacie sracky...

19.11.2014 09:29 jc
Rozbalit Rozbalit vše Re: Let’s Encrypt

Pokud ti nevadi smirovani (a nemusi jit jen o tveho providera), melo by ti vadit treba posilani hesel cleartextem. Stranek, ktere nemaji uzivatelskou zakladnu s prihlasovanim je cim dal mene a casto si to (nekdy i zbytecne) vynucuji.

Dalsi vec je, ze data nekdo po ceste muze podvrhnout. V takovem pripade pak nejde jen o bezpecnost informaci, ale take o bezpecnost pocitace.

19.11.2014 09:35 R
Rozbalit Rozbalit vše Re: Let’s Encrypt

Sifrovanie vsetkeho sposobi akurat falosny pocit bezpecia. Do webov su vlozene sledovacie sracky od Googlu a Facebooku, browser odosiela kazde URL na "kontrolu bezpecnosti" do Microsoftu alebo Googlu. Ale hlavne, ze to bude sifrovane...

Citlive veci ma kazdy rozumny clovek sifrovane uz davno.

19.11.2014 11:31 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Let’s Encrypt

Citlive veci ma kazdy rozumny clovek sifrovane uz davno.

Jak, když web na druhé straně šifrování nepodporuje? A to chce právě tento projekt změnit.

19.11.2014 12:38 R
Rozbalit Rozbalit vše Re: Let’s Encrypt

A nie je lepsie taky web nepouzivat? Jednak bude mat aj dalsie bezpecnostne problemy a hlavne su taketo weby imunne voci akymkolvek zlepseniam, takze tento projekt na tom nic nezmeni.

19.11.2014 16:33 Chulda | skóre: 20
Rozbalit Rozbalit vše Re: Let’s Encrypt

to je zajímavá dedukce - nepoužívá SSL = má i jiné bezpečnostní problémy.

vzhledem k chování prohlížečů při zobrazení stránky se self-signed certifikátem, spousta komunitních webů z neIT oblasti rezignovala na použití SSL anebo jej standardně nenabízí. Tenhle projekt to může změnit.

19.11.2014 17:38 j
Rozbalit Rozbalit vše Re: Let’s Encrypt

No vidis, ja asi tak o 10 radu vic duveruju strance se self cert, nez nekomu, kdo pouziva nejakou tu "duveryhodnou" autoritu, ktera vyda cert komukoli.

19.11.2014 19:32 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Let’s Encrypt

Tady si někdo plete zabezpečení komunikace s důvěryhodností protistrany.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

19.11.2014 21:04 j
Rozbalit Rozbalit vše Re: Let’s Encrypt

No jestli, tak leda ti pitomci, co vyrabej prohlizece.

19.11.2014 19:49 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Let’s Encrypt

Proč? Chápu, kdybys je bral nastejno. Ale snížit důvěru na základě podpisu navíc mi přijde nesmyslné.

19.11.2014 21:02 j
Rozbalit Rozbalit vše Re: Let’s Encrypt

Jenze ten "duveryhodny" certifikat zcela neduveryhodne "atority" mi nekdo naprosto neduveryhodny (jako je mozilla a spol) vnucuje s kazdou aktualizaci prohlizece.

Tudiz je pro me o nekolik radu duveryhodnejsi certifikat, ktery si sam potvrdim, ze za duveryhodny povazovat hodlam.

Jinak vubec nechapu, proc pro https vyskakuje zcela libovolne hlaseni. Je to holej nesmysl. Duveryhodnost protistrany, jejiz certifikat sem neziskal idealne osobne z ruky doruky je zcela nulova. A na to, aby se komunikace nejak sifrovala, me certifikat protistrany naprosto nezajima. Ostane, postfix (a dalsi) taky v poklidu pouzije sifrovanou komunikaci, pokud se na ni s protistranou dohodne, a je mu zcela uprdele, ze pouziva expirovane klice.

A pro ty co stale nechapou, prave a presne na tomhle podvrhu nazvem "duveryhodnost" je zalozen provoz proxy, mozna i vas chlebodarce neco takoveho provozuje, a vy to ani netusite. Proste proto, ze vas desktop duveruje jeho CA, a tudiz si on muze klidne vydat certifikat na google.com, a vas prohlizec ani nezaprotestuje. Kolik z vas se de podivat kdo realne vydal certifikat bankovnictvi? A kolik si jde alespon na web banky overit, ze je to ten spravny? Vsichni se spokojej s tim, ze prohlizec neprotestuje.

