Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Let's Encrypt начал выдавать сертификаты для IP-адресов и 6-дневные сертификаты"	+/–
Сообщение от opennews (??), 16-Янв-26, 22:21
Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, начал выдавать бесплатные сертификаты для  IP-адресов, а также предоставил возможность получения TLS-сертификатов, время жизни которых ограничено 160 часами (6 днями). 13 мая намерены добавить поддержку выдачи сертификатов, действующих 45 дней. В соответствии с ранее объявленным планом 10 февраля 2027 года максимальный срок действия сертификатов будет сокращён с 90 до 64 дней, а 16 февраля 2028 года - до 45 дней... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64628
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 16-Янв-26, 22:21	+35 +/–
Ждём сертификаты на 1 час через пару лет.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #24

3. Сообщение от al (??), 16-Янв-26, 22:24	–2 +/–
Ну как же dns-01 запретили? ))))
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

4. Сообщение от нах. (?), 16-Янв-26, 22:28	+/–
нишмагли осилить парсинг in-addr.arpa (при том что так-то на первый и второй погляд - ЭТИ зоны понадежнее прямых, поскольку кому попало не выдаются, и перехватить их посложнее будет)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #66

5. Сообщение от нах. (?), 16-Янв-26, 22:38	+7 +/–
следующий ход - запритить-запритить всем браузерам работать с self-signed и нешифрованным http окончательно и бесповоротно. Хочешь поменять настройки в своем тплинке или к умному телевизору подцепиться или еще какому интернету вшей - вешай на них паблик адрес и выставляй голым задом в интернет.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #47, #67, #78, #96

6. Сообщение от Аноним (6), 16-Янв-26, 22:43	–2 +/–
>короткоживущие сертификаты помешают злоумышленникам длительное время контролировать трафик жертвы или использовать сертификаты для фишинга Это надо понять и признать, что сейчас интернет быстро расширяется и всё больше на него завязано, так, что всё логично и вопросом безопасности стоит задаться: - https://habr.com/ru/articles/968218/ - https://opennet.ru/56830-tls
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #106

7. Сообщение от Аноним (9), 16-Янв-26, 22:43	+2 +/–
> контролируемый сообществом Откуда такая информация?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8

8. Сообщение от Аноним (6), 16-Янв-26, 22:53	–5 +/–
Отсюда: https://letsencrypt.org/about/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #11, #12

9. Сообщение от Аноним (9), 16-Янв-26, 22:54	+34 +/–
SNAP-талоны на однократное посещение сайта.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #133, #198

11. Сообщение от Аноним (9), 16-Янв-26, 22:56	+/–
Сами про себя на своём сайте? Может, кто-то расскажет, чей CA стоит на вершине цепочки?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #13, #26

12. Сообщение от Аноним (9), 16-Янв-26, 22:59	+1 +/–
> называть себя сообществом Дело не в том, как назвать себя... Дело тут немного в другом... Кто подписал их? :) (вопрос риторический) Почему никакое другое сообщество не прокатит?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #33

13. Сообщение от Аноним (6), 16-Янв-26, 22:59	–3 +/–
Ознакомьтесь с историей создания: https://en.wikipedia.org/wiki/Let%27s_Encrypt
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #107

18. Сообщение от Аноним (18), 16-Янв-26, 23:04	–3 +/–
Кому надо, тот будет по будильнику перетыркивать патчкорд в ДЦ на пару секунд, для перехвата серта. Как оно было с одним хмпп сервером.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #31

19. Сообщение от Аноним (18), 16-Янв-26, 23:08	–1 +/–
> сертификаты для IP-адресов, а также предоставил возможность получения TLS-сертификатов, время жизни которых ограничено 160 часами (6 днями) Ну, в принципе, логично. IP проще сменить, чем домен. Да и не всегда он по твоей воле меняется.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #89, #201

21. Сообщение от Аноним (24), 16-Янв-26, 23:19	+/–
кто там кричал, что частая смена паролей никак не влияет на безопасность, объясните свою логику LE.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29, #43

24. Сообщение от Аноним (24), 16-Янв-26, 23:21	+8 +/–
> Ждём сертификаты на 1 час через пару лет. слишком много, на каждую сессию - свой!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #126

26. Сообщение от Аноним (26), 16-Янв-26, 23:32	–1 +/–
Сейчас летсенкрипт не зависит в цепочке ни от какого другого CA. Но сообщество состит из этих ребят https://www.abetterinternet.org/sponsors/ Let's Encrypt это не хорошо и не плохо, это просто окончательное и безповоротное закрытие кормушек для других CA. Потому, что aws, google, ovh и другие ребята решили, что катлету делить с мухами вроде комодо это неправильно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #30, #42, #145

29. Сообщение от нах. (?), 16-Янв-26, 23:37	+1 +/–
LE прекрасно знает что это влияет на безопасность ровно отрицательнымм образом. Для того и работают. Как и пропагандисты обязательных смен нескомпроментированных паролей раз в три часа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #36, #37

30. Сообщение от Аноним (6), 16-Янв-26, 23:38	+/–
Спонсоров там много (*прокрутите вниз): https://letsencrypt.org
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

31. Сообщение от нах. (?), 16-Янв-26, 23:44	+1 +/–
кому надо знает что для этого физически ничего никуда тыкать не надо. Более того, с одним xmpp сервером вероятнее всего вообще не злой умысел (изначально) а руки из вот оттуда. Ну а то что в той же стойке оказались немного не самые хорошие ребята, для той помойки тоже вполне обычно - мне в свое время достался адресок (а возможно и физически сервер) какого-то изрядно мощного судя по траффику координационного центра ботнетов, другой раз - чей-то явно нерядовой vpn (рядовые не используют ip over dns, это даже для китая перебор) Думаю, владельцы того и другого обрадовались бы, получив такой вот подарок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #44, #99

33. Сообщение от Аноним (-), 16-Янв-26, 23:47	–1 +/–
> Кто подписал их? А разве кто-то должен подписывать? > Почему никакое другое сообщество не прокатит? Ну так сделайте свое сообщество. Выдавайте сертификаты на 100 лет вперед.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #70

34. Сообщение от myster (ok), 16-Янв-26, 23:47	+/–
Есть ли какой-то способ, чтобы сертификат действовал и для локальной подсети IP-адресов? Может быть, в CSR-файл можно добавить специальные строки?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48, #59, #77, #157, #194, #203

35. Сообщение от Аноним (35), 16-Янв-26, 23:48	+2 +/–
>В соответствии с ранее объявленным планом 10 февраля 2027 года максимальный срок действия сертификатов будет сокращён с 90 до 64 дней, а 16 февраля 2028 года - до 45 дней. Лапша про увеличение безопасности, ИМХО это просто прикрытие меркантильного интереса. Элементарная двухходовка: При уменьшении времени жизни сертификатов кратно возрастет нагрузка на инфраструктуру. Далее последуют требования к сообществу об увеличении финансирования.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39, #41, #81, #110

36. Сообщение от Аноним (6), 16-Янв-26, 23:48	+/–
>это влияет на безопасность ровно отрицательнымм образом Почему же ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

37. Сообщение от Аноним (24), 16-Янв-26, 23:51	+/–
> нескомпроментированных а это такие волшебные пароли? Бабушка Ванга нашептала, что они "нескомпроментированны"?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #92, #147

38. Сообщение от Аноним (39), 17-Янв-26, 00:00	+/–
Где они были, когда это было мне нужно, я вас спрашиваю.
Ответить | Правка | Наверх | Cообщить модератору

39. Сообщение от Аноним (39), 17-Янв-26, 00:01	–4 +/–
Окно овертона, сначала на поклон ходишь к барину чаще. Потом сертификат через госуслуги.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #148, #158

40. Сообщение от cheburnator9000 (ok), 17-Янв-26, 00:02	+/–
Лучше бы они сделали свой аналог sslip.io и давали возможность получить домен на IP адрес в виде HEX notation. Например, 334B3513.nip.io валидный ресурс в случае sslip и letsencrypt так получить можно и работает.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51, #82

