Удостоверяющий центр StartCom (торговая марка StartSSL) запустил (https://www.startssl.com/NewsDetails?date=20160606) похожий на Lets'Encrypt (https://www.opennet.dev/opennews/art.shtml?num=44231) сервис StartEncrypt (https://www.startssl.com/StartEncrypt), осуществляющий автоматическую выдачу и установку SSL-сертификатов. Сертификаты выдаются бесплатно и требуют пройти уровень проверки, соответствующий их типу (в простейшем случае достаточно подтвердить владение доменом). Как и Lets'Encrypt cервис StartEncrypt поддерживает популярные веб-серверы на базе Linux и Windows (tomcat, nginx, apache httpd).Из отличий от Lets'Encrypt можно отметить:
- Не только автоматическое получение сертификата, но и автоматическая установка. Обратной стороной предложенной автоматизации является отсутствие контроля за сервисом со стороны администратора. В систему устанавливается проприетарное ПО, добавляемое в автозапуск и выполняемое как фоновый процесс, следящий за обновлением сертификата. Сервис поставляется только в форме уже собранного исполняемого файла, код не прилагается, т.е. предлагается запустить с правами root и оставить для постоянной работы "черный ящик", отправляющий сетевые запросы, которые проблематично проверить;
- Не только шифрование, но и идентификация, чтобы отображать зеленую полосу (EV, Extended validation) и имя организации (OV, Organization Validation) в адресной строке;
- Период обновления EV- и OV-сертификатов - до 39 месяцев. DV-сертификаты (Domain validation, верификация по домену) выдаются на один год (в Lets'Encrypt сертификат выдаётся на 3 месяца).
- Cертификаты EV и OV могут содержать маски и охватывать до 120 доменов. DV-сертификаты охватывают 5 доменов (в Lets'Encrypt сертификат выдаётся для одного домена);- Сертификаты OV SSL и EV SSL выдаются бесплатно, но учётная запись в StartSSL должна пройти проверку с использованием средств идентификации 3 или 4 класса (для сертификата DV SSL, как и в в Lets'Encrypt, достаточно подтвердить владение доменом без необходимости регистрации в сервисе).
URL: https://www.startssl.com/NewsDetails?date=20160606
Новость: http://www.opennet.dev/opennews/art.shtml?num=44603
Вся прелесть Lets'Encrypt не в сроке и числе доменов, а в открытости, контроле в руках администратора и независимости от отдельных компаний.
Закопошились...
https://mixpix.in/more/konec_zolotoy_epohi_1465986454
Самое главное не написали - протокол ACME или нет? (Хотя по ссылке похоже, что нет)
ну явно ж нет - иначе ж кто помешает тебе его хакнуть и избавиться от сомнительного щастья держать неуправляемый демон?
Правда, думаетсо мне, демона хакнуть в любом случае окажется несложно.
% gdb StartEncrypt/bin/StartEncrypt
[skip]
Reading symbols from /home/alx/StartEncrypt/bin/StartEncrypt...done.
(gdb) list
1 /home/admin/work/log/src/log.cpp: No such file or directory.
in /home/admin/work/log/src/log.cppмда. То есть оно даже нестрипленное.
"- Совсем худо, - заключил хозяин, - что-то, воля ваша, недоброе таится в мужчинах..."
... у которых даже под Линуксом пользователя зовут Администратором!
И, кстати, у меня в Let's Encrypt один сертификат на шесть доменов, так что про один домен ЛПП
Расскажи, как, а то я не могу понять.
Да, у Let's Encrypt SAN до 100 доменов в сертификате. С удовольствием пользуюсь.> Names/Certificate is the limit on how many domain names you can include in a single certificate. This is currently limited to 100 names, or websites, per certificate issued.
Wildcard нету.
> Wildcard нету.Так и здесь тоже только для OV/EV. То есть после платной валидации организации.
> Сервис поставляется только в форме уже собранного исполняемого файла, код не прилагается, т.е. предлагается запустить с правами root и оставить для постоянной работы "черный ящик", отправляющий сетевые запросыДальше можно не читать.
> В систему устанавливается проприетарное ПО, добавляемое в автозапуск и выполняемое как фоновый процесс, следящий за обновлением сертификата. Сервис поставляется только в форме уже собранного исполняемого файла, код не прилагается, т.е. предлагается запустить с правами root и оставить для постоянной работы "черный ящик", отправляющий сетевые запросы, которые проблематично проверить;И зачем такие сложности то?
Нужно было просто просить рутовый пароль на сервер и со своей стороны скриптами закачивать/обновлять сертификаты и релоадить сервисы.
Прям как дети малые.
клевая штука, ты им доступ полный, а они тебе сертификат. вот же евреи хитрые.
А что, нормальный бэкдор для лоха, который никогда не вымрет.
запустить в jail/аналог
получить/обновить серт
остановить jail/аналог
выгода
выгода+извращение
Маркетинг, такой маркетинг. API у них уже много лет как есть.
Уже то, что LetsEncrypt тянет на сервер компиллятор и dev пакеты - это ДЫРИЩА, а это ... у меня слов нет .
руки из задницы, а леценкрипт виноват, очевидно же
на wheezy например требует установки backports. вопрос - нафейхоа вообще все эти извращения со скриптами и бинарниками?
этот вопрос задай тому, что тебе wheezy на сервер зачем-то поставил.
> этот вопрос задай тому, что тебе wheezy на сервер зачем-то поставил.а что из дебианоподобных надо было ставить на сервер в 2013-м? и чем вам не нравится wheezy?
> Уже то, что LetsEncrypt тянет на сервер компиллятор и dev пакеты -
> это ДЫРИЩА, а это ... у меня слов нет .Можно неловкий вопрос? В каком месте ты увидел дырищу?