19.11.2014 21:26 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Let’s Encrypt

Jenze ten "duveryhodny" certifikat zcela neduveryhodne "atority" mi nekdo naprosto neduveryhodny (jako je mozilla a spol) vnucuje s kazdou aktualizaci prohlizece.

Takže problém není v certifikátu protistrany, ale v tom, že používáš dementní prohlížeč/operační systém? Neboj, také takový používám. Žádný jiný totiž neexistuje, je totiž teprve rok 2014.

Tudiz je pro me o nekolik radu duveryhodnejsi certifikat, ktery si sam potvrdim, ze za duveryhodny povazovat hodlam.

Těm CA přece nemusíš věřit. Prostě si představuj, že tam ten podpis není a že je to selfsigned.

Jinak vubec nechapu, proc pro https vyskakuje zcela libovolne hlaseni.

Toto hlášení protlačila NSA, aby odradila lidi od šifrování by-default. Nikdo si nedovolí nasadit selfsigned certifikát, když se mu přes to uživatelé nedostanou. Více v této přednášce od 14:50.

A pro ty co stale nechapou

Nikoho takového jsem si tady v diskuzi nevšiml.

a presne na tomhle podvrhu nazvem "duveryhodnost" je zalozen provoz proxy, mozna i vas chlebodarce neco takoveho provozuje, a vy to ani netusite

Se self-signed certifikáty se MITM provozuje ještě snáz. Prostě si klíč vymyslíš, ani nemusíš svoji CA dávat uživatelům.

mozna i vas chlebodarce neco takoveho provozuje, a vy to ani netusite

Hm a jak to vlastně řešit, když dnešní software není schopen naimportovat CA a říct, že smí vydávat certifikáty pouze pro *.zaměstnavatel.cz?

19.11.2014 19:48 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Let’s Encrypt

Uděláme takový malý pokus: dej si na všech počítačích, které používáš a které spravuješ, iptables -A INPUT -i eth0 -p tcp --dport 80 -j DROP, a v pátek odpoledne sem napiš svoje zkušenosti, OK?

19.11.2014 19:55 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Let’s Encrypt

-A OUTPUT -p tcp --dport 80 -j DROP, pardon.

21.11.2014 18:31 biolog
Rozbalit Rozbalit vše Re: Let’s Encrypt

... a od té doby jsme od něj neslyšeli. :-)

21.11.2014 20:13 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Let’s Encrypt

To nebude tím, AbcLinuxu zrovna po HTTPS používám.

21.11.2014 22:50 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: Let’s Encrypt

Nemá. Nebo je tak málo rozumných lidí?

Archlinux for your comps, faster running guaranted!

19.11.2014 11:31 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Let’s Encrypt

Ze provider nezisti, ci osoba XY prave na webe Noveho casu cita o nejakej celeb(v)rite alebo o vrazde, to je dobre naco? Ked to zisti Microsoft, Mozilla, Google a Facebook cez vselijake sledovacie sracky...

Ty lze blokovat.

19.11.2014 15:51 paul2no | skóre: 16 | blog: Paulovo doupě | Praha
Rozbalit Rozbalit vše Re: Let’s Encrypt

Pokud by se opravdu důsledně šifrovalo všechno a všude, tak si NSA a podobné organizace budou vybírat co jim stojí za tu námahu to dešifrovat (pokud se jim to vůbec podaří) a nebudou neustále sledovat všechno a všechny, protože je to tak snadné.

Pravda, láska a elektrická trakce zvítězí nad lží, nenávistí a trakcí motorovou.

19.11.2014 16:24 R
Rozbalit Rozbalit vše Re: Let’s Encrypt

A myslis, ze NSA odchytava pakety, co idu od teba ku googlu? Nie, vypyta si od Googlu spracovane a vyfiltrovane data.

19.11.2014 19:50 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Let’s Encrypt

Může to znít zvláštně, ale jsou lidé, kteří ještě pořád nepovažují Google za celý Internet.