41. Сообщение от Аноним (24), 17-Янв-26, 00:02	–5 +/–
> Лапша про увеличение безопасности Лашпа таки обратное, тут https://www.opennet.dev/opennews/art.shtml?num=64541 в 9.74, Аноним (7), 15:35, 03/01/2026 конкретно построчно все расписано. > При уменьшении времени жизни сертификатов кратно возрастет нагрузка на инфраструктуру. Далее последуют требования к сообществу об увеличении финансирования. А что они должны кому-то делать это бесплатно? Вам провайдер повышает тарифы за ынтернет под соусом "увеличения" скорости передачи? "Элементарная двухходовка" именно в этом случае, чтобы увеличить прибыль им надо больше клиентов, а больше клиентов это ресурсов больше, ну вот и следствие повышения тарифов, чтобы купить ресурсы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

42. Сообщение от Аноним (9), 17-Янв-26, 00:13	+/–
> не зависит в цепочке ни от какого другого CA Прям чудеса! А ты попробуй в браузере тыкнуть по значку и посмотреть всю цепочку...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #58, #69

43. Сообщение от Аноним (18), 17-Янв-26, 00:36	+/–
С паролями смысл в том, что пользователь манал каждый месяц запоминать новый пароль, поэтому чем чаще он меняется, тем чаще пользователи записывают их на листочек и вешают на монитор, что отрицательно сказывается... бла-бла-бла, лень дальше писать. С сертами обратная ситуация. Их на листочек не запишешь. Чем дольше он действует, тем чаще его пихают в разные сервера, пересылают и так далее. А для безопасности лучше всего 1 сервер - 1 серт, который автоматически получается скриптом (сложно эту муйню программой назвать) и лежит в одном месте, и никуда не передается. Ведь если у тебя серт на 3 года, то не грех такое богатство и забэкапить... а потом бэкап куда-то залили... и понеслось. В целом-то и в ситуации с jabber.ru быстрее что-нибудь всплыло, если бы серт менялся каждую неделю, кто-нибудь да заметил, что сервак улетаеет в астрал во время получения серта. А так полгода сидели и в х...^w ус не дули.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #45, #46, #84, #117, #173

44. Сообщение от Аноним (18), 17-Янв-26, 00:40	+/–
> кому надо знает что для этого физически ничего никуда тыкать не надо. Это для красного словца в стиле холивуда было. > вероятнее всего вообще не злой умысел Пошли теории заговоров. Там же черным по белому было, что кто надо поудил инфу, а дальше уже не сильно актуально было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #88

45. Сообщение от Аноним (24), 17-Янв-26, 01:23	–3 +/–
> поэтому чем чаще он меняется, тем чаще пользователи записывают их на листочек и вешают на монитор да, да, да - не меняй пароль, но сохраняй в браузере (парольном менеджере), а как же! Может вы мне хотите еще доказать, что пароль в password.txt на компе надежней чем на листе бумаги? Или все так же "бла-бла-бла, лень дальше писать"?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

46. Сообщение от Аноним (24), 17-Янв-26, 01:26	–3 +/–
> тем чаще его пихают в разные сервера, пересылают и так далее. А пароль незаписанный на листочке бумаги, вы сколько раз вводите в форму входа? - Один? Он у вас сохранен в парольном менеджере? :) Потом вы задаетесь вопросом почему надо чаще менять пароли? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

47. Сообщение от Аноним (47), 17-Янв-26, 01:27	–5 +/–
IPv6 не просто так придуман.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #200

48. Сообщение от Аноним (24), 17-Янв-26, 01:28	–1 +/–
давай сразу для 127.0.0.1
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

50. Сообщение от Аноним (50), 17-Янв-26, 02:23	–2 +/–
Когда настанет чебурнет куча скрепных сайтов отрубятся из-за просрочки сертификатов. Нужен скрепный аналоговнетный аналог для хомяков.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #52, #149, #161

51. Сообщение от Джон Титор (ok), 17-Янв-26, 02:25	+/–
Прикольно выглядит. А как узнавать систему исчисления? Добавляя префикс 0x? Числом то можно и сейчас писать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #206

52. Сообщение от Джон Титор (ok), 17-Янв-26, 02:31    Скрыто ботом-модератором	+2 +/–
Тебе то какое дело?)) Как та собака которая бежит и пытается пролаять что больше её этот человек не интересует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

54. Сообщение от Аноним (24), 17-Янв-26, 02:48	–2 +/–
мне одному непонятна ситуация, с какого бодуна СА должен решать сколько жить сертификату? Он траст, а не диктатор политик безопасТности!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #57, #60, #63, #207

55. Сообщение от Аноним (55), 17-Янв-26, 02:50	+3 +/–
> Защищённое обращение к web-серверу по IP-адресу может быть полезно при взаимодействии с домашними устройствами что вы несете???????? на 192.168.1.1 ?????
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #80

57. Сообщение от Аноним (6), 17-Янв-26, 02:52	+1 +/–
А кто, если не издатель ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #139, #140

58. Сообщение от Аноним (58), 17-Янв-26, 03:01	–1 +/–
Попробовал, корневой летсенкрипт. Что ещё попробовать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #62

59. Сообщение от Аноним (58), 17-Янв-26, 03:06	+1 +/–
Это концептуально невозможно. Нельзя выдать валидный сертификат на локальный IP тому што у локальных адресов множество владельцев. Ты сможешь своим митмить мою локалку, а я твою своим. Смысл удостоверяющего центра делится на 0.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

60. Сообщение от Аноним (58), 17-Янв-26, 03:08	+/–
CA тебе ничего не обязан, не нравится сделай свой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #64, #76, #142, #199

62. Сообщение от Аноним (9), 17-Янв-26, 03:27	+2 +/–
> Что ещё попробовать? Попробовать говорить правду.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #153

63. Сообщение от Аноним (9), 17-Янв-26, 03:29	+1 +/–
> Он траст, а не диктатор политик безопасТности! Он диктатор политик безопасТности, а не траст.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #141

64. Сообщение от Аноним (9), 17-Янв-26, 03:32	+6 +/–
Некоторые пытались, только почему-то их серты или в сразу в банлист шли у браузеров, или не появлялись в списке разрешённых. Про угрозу MITM не надо, CF это делает и ничего, ей можно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #83, #159

66. Сообщение от morphe (?), 17-Янв-26, 03:41	+/–
FYI: rdns/ptr запись ты можешь поставить любую, оно так не работает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #105, #115, #184

67. Сообщение от Аноним (67), 17-Янв-26, 04:35	+1 +/–
Замкнутый круг какой-то - чтоб поменять настройки тплинка, надо на него зайти, а самоподписные сертификаты в браузере не принимаются. Значит надо выставить его голым задом в интернет, а для этого надо на него зайти, а зайти нельзя - сертификат в браузере не работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #114, #116, #155

69. Сообщение от Аноним (-), 17-Янв-26, 05:35	+1 +/–
Корневой там ISRG, чьим проекто и является LE https://en.wikipedia.org/wiki/Internet_Security_Research_Group
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

70. Сообщение от Аноним (70), 17-Янв-26, 06:00	+1 +/–
> 100 лет Не будут браузеры такое принимать https://www.opennet.dev/opennews/art.shtml?num=63069
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

71. Сообщение от Аноним (71), 17-Янв-26, 07:09	+/–
>6 дней До чего маразм дошёл. Раньше типичный сисадмин покупал сертификат на ГОДЫ и не парелся, ах какие были раньше времена!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #73, #85, #143, #144, #208

72. Сообщение от Аноним (-), 17-Янв-26, 07:34	–1 +/–
> максимальный срок действия сертификатов будет сокращён с 90 > до 64 дней, а 16 февраля 2028 года - до 45 дней. Астрологи провозгласили неделю отказов TLS/https. Количество сбоей и отказов по вине Let's Encrypt удвоилось.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #79, #170

73. Сообщение от Аноним (-), 17-Янв-26, 07:35    Скрыто ботом-модератором	+3 +/–
> До чего маразм дошёл. Раньше типичный сисадмин покупал сертификат на ГОДЫ > и не парелся, ах какие были раньше времена! А тут вот - предоставь справку что не верблюд. И почаще, почаще! А то вдруг ты уже в верблюда превратился.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

74. Сообщение от Аноним (-), 17-Янв-26, 07:36	–2 +/–
> Защищённое обращение к web-серверу по IP- > адресу может быть полезно при взаимодействии с домашними устройствами И как мне получить серт на 192.168.0.1? И главное - что мне помешает потом MITM'ать остальных 192.168.0.1? :)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #101