Есть компиллятор,- есть возможность собрать и запустить эксплоит для повышения привелегий, например ..
1) Если у тебя есть шелл кто запрещает стянуть вместе с сорцами эксплоита компилятор ?
2) Если у тебя есть шелл, кто запрещает собрать сорец кросскомпилятором под нужный таргет в другом месте и стянуть на шелл готовый эксплоит ?Тут может последовать возражение что все разделы доступные на запись смонтированы как noexec. Так тогда и готовый эксплоит запустить будет неможливо. А если можливо то и все остальное запустится.
Компилять зловредов на атакуемой системе это из теории что-ли? Но если этот момент так волнует, можно запретить запуск компилятора.
А зачем его компилять? Если есть доступ в шелл, то можно уже собранный запустить.
> Есть компиллятор,- есть возможность собрать и запустить эксплоит для повышения привелегий,
> например ..Cool story bro. А ещё эксплоит можно сделать на bash+nc/perl/python/ruby/tcl/чем угодно без компилятора.
Только конкретный жирный клиент на питоне.
Не нравится стандартный клиент certbot, пользуйся другими или напиши свой, протокол то открыт. Мне например lego нравится, прав рута не требует, можно скомпилить и закидывать бинарник куда надо.
Протокол открыт, дефолтным клиентом никто не заставляет пользоваться.
Я например использую acme.sh , он очень простой и написан на баше, допилил под свои нужды.
Надеюсь это начало конкуренции. Сначала бесплатные сертификаты, потом, условия использования, потом и цены могут упасть.
> Надеюсь это начало конкуренции. Сначала бесплатные сертификаты, потом, условия использования,
> потом и цены могут упасть.Не будет тут конкуренции, центров выдающих не так много, и цены достуные, если не говорить о субдоменнха и прочих плюшках. Кому эти плюшки нужны имеют деьги
Что делает эта голимая поприетарщина на опеннете?
Предупреждает об опасности вляпаться. Имхо, все логично.
А сертификаты SHA-1 ?
Жажда бесплатного мешает купить обычный сертификат и не ставить ничего сомнительного
Соболезную
Покаж, где купить сертификат автоматически?
>Жажда бесплатного мешает купить обычный сертификатВ новости сказано «автоматически», а не «бесплатно».
в новости при этом не сказано, но _покупать_ (и не сертификат а факт валидации посерьезней DV) еще и придется вручную. (_каждый_ раз, валидация не вечна)
На этом фоне автоматическая установка посетителям данного ресурса явно уже низачем не нужна.Ну так оно, надо полагать, и не для них вовсе. А для тех, кому собрать все бумажки и заслать по факсу с правильными подписями - задача понятная и решаемая, а вот генерить какие-то ключи, где-то что-то "электронно подписывать" - нет.
И им таким, кстати, пофиг, что оно бинарное и без исходника - в общем-то у произвольно взятого директора рогоу&копытс куда больше поводов доверять startssl чем найденному на помойке индусскому (или русскому) админу.
О, здравствуй, альтернатива.> В систему устанавливается проприетарное ПО
До свидания, альтенрнатива.
Омские линуксоиды избегают непонятных проприетарных поделок... Хорошая попытка, но нет. Извините.
> Сертификаты OV SSL и EV SSL выдаются бесплатно, но учётная запись в StartSSL должна пройти проверку с использованием средств идентификации 3 или 4 классаАга. 69 или 199 USD. Сертификат в подарок. :-)
> В систему устанавливается проприетарное ПО, добавляемое в автозапуск и выполняемое как фоновый процесс, следящий за обновлением сертификата. Сервис поставляется только в форме уже собранного исполняемого файла, код не прилагается, т.е. предлагается запустить с правами rootНахрен такое счастье...
Если нет альтернативного варианта с настройкой своего сервера вручную то такой сервис не нужен в принципе.
> в Lets'Encrypt сертификат выдаётся на 3 месяца
Тоже жесть.
Почему жесть? Ставишь по крону проверку на необходимость автопродления раз в неделю или раз в день и забываешь про сертификат вообще.
LetsEncrypt проверяет владение не доменом, а сервером, который отвечает по этому домену. Т.к. он проверяет файлик по урлу /.well-known/acme-challenge. Домен он бы проверял если бы проверял TXT запись в DNS.
> LetsEncrypt проверяет владение не доменом, а сервером, который отвечает по этому домену.что в общем эквивалентно - если у тебя угнали сервер, у тебя гораздо более серьезные проблемы, чем то что кто-то может изготовить свой сертификат для него.
И сертификат выдается - серверу, а не домену (опустим для простоты, что почтовому, к примеру, тоже нужен сертификат, причем неплохо бы - с другим ключом даже при том же самом домене).> Домен он бы проверял если бы проверял TXT запись в DNS.
разумеется, нет - он бы при этом проверял владение (контроль над) _сервером_. Сервером dns, ага. А его (контроля) у владельца домена, кстати, вполне может не быть вовсе (dns у хостера, заполняется автоматическим шаблоном, управление юзером не предусмотрено вовсе - у меня, кстати, так)
В этом плане подход startssl, проверяющего таки именно владение доменом (анализом whois и проверкой живым человеком, если не получилось или что-то показалось подозрительным), мне нравился гораздо больше. К сожалению, конкуренция в подобных вещах не всегда благо - сейчас явно под влиянием летсэнкрипта они сделали альтернативную валидацию через сайт.
Обходились как-то раньше без всяких сертификатов, сейчас приходится бегать по всяким Хострадарам закинув язык за плечи, искать хостинг с дешёвым или бесплатным c-c-л.