20.11.2014 08:37 R
Rozbalit Rozbalit vše Re: Let’s Encrypt

To je sice pekne, ale samotny Google sa za cely internet povazuje a je obrovsky problem sa vyhnut sledovaniu od neho.

20.11.2014 10:19 Hans1024 | skóre: 5 | blog: hansovo
Rozbalit Rozbalit vše Re: Let’s Encrypt

Nevim, odkdy je zablokovani par javascriptu "obrovsky problem". Na svete jsou opravdu mnohem vetsi problemy :-D

Veni, vidi, copi

23.11.2014 19:46 random
Rozbalit Rozbalit vše Re: Let’s Encrypt

Minimálně podle některých zaměstnanců Googlu to není pravda.

19.11.2014 19:51 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Let’s Encrypt

Hlavně je šance, že se na to přijde (pokud budou třeba dělat MITM nebo hackovat servery, aby získali klíče).

20.11.2014 19:29 Filip Jirsák
Rozbalit Rozbalit vše Re: Let’s Encrypt

Nechapem tie snahy sifrovat uplne vsetko. Vacsina veci na webe je predsa verejne dostupna a tam to nema absolutne ziadny zmysel.

HTTPS nezajišťuje jen šifrování, ale také ověření identity serveru a to, že někdo nepodvrhne jiný obsah. I u té veřejně dostupné informace asi nechcete, aby vám kdokoli podvrhl jinou stránku. Jinak na spoustě stránek se používá třeba přihlašování, kde dnes jinak než šifrováním prakticky nejde zaručit bezpečnost. A obecně k šifrování - proč tu komunikaci nešifrovat, když je to prakticky zadarmo? Řekl bych, že to, že se internetová komunikace nešifruje, je jen dočasná anomálie.

21.11.2014 22:53 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: Let’s Encrypt

Konečně někdo, kdo ví. Díky.

Archlinux for your comps, faster running guaranted!

19.11.2014 09:36 andree | skóre: 39 | blog: andreeeeelog
Rozbalit Rozbalit vše Re: Let’s Encrypt

Odpovědět | Sbalit | Link | Blokovat | Admin

Otazka je, ci sa po automatizacii nevyroji kopa scam domen typu https://goοgle.com/. Na druhej strane pochybujem ze by to aktualne nejak riesili sucasne autority, tie to asi tiez budu mat automatizovane...

Ostava teda dufat, ze Let's encrypt budu mat dostatocne zabezpecene vlastne kluce a nebude treba rucne mazat ich servery zo zoznamov po tyzdni... [conspiracy]Alebo to je od zaciatku trik NSA... :-)

[/conspiracy]

19.11.2014 10:11 CLX-Kuba
Rozbalit Rozbalit vše Re: Let’s Encrypt

Odpovědět | Sbalit | Link | Blokovat | Admin

Je sance ze tyhle certifikaty nebudou v IE rvat ze jsou od neduveryhodne CA?

19.11.2014 10:15 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Let’s Encrypt

IE mě nezajímá, spíš moc moc doufám že Google přidá tuhle autoritu do Chrome a Androidu, to je nejdůležitější aby to mělo úspěch a nestalo se to jen trochu lepší obdobou CAcert.org (přijatou aspoň ve Firefoxu)...

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

19.11.2014 10:43 hydrandt | skóre: 35 | blog: Kanál | Herzogenburg
Rozbalit Rozbalit vše Re: Let’s Encrypt

Ja pouzivam StartSSL, spokojenost.

I am Jack's wasted life.

19.11.2014 11:23 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Let’s Encrypt

Free nabídka StartSSL má ovšem dost velká omezení (třeba absenci wildcard certifikátů pro subdomény).

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

19.11.2014 11:35 hydrandt | skóre: 35 | blog: Kanál | Herzogenburg
Rozbalit Rozbalit vše Re: Let’s Encrypt

Jo, to jo. Ale je to zadarmo :-)

A ve všech rozšířených prohlížečích.

I am Jack's wasted life.

21.11.2014 10:19 David Jaša | skóre: 44 | blog: Dejvův blog
Rozbalit Rozbalit vše Re: Let’s Encrypt

CAcert si IIRC za své nerozšíření může sama zákazem její root CA distribuovat.

oVirt | SPICE

21.11.2014 23:33 CiV | skóre: 3
Rozbalit Rozbalit vše Re: Let’s Encrypt

Pohled člověka co dělal audit CACertu.