76. Сообщение от нах. (?), 17-Янв-26, 09:10	+2 +/–
> CA тебе ничего не обязан, не нравится сделай свой. только для него тебе понадобится свой интернет. Ищи поиском здесь "Честный Ахмед" (ну или сразу в багтрекере вреднозиллы). Вкратце: нет ТАКИХ денег и таких людей которые честным образом, а не подкупив CA/B, могли бы  "сделать свой". А подкупить не получится потому что они - честные и деньгов не берут! (А как так получилось что свои CA есть у совсем-совсем мутных ребят - не расскажут.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #177

77. Сообщение от нах. (?), 17-Янв-26, 09:13	+/–
Канешна. Просто отказываешься от использования нимодной нисавременной вредной ipv4 и каких-та там локальных адресов. Каждый умный утюг должен иметь public ip v6! (И сертификат! И записи в миллионе "CT". И еще много чего - бигдейта бездонные, а потом, глядишь, пригодится.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

78. Сообщение от Bob (??), 17-Янв-26, 09:15	–3 +/–
>запритить это удел отдельных стран, с особым путём >Хочешь а там белые списки, если мы про удалёный дотуп. не с публичного же wifi шастать. а на работе левых девайсов в контуре сети быть не должно - безопасность. если про локалку - то всё по старому, http
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #86

79. Сообщение от Аноним (79), 17-Янв-26, 09:19	–4 +/–
Ну если кто-то не осилил даже не автообновление, а, банально, мониторинг срока сертификата - то это неделя ССЗЬ получается
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #111

80. Сообщение от Аноним (80), 17-Янв-26, 09:21	+1 +/–
на 127.0.0.1
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

81. Сообщение от Bob (??), 17-Янв-26, 09:21	–1 +/–
какая "кратно" нагрузка? ты чем обкололся? хоть раз настраивал и мониторил автообновление сертификата? где меркантильность в халявном сертификате?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #122, #205

82. Сообщение от Bob (??), 17-Янв-26, 09:22	–1 +/–
дарёному коню в зубы не смотрят а ты возьми и сделай)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

83. Сообщение от Bob (??), 17-Янв-26, 09:24	–3 +/–
и было там 100500 уязвимостей, которые юзали даже школьники для скама)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

84. Сообщение от нах. (?), 17-Янв-26, 09:25	–1 +/–
> С сертами обратная ситуация. Их на листочек не запишешь. С ними та же самая ситуация. Пока не было "муйни которую [вредоносной] программой стесняются называть" - с ними обращались как с нормальными паролями. Кстати, и пароли - были. И вводились при рестарте сервера вручную, теми кому действительно было важно чтобы сертификат никуда не утек. А теперь вон все кучкой без паролей и иногда вовсе с доступом из интернета потому что ну ой так получилось. > Ведь если у тебя серт на 3 года, то не грех такое богатство и забэкапить... а потом бэкап > куда-то залили... тебе не кажется что тут уже не надо плакать о твоем ненужном и надо думать о том как бы это мягко намекнуть пользователям что их данные (возможно пароли и номера кредиток) достались каким-то очередным робинхлудам? Причем вот это - гораздо более вероятный сценарий, чем кто-то ухитрился соорудить полноценный mitm в ТВОЕЙ (уже нет) сети. > В целом-то и в ситуации с jabber.ru быстрее что-нибудь всплыло, hsts, pkp, не, не слышал. > что сервак улетаеет в астрал во время получения серта. и даже технологии подмены не понял (не во время получения ИМ сертификата. Во время получения тем, другим васяном - и эти времена вовсе не связаны) Потому что ничего не хочешь слышать и знать кроме телевизора, откуда умные дяди вещают про бебебебезопастность баранам. И да, недели вполне достаточно чтоб набрать на тебя материальчика для статьи за изменку. Тем более что НИЧЕГО не изменилось и можемпавтарить в любую секунду.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

85. Сообщение от Bob (??), 17-Янв-26, 09:26	–4 +/–
а сейчас автопродление Бесплатного сертификата настроил и всё)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #123, #124

86. Сообщение от нах. (?), 17-Янв-26, 09:29	+5 +/–
>>запритить > это удел отдельных стран, с особым путём разьве использование _действительно_ проверяемых сертификатов - запретили в отдельных, а не в "цивилизованных"? > если про локалку - то всё по старому, http половина веб-апи УЖЕ не работают, но васян все еще верует что ему дозволят. И повторяет бредни про отдельные страны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #156

87. Сообщение от Аноним (87), 17-Янв-26, 09:35	+3 +/–
Сертификат от барина на 6 дней! Йеее, всегда мечтал!..
Ответить | Правка | Наверх | Cообщить модератору

88. Сообщение от нах. (?), 17-Янв-26, 09:36	+/–
>> вероятнее всего вообще не злой умысел > Пошли теории заговоров. нет, про теорию заговоров бормочешь ты. "Кто надо", "знает". А я просто вижу что через мой порт идет чужой траффик. И даже примерно понимаю кто и где налажал (видимо сменилось поколение инженеров, и новые ничего не понимают в том как это работало - это механизм наоборот защиты от перехвата, перевернутый не в ту сторону из-за традиционного для бывше-белых стран процесса утраты знаний и мотивации низовым персоналом). Попытки общаться на эту тему с техподдержкой - привели к таким результатам, что больше я этого делать не рискну (там не только голова в этом самом месте, но и руки из оттуда же). Все равно этот траффик не учитывается биллингом. > Там же черным по белому было, что кто надо поудил инфу, а нет. Там всего лишь кто-то выпустил левый серт и некоторое время его предъявлял. Я тоже так могу вот для тех неудачников сделать. Про "кто надо" - это твои домыслы, кто надо тебе ничего такого не сообщал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

89. Сообщение от нах. (?), 17-Янв-26, 09:39	+1 +/–
> Ну, в принципе, логично. IP проще сменить, чем домен. Да и не > всегда он по твоей воле меняется. поэтому васян перехвативший твой ip - тут же может выпустить СВОЙ сертификат и никто ничего не заметит. И пока ты проснешься и в панике побежишь везде менять адрес - твой траффик уедет хорошим ребятам живущим в зеленом лес... где-то на побережье синего морька.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #100

91. Сообщение от Аноним (91), 17-Янв-26, 09:49	+/–
для большей безопасности сделать выдачу сертификатов курьерами и максимум на 24 часа.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #130

92. Сообщение от мелстрой (?), 17-Янв-26, 10:31	+/–
Разовые пароли из волшебного локлаьного KeePass в 30 рандомнвх юникод символов довольно непросто массово скомпрометировать без похищения и расшифровки самой базы keepass
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #138

96. Сообщение от pashev.ru (?), 17-Янв-26, 11:21	–2 +/–
Ну введи ты на одну команду больше и сделай второй сертификат в цепочке, который уже не будет самоподписанным.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #127

99. Сообщение от ........... (?), 17-Янв-26, 11:28	+1 +/–
Я из деревни, о чем сей интересная драма, подскажите
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

100. Сообщение от Аноним (100), 17-Янв-26, 11:33	–1 +/–
> поэтому васян перехвативший твой ip - тут же может выпустить СВОЙ сертификат Не сможет, по крайней мере не "тут же". Требуется доступ к твоему аккаунту (приватный ключ на сервере, запрашивающий сертификаты) на время действия предыдущего сертификата.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89 Ответы: #120

101. Сообщение от Аноним (101), 17-Янв-26, 11:40	+/–
Они не выдают сертификаты на локальные адреса
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #108, #131

105. Сообщение от OpenEcho (?), 17-Янв-26, 12:11	+1 +/–
Я как то давно по приколу, для экспиремента на свободный статик ИПшник запросил провайдера поставить PTR : me.google.com ребята на той сторне тоже оказались с юмором и выставили: me.google.com.home.arpa
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

106. Сообщение от Аноним (106), 17-Янв-26, 12:24	+3 +/–
> Это надо понять и признать, что сейчас интернет быстро расширяется и всё больше > на него завязано, так, что всё логично и вопросом безопасности стоит задаться: > - https://habr.com/ru/articles/968218/ > - https://opennet.ru/56830-tls Очень безопасно получается когда у сервака стух сертификат или что-то пошло не так при вадейте и пользователи попасть на него не могут. Вот только нафиг такую безопасность и таких безопасТников, потому что саботаж и куча точек отказа - очень так себе радость. С такими друзьями - никаких врагов не надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

107. Сообщение от Аноним (106), 17-Янв-26, 12:25	+2 +/–
> Ознакомьтесь с историей создания: Ничего не говорит о effective ruleset и что там за серые кардиналы за этой схемой стоят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

108. Сообщение от Аноним (108), 17-Янв-26, 12:27	–1 +/–
Они не знают какие у меня адреса используются в качестве локальных
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101 Ответы: #112

109. Сообщение от Аноним (108), 17-Янв-26, 12:28	+1 +/–
>для шифрованных соединений между бэкендами во внутренней инфраструктуре; Ну да, только они предлагают обеспечить доступ из интернета к этой инфраструктуре для того чтобы выпускать эти сертификаты. И не разово, а постоянно.
Ответить | Правка | Наверх | Cообщить модератору

110. Сообщение от OpenEcho (?), 17-Янв-26, 12:29	+1 +/–
> Лапша про увеличение безопасности, ИМХО это просто прикрытие меркантильного интереса. Навряд ли им нужны бабки. Им нужна дата, идентифицированная, с аптаймом
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

111. Сообщение от Аноним (-), 17-Янв-26, 12:31	+1 +/–
> Ну если кто-то не осилил даже не автообновление, а, банально, мониторинг > срока сертификата - то это неделя ССЗЬ получается Как показал натурный эксперимент, если в системе есть чему ломаться - оно будет ломаться. Где-то боты не отрабатывают. Где-то сервак некорректно подхватывает серт. Где-то еще какие-то барабашки. А суммарно это все стало хлипкое, хрупкое, уверенности что завтра на вон тот сайт попадешь уже в общем то нет - ибо там TLS Error валится через раз, "но вы пока еще можете оверрайденуть этот вой", и тому подобный бред. Таким манером в интернете останется полторы корпы и хостинга. У остальных ресурсов не хватит все эти фекалии близко к реальному времени разгребать. И будет вам интернет в стиле первого канала. Или таки скорее FoxNews, и кстати если кто удумает сильно бузить, то к нему приплывет - авианосец :). И на нем потестируют какое там еще "неизвестное оружие" вызывающее блевоту кровью. Вам же не нравилась демократия? Она и умерла. Теперь будет вот так.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79 Ответы: #125

112. Сообщение от Аноним (101), 17-Янв-26, 12:42	+/–
А им это интересно знать? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108

114. Сообщение от Аноним (114), 17-Янв-26, 12:58	+/–
> надо на него зайти, а зайти нельзя так это ж хорошо! хакер не сможет поменять настройки туполинка! Б — безопастность!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

115. Сообщение от нах. (?), 17-Янв-26, 13:00	+/–
оно ИМЕННО так и работает. Если ты МОЖЕШЬ что-то записать в реверсной зоне (не обязательно и вряд ли желательно трогать именно ptr) - значит эта зона ТОЧНО принадлежит тебе (ну или уже пофиг в общем кому принадлежала, ты ей и так уже рулишь). И тебе можно выдать сертификат на айпишник внутри этой зоны. Именно так работает выдача обычных сертификатов LE с dns-01. Но есть нюанс, ага - в реверсных зонах бывают конфигурации чуть посложнее общей зоны для подсети. И вайбкодерки вряд ли осилят надежно и безопасно проверить что тут все принадлежит тому кому надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #197, #217

116. Сообщение от нах. (?), 17-Янв-26, 13:02	+/–
> Значит надо выставить его голым задом в интернет "и вы сами удивитесь как легко и просто все у вас получилось"(c) идея шиткрипты именно в том чтобы встроить сертбота в каждый тплинк. Он даже спрашивать тебя не будет, нужен тебе этот сертификат или нуего - уважаемой ассоциации виднее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

117. Сообщение от Аноним (117), 17-Янв-26, 13:02	+/–
Серт - это точка доверия, и менять точку доверия каждый день - бредятина, получается по сути талон на доверие от LE. Сервис должен иметь свой собственный серт, подписанный твоим другим мастер-ключом, который уже в свою очередь заверен LE чисто потому что самоподписанные юзерские почему-то менее модно стало, хотя по факту разницы никакой - что тут перепроверить надо, какие домены хочет самоподписюн контролировать, что в LE через пару дней непонятно кому может домен перейти.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #121

120. Сообщение от нах. (?), 17-Янв-26, 13:06	+1 +/–
нет. Мне совершенно не нужен никакой ключ кроме моего собственного, только что сгенеренного.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100

121. Сообщение от нах. (?), 17-Янв-26, 13:13	+3 +/–
оно примерно так и есть - у сервиса сертификат и ключ свой, но есть нюанс - без штампа "обобрено правильными пацанами" браузер откажется его принимать, и даже если заставишь - доверяет неполностью. А со штампом принимает любую подделку (ДАЖЕ если сказано этого не делать). Правильные ж пацаны не могут врать или ошибаться, нет же ж?! Причем раньше МОЖНО было обойтись этой проверкой один раз при первом установлении соединения (когда, при желании, можно и дополнительные проверки провести по другим каналам, ну или просто надеяться что ты в достаточной степени в надежном месте и к тому же никто не готовился именно это твое соединение именно сейчас перехватить) - т.е. как _дополнительной_ точкой контроля. А теперь хренушки. Про EV, когда НА САМОМ деле проверяли, кому принадлежит сервер - и тем более велено забыть и не вспоминать даже. Почему? Патамушта бебебебезопастность!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117

122. Сообщение от Аноним (117), 17-Янв-26, 13:14	+/–
В том чтобы тебя можно было прикручивать к сертам, которые потом даже CRL отзывать не понадобится - сами протухнут. Безопастность никак не прибавилась, даже наоборот, твоя точка доверия меняется постоянно, талон на доверие выходит. А вот с точки зрения CA получается наоборот - можно выписывать хоть любителям на гитхаб забэкапить ключ, хоть Саддаму Хусейну, всё равно завтра он прийдёт и мы ему уже не выпишем гы гы; им просто не нужно будет делать работу на проверку того, выписывают ли они настоящему владельцу ресурса (будь то домен или голый ipv6). И полицаи только одобрительно кивают - тебя то, шиза который ключ запароленным на сервере держит и вообще выписывает для серверов саб-ключи, а мастер-ключ подписанный LE на забетонированном ноутбуке в океане, компроментировать больше не потребуется. Достаточно в LE на очередь за сертом первее тебя встать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #128, #146

123. Сообщение от Аноним (117), 17-Янв-26, 13:18	+2 +/–
curl letsencrypt/your/ass.bash | sudo bash -
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

124. Сообщение от Аноним (117), 17-Янв-26, 13:20	+2 +/–
Ты переносишь доверие с криптографии на доверие тому, что LE умеют писать скрипты для пересоздания сертификата.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

125. Сообщение от нах. (?), 17-Янв-26, 13:23	+2 +/–
> Таким манером в интернете останется полторы корпы и хостинга. тоже нет. Напомнить как у мразилы (почетного члена этой самой мафии CA/B, из которой кстати и вылупились оба зицпредседателя летсшиткрипты) ДВА раза подряд протухал intermediate? И КАЖДЫЙ раз - круглые глаза и ктобымогподумать-было ли чем? Просто таким манером ты привыкнешь неглядя отвечать ok, continue на любой просроченный сертификат - потому что он просрачиваться будет у всех, у корпов, у васянов, у тебя самого. > и кстати если кто удумает сильно бузить, то к нему приплывет - авианосец чего-то к аятоллам плыл-плыл - не доплыл. Авианосцы, как показала практика, приплывают разьве что в соседнюю страну, как назло, в сто раз меньшую и не готовую защищаться. Вот ты от криптомафии - защититься действительно никак не можешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111 Ответы: #132

126. Сообщение от нах. (?), 17-Янв-26, 13:24	+/–
и логгировать эту сессию в бездонной CT, имянно. А то вдруг лет через десять окажется что то что было можно, с вчерашнего дня нельзя и ты виноват уж тем что хочется укушать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #136

127. Сообщение от нах. (?), 17-Янв-26, 13:36	–1 +/–
Молодец - теперь вместо высосанной из пальца мафией CA/B - у тебя _реальная_ угроза безопасности. Вот что бывает если "вводить на одну команду больше" не задумываясь о том чем это чревато. (типичный уровень местных кекспертов) Причем хорошо еще когда оно на твоем локалхосте только, но вы ж такие вот ничтоже сумняшеся и другим это раздадите, забыв предупредить о возможных последствиях. А когда браузеры начнут таки выводить пустое белое ничего без кнопки продолжить на сертификаты валидностью больше трех дней - вы еще и навернете поверх этого самодельную лапшеобвязку, добровольно и с песней, и все рутовые ключи выложите без паролей кучкой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96