19.11.2014 10:12 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Let’s Encrypt

Odpovědět | Sbalit | Link | Blokovat | Admin

No hurá! Něco takového jsem doufal že vznikne už celá léta! Tohle musí být noční můra všech předražených "důvěryhodných" CA :-D

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

19.11.2014 12:25 Vlado
Rozbalit Rozbalit vše Re: Let’s Encrypt

Odpovědět | Sbalit | Link | Blokovat | Admin

Hm.

Čo keď mám web na hostingu, kde nemám shell? To mám asi smolu.

Čo keď mám shell, ale nielen že nie root, ale navyše silne obmedzený prístup. Napr. obyčajné

$ ls /etc/apache

/bin/ls: cannot open directory /etc/apache: Permission denied

To mám asi tiež smolu.

:-(

Bolo by fajn, keby existoval aj variant, ktorý bude "free", "open", ale bez "automated".

19.11.2014 12:29 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Let’s Encrypt

Pokud to správně chápu, tak účelem toho software je nakonfigurovat server, což se tě jaksi asi netýká.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

19.11.2014 19:52 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Let’s Encrypt

Vyrobí to soubor a pošle HTTP request. To můžeš udělat ručně.

19.11.2014 13:11 Adam2
Rozbalit Rozbalit vše Re: Let’s Encrypt

Odpovědět | Sbalit | Link | Blokovat | Admin

Je to zadarmo a automatické.

Jak zabráníme scénáři, ve kterém si Pepa vygeneruje certifikát protože je to cool, někdo mu štípne soukromý klíč, tak si Pepa prostě vygeneruje nový, protože je to jednodušší. Útočník tím pádem má Pepův privátní klíč. Pepovi je to jedno, uživatelům je to jedno, ale budou takový bordel chtít prohlížeče?

19.11.2014 13:48 Erbureth | skóre: 21
Rozbalit Rozbalit vše Re: Let’s Encrypt

Naprosto stejně jak u současných CA autorit

19.11.2014 19:53 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Let’s Encrypt

Nijak, stejně jako tomu, že si Pepa nastaví na roota heslo root, protože se to dobře pamatuje.

19.11.2014 19:57 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Let’s Encrypt

Nebo pavlix nastaví na roota heslo test u testovací mašiny. Ale náhodou to celých 24 hodin drželo bez zavirování.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

20.11.2014 19:22 Filip Jirsák
Rozbalit Rozbalit vše Re: Let’s Encrypt

Tomuhle scénáři se snadno zabrání tak, že s vydáním nového certifikátu pro doménu se automaticky revokuje ten předchozí.

21.11.2014 17:09 j
Rozbalit Rozbalit vše Re: Let’s Encrypt

Odpovědět | Sbalit | Link | Blokovat | Admin

Kdyz sme u toho sifrovani:

Expiration date: 12.11.2014 21:37:56 (12.11.2014 20:37:56 GMT)

Tohle na me vyleze, kdyz vlezu sem. Si to spravte.

21.11.2014 17:10 j
Rozbalit Rozbalit vše Re: Let’s Encrypt

SN: 03:FC:8B:79:9B:72:55

21.11.2014 20:15 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Let’s Encrypt

Ničeho jsem si nevšiml.

24.11.2014 19:59 j
Rozbalit Rozbalit vše Re: Let’s Encrypt

To si mozna vsimas blbe

Zkus abclinuxu.cz (= bez www).

25.11.2014 20:50 biolog
Rozbalit Rozbalit vše Re: Let’s Encrypt

https://abclinuxu.cz/

Technical Details

abclinuxu.cz uses an invalid security certificate. The certificate expired on 12.11.2014 21:37. The current time is 25.11.2014 20:43. (Error code: sec_error_expired_certificate)

Podle se měla zvednout vlna komentářů o tom, že správci abclinuxu si ani neumí nakonfigurovat dohled na vyprcháváním certifikátů. Podle mně je chyba v tom, že agent dohledového systému nebo nginx/0.7.67 (nebo vhodná nastavba) neumí ohlídat vypršení sám od sebe.

Založit nové vlákno • Nahoru