128. Сообщение от нах. (?), 17-Янв-26, 13:44	+/–
> Достаточно в LE на очередь за сертом первее тебя встать. даже этого не нужно, достаточно попросить этот серт когда он ИМ понадобился и они готовы перехватить траффик. (т.е. то что ты свой успел получить вовремя и первым - ни от чего не защитит)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122

130. Сообщение от Аноним (-), 17-Янв-26, 13:58	+/–
> для большей безопасности сделать выдачу сертификатов курьерами и максимум на 24 часа. Экспресс-доставка при помощи протокола определенного в RFC 1149 (IPoAC).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

131. Сообщение от Аноним (-), 17-Янв-26, 13:59	+/–
> Они не выдают сертификаты на локальные адреса Ну зашибись, браузеры будут орать на вебморды девайсов. Вот удобно то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101 Ответы: #134, #195

132. Сообщение от Аноним (-), 17-Янв-26, 14:03	+1 +/–
> что он просрачиваться будет у всех, у корпов, у васянов, у тебя самого. Да оно уже. И чуть часы не так идут - тоже факапища везде. А с вон тем факапищ станет в 2 раза чаще. Вот реально мразилы. > чего-то к аятоллам плыл-плыл - не доплыл. Им в прошлый раз витамины группы B-2 доставили. Они кажется еще помнят что за нафиг и поверили на слово что - плывут - и видимо по хорошему угомонились. Грят, уже облюбовывают место на рублевке :)) > Авианосцы, как показала практика, приплывают разьве что в соседнюю страну, > как назло, в сто раз меньшую и не готовую защищаться. В венесуэлу приплыли же. А что до неготовности защищаться - буквально за два дня до - СамДуро популярно объяснил как именно он будет с кем воевать, и вообще. Но, кажется, этот план потерпел неудачу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125 Ответы: #180, #181

133. Сообщение от Аноним (-), 17-Янв-26, 14:06	+2 +/–
> SNAP-талоны на однократное посещение сайта. Одобрение компартии, чего уж там. И запись в очередь на год вперед. Верной дорогой...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

134. Сообщение от Аноним (101), 17-Янв-26, 14:19	+/–
Локальные адреса прописаны в rfc, их список известен. Кто мешает браузерам это учитывать? Да, и потом, не орать, а предупреждать. Это другое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #131 Ответы: #162

135. Сообщение от Аноним (135), 17-Янв-26, 14:51	+/–
А предупреждение прилагается? 6 дней и автор спокойно исчезает с радаров.
Ответить | Правка | Наверх | Cообщить модератору

136. Сообщение от Аноним (24), 17-Янв-26, 15:35	+/–
не вижу проблемы, поясни.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #126 Ответы: #165

138. Сообщение от Аноним (24), 17-Янв-26, 15:39	–1 +/–
а пароль от того самого KeePass такой же рандомный? или все же храните на рабочем столе в файле pass.txt?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92 Ответы: #216

139. Сообщение от Аноним (24), 17-Янв-26, 15:48	+/–
какой издатель? алё, вы там донцовой перечитались? Он заверяющий орган издатель это publisher, а signer.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

140. Сообщение от Аноним (24), 17-Янв-26, 15:49	+/–
может у вас там нотариус при купле-продаже заверяет установленную самим же цену покупки?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

141. Сообщение от Аноним (24), 17-Янв-26, 15:53	+/–
У вас нотариус при заверении купли-продажи - свою установленную цену заверяет или ту, которую указали вы? Вы же в CSR пихаете срок сертификата, с какого бодуна CA должен его менять и указывать свой? Даже если срок в CSR больше срока действия самого траста, какое нах дело, какой там срок у клиента?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #191

142. Сообщение от Аноним (24), 17-Янв-26, 15:59    Скрыто ботом-модератором	+/–
> не нравится сделай свой. так и делаю, и тебе советую прислушаться к своему же совету, а то звучит как пи*больство!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

143. Сообщение от Аноним (24), 17-Янв-26, 16:01	+/–
> Раньше типичный сисадмин ага, когда ибешников не было, сисадмины д"артаньянами были - "Казак-донец и швец, и жнец, и на дуде игрец, и в хоре певец, и в бою молодец".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

144. Сообщение от Аноним (24), 17-Янв-26, 16:03	+/–
> типичный сисадмин хотя ситуация с типичными ибешниками ярко выражена в одной фразе "зачем часто менять пароль" - лакмус на ибешника.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #151

145. Сообщение от Аноним (145), 17-Янв-26, 16:18	+/–
> aws, google, ovh и другие ребята решили, что катлету делить с мухами вроде комодо это неправильно Только почему-то инструмент для отгона мух от котлет превращается в фекалию, в результате владельцы котлет снова вынуждены нести их мухам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #164

146. Сообщение от Аноним (24), 17-Янв-26, 16:20	+/–
> Безопастность никак не прибавилась, даже наоборот, твоя точка доверия меняется постоянно, талон на доверие выходит. в смысле, "точка доверия меняется постоянно"? Если я LE отправлю n-ое количество CSR, от этого у меня точка доверия изменится? Частая смена сертификата как и обычного пароля, необходима для того, чтобы минимизировать риск утечки. Оценить этот риск и сказать с какой вероятностью у вас утечет сертификат или пароль можно только очень грубой оценкой - 1/2, а когда эта утечка произойдет знает только - Бог, если уже не произошла.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122

147. Сообщение от Аноним (145), 17-Янв-26, 16:25	+/–
Ну, давай, поделись - как ты определил, что пароль через месяц становится скомпрометированным.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #150

148. Сообщение от Аноним (145), 17-Янв-26, 16:32	+/–
Лучше нормальный сертификат через госуслуги, чем вот это вот. Там хотя бы можно найти тот мешок с мясом, у которого тётя из МФЦ проверила паспорт, прежде чем его на эти самые госуслуги пустить. А за всей инфраструктурой смотрит товарищ майор, он же и Самый Главный Ключ держит у себя в сейфе в кабинете под охраной.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

149. Сообщение от Аноним (145), 17-Янв-26, 16:35	+/–
То есть, про серт Минцифры ты не слышал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

150. Сообщение от Аноним (24), 17-Янв-26, 16:44	–1 +/–
> Ну, давай, поделись - как ты определил, что пароль через месяц становится скомпрометированным. Включай логику, в том то и дело, ты это оценить не можешь, ты даже на текущий момент времени не можешь сказать, утек у тебя текущий пароль или нет, а вот после смены, вот щас именно, ты уверенно как минимум до первого его использования можешь себе гарантировать, что он не утек. Определение такое: После первого использования пароля (именно использования, это когда вы его по сети передаете через поля формы входа в какой-то сервис) этот пароль считается в БУКВАЛЬНОМ смысле утекшим!!! Да, да, как только вы его ввели в форму входа и послали по сети - он утек!!!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #147 Ответы: #154

151. Сообщение от Аноним (145), 17-Янв-26, 16:47	+/–
А в чём здесь вообще вопрос? Очевидно же - чтобы офисный планктон задолбался сочинять сложные пароли. Ну, и ещё чтобы на опеннете с гордостью писать каменты "А я знаю, что надо пароль часто менять".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #144 Ответы: #152

152. Сообщение от Аноним (24), 17-Янв-26, 17:03	–1 +/–
> чтобы офисный планктон задолбался сочинять сложные пароли. С какого бодуна планктон должен сочинять пароли? На в ходе в контору получает от аппаратика печатающий ежедневные одноразовые пароли, в чем проблема? Хотите сказать, что пароль это что-то личное и никто в конторе его знать не должен, и он должен сочиняться именно владельцем? Так я вас успокою, доступ к той же конторской почте это не доступ к личной почте, вся информация в ней принадлежит компании, ничего вашего личного там нет и пароль и политику безопасТности вам будет диктовать именно контора. Защищать конторскую информацию должна контора, это не ваша задача. > Ну, и ещё чтобы на опеннете с гордостью писать каменты "А я знаю, что надо пароль часто менять". А вам лишь бы не по существу ответить, привели бы свой аргумент. Вон аноним там один мне ссылку на NIST хоть скинул, а вы получаетесь очередной пи*бол.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #151 Ответы: #171

153. Сообщение от Аноним (24), 17-Янв-26, 17:06	+/–
> Попробовать говорить правду. В том то и дело, что он говорит "правду", ибо она у всех своя, а надо говорить - истину!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

154. Сообщение от Аноним (145), 17-Янв-26, 17:10	+1 +/–
> как только вы его ввели в форму входа и послали по сети - он утек!!! Неверно. Пароль утёк, как только его ввели в поля "новый пароль" и "подтверждение нового пароля" в форме замены пароля. Следовательно, смена пароля не имеет смысла.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #150 Ответы: #160, #163

155. Сообщение от Dmitry (??), 17-Янв-26, 17:13	–1 +/–
>самоподписные сертификаты в браузере не принимаются нужно пользоваться браузером который принимает. За основу такого браузера можно взять любой опенсорсный
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #166

156. Сообщение от Энтомолог_русолог (ok), 17-Янв-26, 17:35	–5 +/–
> разьве использование _действительно_ проверяемых сертификатов - запретили в отдельных, а не в "цивилизованных"? И что же это за сертификаты, а главное в каких же странах их якобы запретили, лжец?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

157. Сообщение от Энтомолог_русолог (ok), 17-Янв-26, 17:37	+/–
Что тебе мешает использовать доменные имена и dns-challenge?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

158. Сообщение от Энтомолог_русолог (ok), 17-Янв-26, 17:38	–2 +/–
Когда русский пищит об окне овертона становится ясно, что аргументов у него нет, как всегда
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #186

159. Сообщение от Энтомолог_русолог (ok), 17-Янв-26, 17:40	–2 +/–
Постоянное вранье Ну сколько можно? Есть куча CA, в том числе есть те которые используют ACME и дают их бесплатно используя те же клиенты, например ZeroSSL И никто не в каких банлистах Что же ты врешь постоянно? Ты не можешь жить без вранья?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #172

160. Сообщение от Аноним (24), 17-Янв-26, 17:43	+/–
> Следовательно, смена пароля не имеет смысла. Наивный вывод, такой же как зачем менять замки если их вы покупаете с ключами которые произвели на том же заводе. В следствие вашего "смена пароля не имеет смысла" - это использование "прямого" парольного механизма - не имеет смысла. Покупка замка с ключами - не имеет смысла, куда там его частая смена. Копайте глубже, это самообоман по выше указанному определению утечки пароля. А что делать? Надо использовать другие механизмы, крипта на публичном ключе и челендж-респонс схемы и т.д. Но это все не отменяет того факта пароля (как ключевой фразы или разделенного секрета) и его частой смены. пс: доказательство с нулевым разглашением, на досуг.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #154

161. Сообщение от Dmitry (??), 17-Янв-26, 17:46	+/–
такие браузеры существуют. а кто такой браузер будет рекламировать хомякам?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

162. Сообщение от Аноним (9), 17-Янв-26, 17:49	+/–
Кто мешает браузерам игнорировать эти rfc? Если бы браузеры делались по стандартам, они бы не ломали каждый месяц html/css/js.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #134 Ответы: #169

163. Сообщение от Аноним (24), 17-Янв-26, 17:52	+/–
> Неверно. критерии совершенной секретности по Шеннону к прочтению.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #154

164. Сообщение от Аноним (164), 17-Янв-26, 18:43	+/–
ЛЕ не даёт инструменты, даёт API. На основе этого вам есть с десяток инструментов. Свою реализацию на баше+кореутилс можно написать за 40 если хочется. Тут одни виндузятники сидят штoле?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #145

165. Сообщение от нах. (?), 17-Янв-26, 18:43	–1 +/–
Теперь CT серверы знают как минимум что кто-то к нам зашел. И хранят. В бездонных логах. (они вообще как-то дофига лишнего хотят знать даже в текущей ситуации. причем совершенно неясно, нахрена оно - им.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136 Ответы: #168

166. Сообщение от нах. (?), 17-Янв-26, 18:45	–1 +/–
Ну взяли. А дальше что делать будииим? Может ты кодить умеешь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155 Ответы: #175

168. Сообщение от Аноним (24), 17-Янв-26, 18:54	+1 +/–
Ну и OCSP знал, а ты ведь доверяешь им по определению это же во владениях CA.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #165 Ответы: #192

169. Сообщение от Аноним (101), 17-Янв-26, 19:12	–1 +/–
Ну как минимум никто не мешает анонимам заниматься демагогией на opennet. Это ещё круче
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #162

170. Сообщение от Dmitry (??), 17-Янв-26, 19:46	+/–
основной баг в безопасности не в TLS/https а DNS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

171. Сообщение от нах. (?), 17-Янв-26, 20:03	+/–
> На в ходе в контору получает от аппаратика печатающий ежедневные одноразовые пароли теперь пароль знает тот кто настраивал аппаратик, тот кто подглядел полученное, и возможно еще и cpaная кошка. А запомнить его невозможно потому что он на каждом входе новый. Безусловно это лудше и надежней просто запомненного не самого примитивного пароля. > Хотите сказать, что пароль это что-то личное и никто в конторе его знать не должен, и он > должен сочиняться именно владельцем? да, потому что учетка у нас - тоже личная, с именем и фамилием, а вовсе не "6ляха номер пять" и утечку потом повесят - именно на владельца. И хрен ты чего докажешь. Вот же ж ибшник стоит с папочкой,в ней все логи подшиты. Твоя учетка, ты значит и заходил. И именно по этой причине все нормальные системы (не будем показывать пальцем) не позволяют незаметно для пользователя изменить его пароль. А при правильных настройках еще и параноят если пароль изменяется слишком часто. Чтобы шибкоумному ибшнику этим в голову заниматься не пришло (а пришло так чтоб обломался). > Защищать конторскую информацию должна контора, это не ваша задача. тогда контора и за утечки этой информации должна отвечать. Она ж не защитила. А ты вроде как и не обязан. Но она этого делать вовсе не собирается (а ты таки обязан и тебя заставят это подписать), поэтому если занесет в такую - БЕГИТЕ оттуда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #152 Ответы: #178, #179

172. Сообщение от Аноним (173), 17-Янв-26, 20:18	+/–
а вот врать не надо. кроме ЛЕ никто не раздает серификаты для зоны .ru
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #159 Ответы: #174

173. Сообщение от Аноним (173), 17-Янв-26, 20:31	+/–
Какая то странная логика про бекапы. Даи про один сервер тоже странная.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

174. Сообщение от Аноним (173), 17-Янв-26, 20:34	–1 +/–
November 30, 2020 at 6:38 PM Currently, SSL certificates of any type cannot be issued for the following country code top-level domains (TLDs): ISO Code    Country Name    TLD BY    Belarus    .by CU    Cuba    .cu KP    Democratic People's Republic of Korea (DPRK)    .kp IR    Iran    .ir LY    Libya    .ly MM    Myanmar    .mm RU    Russia    .ru RU    Russia / Soviet Union    .su SD    Sudan    .sd SS    South Sudan    .ss SY    Syria    .sy VE    Venezuela    .ve YE    Yemen     .ye These TLDs are restricted by US & EU Export restriction laws, as well as internal corporate guidelines. https://help.zerossl.com/hc/en-us/articles/360060119833-Rest...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #172

175. Сообщение от Dmitry (??), 17-Янв-26, 22:49	+1 +/–
пока всё работает, зачем кодить? если авторы браузеров будут хулиганить, и понадобится http, то буду кодить. если небе будет очень нужно, могу за деньги сделать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #166 Ответы: #193

177. Сообщение от Энтомолог_русолог (ok), 17-Янв-26, 22:59	–2 +/–
Кого подкупили ZeroSSL? У тебя есть доказательства подкупа? Или обычное вранье и выдумки, да теории заговора?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76 Ответы: #185

178. Сообщение от Аноним (24), 17-Янв-26, 23:43	+/–
> теперь пароль знает тот кто настраивал аппаратик, тот кто подглядел полученное, и возможно еще и cpaная кошка. ну удачи сраной кошке сделать вход в корпоративный имейл по аккаунту вася пупкин из своего лотка > А запомнить его невозможно потому что он на каждом входе новый. Я тебе не за запоминания плачу > Безусловно это лудше и надежней просто запомненного не самого примитивного пароля. Условно, светловолосой секретарше доверять, что-либо запоминать - крайне не практично, на то и секретарша - должна записывать. > да, потому что учетка у нас - тоже личная, с именем и фамилием, а вовсе не "6ляха номер пять" и утечку потом повесят - именно на владельца. А ну да, я забыл, идеология - стрелочник во всем виноват, не ибешники, а блондинко секретутка не в ту форму ввела пароль. > И хрен ты чего докажешь. Вот же ж ибшник стоит с папочкой,в ней все логи подшиты. Твоя учетка, ты значит и заходил. Я захожу со своего рабочего места!!! Если кто-то и знает пароль, то вопрос как он не с моего места должен получить доступ? Криво ибешники политику безопасТности прикрутили? Или уборщица села за мое рабочее место и хакнула контору? Кому и что я после этого должен доказывать? Собрался в голове хранить и во сне его проговаривать, чтоб каждая простигосподи услышала? Ты от этого застрахован? > И именно по этой причине все нормальные системы (не будем показывать пальцем) не позволяют незаметно для пользователя изменить его пароль. В таких системах нет понятие твой или мой пароль, там есть понятие доступа, вам дают доступ к конкретной части системы с конкретного контролируемого места и выдают так называемые креды доступа, думаете секретутка разберется как прошивать ключи в смарткарту? > тогда контора и за утечки этой информации должна отвечать. А кто отвечает, по вашему? А все остальное это тупо нарушение сотрудником мер безопасности. Если мой пароль от системы записан на листке бумаги и не выходит за пределы моего рабочего места, я что ли должен за его утечку отвечать? Если выданным мне аккаунтом доступа можно заходить не только с моего рабочего места - я что ли должен нести ответственность за утечку? Мне за это не платят, спасибо не надо делать из меня козла отпущения, и дурак тот кто под такими условиями в контракте подписывается. > Она ж не защитила. А ты вроде как и не обязан. С какого? Это в контракте прописано? Может в трудовом кодексе? Утечка это следствие нарушения политик информационной безопасТности. И ответственность за все это несут по современным меркам - ибешники. Щас нынче модно спрашивать, а у вас в иб департаменте есть ред-тим :))))))) > Но она этого делать вовсе не собирается (а ты таки обязан и тебя заставят это подписать), поэтому если занесет в такую - БЕГИТЕ оттуда. Все верно, дураком надо быть, чтобы под таким подписываться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #171

179. Сообщение от Аноним (24), 17-Янв-26, 23:53	+/–
> теперь пароль знает тот кто настраивал аппаратик а шо со смарт-картой не тоже самое? может фингерпринт надежнее? :)) как по мне нет никакой разницы между выше перечисленным и паролем, записанным на листке бумаги. На в ходе в контору получаешь бейджик со смарт-картой, вот ваш ключ, и никаких запоминаний. Но даже в таком случае, ключам свойственно меняться, ибо ничто не мешает сделать дубликаты таких ключей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #171 Ответы: #190

180. Сообщение от Аноним (24), 17-Янв-26, 23:56	+/–
> Грят, уже облюбовывают место на рублевке :)) ток этот трюк с сирийцем не прохлял, уж ценный кадр для кремля. А МаДурова тупо слили, как обычно это делал совок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #132

181. Сообщение от Аноним (24), 17-Янв-26, 23:57	+/–
вон даже жирик этот сценарий ванговал ведь :))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #132

184. Сообщение от _ (??), 18-Янв-26, 01:34	+/–
> FYI: rdns/ptr запись ты можешь поставить любую, оно так не работает Ты понятия не имеешь как оно работает ;-р :-) ".. да кто-ж ему дастЪ?!"(С)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

185. Сообщение от Аноним (173), 18-Янв-26, 05:29	+1 +/–
Месье вобще не понял про что ему написали. А еще на тех форуме сидит, нда, беда...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #177

186. Сообщение от _ (??), 18-Янв-26, 06:24	+1 +/–
Какая жопаболь! Еакая жопаболь! Усраина - Россея ... ну ты в курсе :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #158

188. Сообщение от Аноним (188), 18-Янв-26, 08:50	+/–
>Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом Нужно уточнять, каким именно сообществом: United States Intelligence Community.
Ответить | Правка | Наверх | Cообщить модератору

189. Сообщение от Anonymouse (?), 18-Янв-26, 15:18	–3 +/–
TLS и CA-серты - бред, если нужно шифрование, то уже давно есть TOR, I2P, freenet и т.д. Сертификатов, во всяком случае выданных неким центром, там нет, тем не менее они вполне работают с шифрованием
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #210

190. Сообщение от нах. (?), 18-Янв-26, 23:44	+/–
> а шо со смарт-картой не тоже самое? нет, современную смарткарту не получится просто так скопировать, если она не от совсем уж китайца. Но обычно это _второй_ фактор - пароль вводить все равно тоже надо. Именно на случай если карта вместе с пином (ДА, блжд, еще и пин дожен быть у тех кто все делает по уму а не как обычно у местных экспертов, и этот пин ТОЖЕ не должен знать никто кроме текущего юзера этой карты) попала к кому-то не тому (например ты не пришел, или до твоего прихода - а карта-то числится за тобой).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #179 Ответы: #212, #213

191. Сообщение от нах. (?), 18-Янв-26, 23:51	+/–
> У вас нотариус при заверении купли-продажи - свою установленную цену заверяет или ту, > которую указали вы? он откажется тебе заверять договор с сильно необычной ценой. > Вы же в CSR пихаете срок сертификата, с какого бодуна CA должен его менять и указывать > свой? и тут мы внезапно открываем для себя э... особенности (?) работы openssl-based ca ;-) Впрочем, у microsoft и такого, кажется, нет. Но проблема, собственно, не в CA (CA пока еще можно было бы и другой найти), проблема в браузере, который выведет теперь пустую белую страницу с неведомой фигней вместо твоего сайта и без кнопки "продолжить".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #141 Ответы: #211

192. Сообщение от нах. (?), 18-Янв-26, 23:54	+/–
ну а для чего все использовали stapling, по твоему? (ну и да, очередная троянская технология, и от той же мафии - видите ли, среди пары гигабайт загружаемых каждым из трех входящих в мафию браузеров после запуска - никак не умещались crl'ы)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #168 Ответы: #209

193. Сообщение от нах. (?), 19-Янв-26, 00:01	+/–
неее, дарагой, на слово тут не верят. Чтоб за деньги сделать - сперва подтверждение квалификации требуется. Давай ты для начала покажешь свои патчи, возвращающие поддержку pkp в firefox, например (ну то есть в nss вероятно, а уж потом в браузер). Это, если что - куда проще чем будет вернуть полноценную работу self-signed (да даже и неполноценную, ту которая сейчас, с кучей там играем тут рыбу заворачивали и на тебе пустое место и сам гадай что тут не так)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #175 Ответы: #218

194. Сообщение от _kp (ok), 19-Янв-26, 01:11	+/–
сертификаты свои, Вы. можете сделать почти какой угодно, но браузеры будут всё. равно ругаться, ибо у них стандарт такой, что сертификат безопасный=купленный. Частный случай - сертификат доставшийся любым способом от конторы благословленной торговать сертификатами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #204

195. Сообщение от _kp (ok), 19-Янв-26, 01:18	+/–
>>будут орать на вебморды девайсов А Вы проверяли? На локальные не ругаются браузеры. Вот если через интернет полезете, тогда будут ругаться что сайт не отстегнул.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #131

197. Сообщение от morphe (?), 19-Янв-26, 04:39	+/–
> Именно так работает выдача обычных сертификатов LE с dns-01. DNS-01 - создаёшь TXT запись на своём поддомене, LE проверяет её наличие Каким образом ты предлагаешь для этого реверсную зону использовать мне не понятно Переписывать её с mail.myserver.com на letsencrypt-verification-123123.com, чтобы во время проверки всякое могло отвалиться?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #115

198. Сообщение от Аноним (198), 19-Янв-26, 08:22	+/–
Спасибо за идею) Записали)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

199. Сообщение от Аноним (198), 19-Янв-26, 08:42	+/–
ЖКХ тебе ничего не обязан! Не нравится - сам трубы с водой до своего дома прокладывай!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

200. Сообщение от анон (?), 19-Янв-26, 09:19	+/–
Да? И для чего же его придумали?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #202

201. Сообщение от КО (?), 19-Янв-26, 09:44	+/–
Интересно, а как надо подтверждать, что 192.168.0.1 (и иже с ними) принадлежит мне? Не говоря про 127.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

202. Сообщение от Вася (??), 19-Янв-26, 10:06	+1 +/–
буквально для >>вешай на них паблик адрес и выставляй голым задом в интернет. про fw на роутере умолчу, потому что мышление понадусерого nat швайна, не знаюего про fw - это тот еще приколь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #200

203. Сообщение от Товарищ майор (??), 19-Янв-26, 10:36	+/–
Тоже не понял этого пассажа в статье. Теоретически это можно настроить на ipv6, там уникальные адреса можно на каждую виртуалку получать. Но на приватные ipv4 это по идее работать не должно. Как быть с провайдерами, которые до сих пор выдают белые ip без резервирования, тоже не понятно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

204. Сообщение от Товарищ майор (??), 19-Янв-26, 10:38	+/–
Добавляете свой CA в доверенные CA операционки и ловите дзен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #194 Ответы: #214

205. Сообщение от Товарищ майор (??), 19-Янв-26, 10:45	+/–
Кратная нагрузка на серверы LE. Сейчас обновление происходит раз в 90 дней (на самом деле чаще), а должно будет происходить раз в 45 дней (а на самом деле ещё чаще). Тупо двукратный рост количества запросов на выдачу сертификата. У них это основная нагрузка, а не полсекунды в месяц, как на нашей стороне. Правда не совсем понял пассажа про "меркантильность". ЗП админов и менеджеров LE от увеличения нагрузки не вырастет. Мы за это платить тоже больше не станем. Разве что серверный парк у LE подорожает (а скорее просто не подешевеет), ну так и что с того? Всё равно нужно вкладывать бабло на обновление парка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81

206. Сообщение от Товарищ майор (??), 19-Янв-26, 10:47	+/–
Да не надо ни какого hex. Пусть будет домен 6-го уровня, аля 192.168.0.1.le.ip.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #215

207. Сообщение от Товарищ майор (??), 19-Янв-26, 11:31	+/–
CA и не решает. Просто конкретно этот CA нахаляву готов подтверждать только те сертификаты, которые живут 90(45) дней. Хотите сертификат живущий год - подписывайте его у другого CA, ни кто не запрещает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

208. Сообщение от Товарищ майор (??), 19-Янв-26, 11:39	+/–
А потом через пару лет, когда сайт внезапно лёг, с мылом в жопе начинал собирать пачку документов для выдачи нового сертификата на контору за свой счёт, заодно попутно вспоминая, как этот чёртов сертификат настраивается в апаче\нжинксе\проприетарной_муйне... Спустя пару-тройку дней и пару банок вазелина сайт компании с миллиардным оборотом возвращался к жизни, а админ с начальником IT-отдела "писали 3 конверта"... Кому-то эти годы наверное даже нравились.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #219

209. Сообщение от Аноним (24), 19-Янв-26, 14:33	+/–
> ну а для чего все использовали stapling, по твоему? все? Так сам LE изначально продвигал идею Must-Staple, чтобы не знать о конечных клиентах ничего, но потом по велению батьки свернул даже сам OCSP к х*рам собачьим. //letsencrypt.org/2024/07/23/replacing-ocsp-with-crls.html > ну и да, очередная троянская технология степлинг делает вебсервер условный и ходит к OCSP именно он, а не конечный клиент, это как раз таки и решало вопрос прайваси.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #192

210. Сообщение от Товарищ майор (??), 19-Янв-26, 14:33	+/–
CA решает не проблему шифрования, а проблему доверия. Чтобы не нужно было при каждой смене сертификата всем клиентам свой новый публичный ключ рассылать. Проблема шифрования решается банальным pgp.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #189

211. Сообщение от Аноним (24), 19-Янв-26, 14:57	+/–
> Впрочем, у microsoft и такого, кажется, нет. PKCS #10 - ValidityPeriod //learn.microsoft.com/en-us/openspecs/windows_protocols/ms-wcce/f4eb50d5-62f6-470b-8846-9489af9dea62 Там дефолт 1 год, в реестре надо менять, ЫЫ говорит: """ Open Command Prompt as Administrator on the CA server. Set the Validity Period: Use certutil to set the desired period (e.g., 10 years). certutil -setreg ca\ValidityPeriod "Years" certutil -setreg ca\ValidityPeriodUnits "10" Restart Certificate Services: Stop and restart the CertSvc service for changes to take effect. net stop certsvc net start certsvc Generate CSR & Issue: Proceed with generating your CSR (via IIS Manager or certreq) and submit it to your CA. The issued certificate will now reflect the new validity period. """
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #191

212. Сообщение от Аноним (24), 19-Янв-26, 15:16	+/–
> Но обычно это _второй_ фактор - пароль вводить все равно тоже надо. Это не пароль, а простой пин для разблокировки, аля второй фактор > и этот пин ТОЖЕ не должен знать никто кроме текущего юзера этой карты да и смена этого пина можно требовать все также через некоторый период времени (сам драйвер смарт карты просит, плюс встроенная защита о ввода неправильного пина, автоматическая блокировка карты после трех неправильных попыток) > попала к кому-то не тому (например ты не пришел, или до твоего прихода - а карта-то числится за тобой). Тут опять таки, привязка карты к рабочему месту, и во-вторых, если действия происходят не в рабочее время (карта фактически не на руках, и карта из здания не выходит, а лежит в личном сейфе) - ответственность на сотруднике быть не может, это надо личный сейф взломать (а он должен быть в таких случаях), чтобы воспользоваться картой с рабочего места.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #190

213. Сообщение от Аноним (24), 19-Янв-26, 15:27	+/–
> а карта-то числится за тобой Если все мои действия с картой документируются, то любые неправомерные действия с этой картой спокойно могут быть выявлены. Помимо логирования всей деятельность за рабочим местом,  записываются и с помощью камер наблюдения все физические действия за рабочим столом. И это не сказки, это банальная процедура рабочего пространства штатного сотрудника спецслужб аля анб, цру, который работает с подгрифной информацией.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #190

214. Сообщение от _kp (ok), 19-Янв-26, 23:09	+/–
Я знаю как на каждом устройстве, которых не мало, как дурак, по мартышечью добавлять сертификаты. Как то логичнее, получать сертификат один раз, и при при отсутствии обновления, чтоб он действовал вечно. Иначе смысл подтверждения подлинности превращается в кормушку, и чеки на оплату (в том числе на нулевую оплату, но регулярно)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #204

215. Сообщение от Джон Титор (ok), 20-Янв-26, 00:10	+/–
> Да не надо ни какого hex. Пусть будет домен 6-го уровня, аля > 192.168.0.1.le.ip. IP ищут сверху вниз, т.е. с ip и не факт что там будет полный домен. Сильно много запросов будет на домен, если так реально будут резолвить имя. Хотя кого это волнует? В целом это работать может. Такой ns можно и самостоятельно запустить весьма просто, да резолвер dns у провайдера может стоять быстрый сразу. Вопрос только в деньгах - за чей счёт этот банкет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #206

216. Сообщение от Аноним (216), 21-Янв-26, 22:44	+/–
Храню в readme.txt. Правда путь до нужного прочтименя знаю я один...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #138

217. Сообщение от aim (ok), 23-Янв-26, 11:02	+/–
так проверять то должны не владение зоной, а владение ip-адресом. то есть ты должен подтвердить что физически ip адрес размещён на подконтрольном тебе устройстве.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #115

218. Сообщение от Dmitry (??), 28-Янв-26, 19:17	+/–
за патчи, возвращающие поддержку pkp в firefox не берусь. Поищи на опеннете ещё исполнителей ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #193

219. Сообщение от нах. (?), 01-Фев-26, 23:40	+/–
ой, проблема, ну надо жиж - настроить контроль сроков действия, повесить напоминалку, документировать свои выкрутасы в конфигах. > Кому-то эти годы наверное даже нравились. конечно нравились, когда хорошие места естественным образом освобождались от подобных м-ков. Кстати ты забыл еще гораздо более популярную историю - "компания с миллиардным оборотом" просто забывала продлевать свой домен. И ее сертификаты совершенно честным-пречестным образом получали совсем другие ребята. К сожалению, те прекрасные годы давно прошли, из мразилы вон никого не уволили с треском, ни начальников, ни исполнителей, прогадивших экспайр intermediate. Потому что ни у кого ж в служебных обязанностях следить за какими-то там сертификатами и не было. Какие ваши претензии?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #208

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема