Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, анонсировал грядущий переход на формирование подписей с использованием только своего корневого сертификата, без применения сертификата, перекрёстно подписанного удостоверяющим центром IdenTrust. Время жизни перекрёстно подписанного сертификата истекает 1 сентября 2021 года...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=54043
Может, хоть немного ускорит уход со старья. 4 года, Карл!
Скорее это ускорит: "мой сайт не работает, давайте купим нормальный сертификат ща 3000 рублей!"
Вангую какой-нибудь "unlucky incident" с digicert в самое ближайшее время. Не тем поклонились, не то подписали, не так гадюку вареную на вилку взяли. Ну или чисто случайно их забудут в новый улучшенный закрытый набор сертификатов хромога.
Откуда у тех, кто сидит на старье с помойки, три тысячи рублей?
Ну пивас себе они как-то же покупают. Пивас, семки - а если так посчитать, то там и все 7к будет. Зачем ограничивать себя в базовых потребностях?Ну а если без сарказма, то смысл покупать новое устройство, если старое еще выполняет свои функции как абонентская радиостанция/читалка/ультрапортативная мыльница (старые нокии с цейссом)/медиаплеер?
Ну а так да, звериный оскал капитализма - еще минус одна функция или постоянные усилия для поддержки.
Так новые смарты не такие небольшие, как старые. Да, сейчас за ифоном 12 мини и остальные начнут делать («мы наконец изобрели меньший экран!») телефоны, влезающие в карман...
>> Откуда у тех, кто сидит на старье с помойки, три тысячи рублей?Три тысячи рублей, ваабщем-то, есть у тех, кто намерен охватить аудиторию вполне себе годного Anrdoid 7.0 :) :) :)
А может "уход старья" твой лично "уход" ускорит? Может надо быть поосторожнее со злорадством, зло ведь растекается и обратно возращается?
Пока бессильная злоба растекается от этого поста.
А таки да, действительно есть два выхода -
или кто-то делает свой хром для старых устройств СБИШ и сертификатами,
или сертификаты подпихиваются на рутовоанные зверьки
или старые устройства умирают как терминалы для интернета.
Последний вариант - не как что-то плохое, учитывая, что их браузерные движки или уже несколько лет не обновляются (дыры и уязвимость ведроида) или делают это по остаточному принципу - опять дыры, опять вирусы, опять темы на 4пда: ой, мне тут установился SexLauncher и всплывают попапы с рекламой, что делать, удалить не могу.
> дыры и уязвимость ведроидаДействительно, из-за этих устройств хакерам приходится перебирать существенно более широкий набор эксплойтов - сплошной геморрой.
Вы производитель телефонов, что ли, что это вас так заботит?
сколько тебе лет? не пора ли тебя утилизировать, Аноним?!
Знаешь, куплю я новый смартфон, а там запланированное устаревание...
Нах надо
Переться в интернет с андроида, который не обновлялся пять лет - в любом случае дурная затея
Бред, ты ещё про XP вспомни.
Ой, прошу прощения, ubuntu 10
Ну не 5 конечно, но 4 года не обновлялся и работает, и браузит норм, и никаких попапов левых, и никакой рекламы, даже там где ее предусмотрел сайтостроитель, вот чего ради мне его обновлять, ах да там камера битая, ну так я и не фотаю ничего, из 64гб папяти 40 свободно и батарею держит свою на 6к пару суток, вот объясни зачем мне новый телефон, типа сломают и данные карты стырят, а ты прикинь их там нет, ни приложений банков ни нфс, просто звонилка с браузером и чатиком, завтра его спи..т или еще что и пофигу вообще.
>а там запланированное устаревание...Как будто это что-то плохое. Вот здесь человек хорошо описал мою же точку зрения, которую мне руки не дошли расписать.
https://habr.com/ru/post/525710/
ЗУ - это добро, это двигатель прогресса.
К чему оно приводит:https://www.bbc.com/future/article/20150402-the-worst-place-...
>К чему оно приводитЕсли серьезно - ни к чему серьезному. Озеро в Китае заcpaли, как страшно. Оно того стоит.
> Если серьезно - ни к чему серьезному. Озеро в Китае заcpaли, как страшно. Оно того стоит.Это пока ты молод и глуп. А вот что ты будешь делать когда такое будет повсеместно и твой парень заболеет раком, ну или ты раком. Чистая вода будет стоить больший денег, а если ты думаешь что ты бессмертен и афигенен и тебе будут деньги падать с неба - то да, какбы, можешь сразу продавать квартиру и покупать теслу.
>можешь сразу продавать квартиру и покупать теслуКвартиры, конечно, нет (тк не от хорошей жизни в квартирах люди живут), но тесла есть. И, представь себе, я ради нее ничего не продавал. 💪
Ах, да, живу не в России, лол. 🇯🇵
Предвосхищая вопросы - добился этого умом 🧠 и упорным трудом, а не от богатеньких родителей.>Это пока ты молод и глуп
Сороковой десяток идет, как бы. 😬
>и твой парень
Шутку оценил. Кстати, к нетрадиционным отношусь равнодушно, скорее даже положительно. Считаю что в жизни надо попробовать абсолютно все (кроме тяжких преступлений).
>раком, ну или ты раком
А вот про это шутить как-то немного аморально, не находишь?
>Чистая вода будет стоить больший денег
Да ты прямо диванный футуролог. Хотя бы 10к баксов на свой прогноз поставишь?
>а если ты думаешь что ты бессмертен и афигенен
Надеюсь что за время моей жизни бессмертие таки изобретут, а моей офигенности хватит чтобы его купить.
В общем, кратко - всем пох на озеро в китае. Когда это станет проблемой ее будут решать. Пока что - экономического смысла нет.
ЗЫ.
Я тот же анон(88), но с другого устройства.
Почему вы тогда не на свалке? 40 лет очень много, вы уже давно морально устарели.
> Как будто это что-то плохое. Вот здесь человек хорошо описал мою же точку зрения, которую мне руки не дошли расписать.По ссылке - весьма примитивная манипуляция, попытка выдать побочное следствие за причину.
Короткий срок службы, который закладывают в современные смартфоны - следствие быстрого развития технологий. Зачем делать телефон, который прослужит 10 лет, если через год выйдет телефон, в котором в два раза больше ядер и памяти?А там автор пытается сказать, что наоборот, выход более мощных телефонов - следствие быстрого износа девайсов. То есть даже если это физически невозможно, инженеры что-нибудь придумают и сделают телефон в два раза лучше. Как - ну они же инженеры, выкрутятся. Типичный пример маркетологического восприятия мира.
Кстати, именно сейчас такая ситуация начала складываться. Технологические возможности улучшать телефоны практически исчерпаны, современные айфоны с трудом один день без зарядки живут. Поэтому сейчас приходится покупать новый девайс потому, что старый сдох, а не потому, что старый по характеристикам хуже нового. Запланированное устаревание во всей красе. Уже не сопутствующий процесс технического прогресса, а просто механизм выкачивания бабла.
Купи айфон, он до сих пор поддерживается.
Ох уж этот детский масксимализм... Хотя кто-то так и не взрослеет.
Меня абсолютно всё устраивает в моём Lenovo S750. Мне не нравится то что в современных умнофонах убрали (не знаю во всех ли. Впечатление такое что у всех.) аппартные кнопки "назад" и т.д. Ну и мне есть куда тратить мою маленькую ЗП.
Ну значит некоторые сайты окажутся для вас недоступными (как и вы для них). Невелика потеря и для вас и для них.
> Меня абсолютно всё устраивает в моём Lenovo S750
> 1 GB RAM + 4 GB Internal StorageПохлопаем 👌
с такого телефона можно сидеть тольво на opennet и облегченном ya.ru )
> с такого телефона можно сидеть тольво на opennet и облегченном ya.ru )Конечно же нет.
>> Меня абсолютно всё устраивает в моём Lenovo S750
>> 1 GB RAM + 4 GB Internal Storage
> Похлопаем 👌Если 4 гигов встроенной маловато (но можно флэшку подключить), то 1 гигабайт оперативки у меня никаких проблем не вызывает.
> Меня абсолютно всё устраивает в моём Lenovo S750.А какого года со всеми обновлениями там сертификаты ? Мне не для позубоскалить, чисто технически
Не знаю. Не так давно разбил экран.
У меня google nexus 7 (2013) отказываться от него из-за сертификата? Ха-ха, нет. Планшет выполняет свои функции на 100%.
>Может, хоть немного ускорит уход со старьяты наверное и сам уже старье, больше 14 лет чай? у меня xperia m2 2014 года работает без замечаний, камера лучше, чем в том, что сейчас продается за 10 тыр, родная батарея держит дня 3. смысл менять?
Это не старьё, 7 андроид совсем недавно появился
Обновились бы, но ведь не выпускают новые версии для старых телефонов!
Зато выпускают новые телефоны.
А ну быстро пошел в магазин и купил, хозяин как бы намекает - пора обновляться
бизнес, ничего личного.
аккумы в любом случае долго не живут. Сколько можно пропользоваться мобилкой в среднем при желании, лет 5?
У меня есть литиевые аккумуляторы, в том числе мобилочные, которым по пятнадцать лет.
Они, вероятно, потеряли часть емкости, но вполне еще пяток проработают.Поменьше слушайте глупые сказки.
Дохнут только на яойфонах, ибо там программное устаревание батарейки.
Не только, еще на самсунгах дохнут акки только в путь. Три года смартфон отработал - и батарея вздулась. Мякотка выяснилась, когда я воткнул полностью заряженный акк с другого смартфона в этот самс - чисто проверить, жива ли тушка. Тушка радостно бутнулась и показала заряд менее 80%. Самс, скотина эдакая, перезаряжал акк.
Сасунг, собственно, и знаменит тем, что "увеличил" емкость лития (не только телефонного, а и коммерческих сборок на 18650) методом "а давайте заряжать пока не бахнет". Ну, как все мы знаем, парочка и бахнула, но инженеров самсуня это не остановило - просто они немного отступили еще вниз от пороговых значений. Т.е. перезаряд для их батарей (3.8 с лишним на холостом ходу) - штатное состояние. Можно найти спецификацию для коммерческих банок (тем более что сейчас все коммерчески-доступные банки - сасунги, хорошие сожрала тесла для своего фуфла) и убедиться.Ну, разумеется, они долго не живут.
P.S. чужую батарею тем сасунгом не заряжай - бахнет, родные все же несколько модифицированы, чтобы выдерживать такое издевательство...некоторое время.
Вы оба пишите какой-то бред.
> пишите какой-то бредЗачем ты призываешь их писать бред?
«Бахнуло» потому что батарейка тёрлась о железку и протирала дырку. Почитайте, есть же статьи, где рассказывается почему самсунги «бахали». А у вас какая-то выдумка.
До них не достучишься. У людей перезаряд батареи каким-то образом происходит, когда в телефоне и на банке телефона по контроллеру. Пишут про какие-то 3.8 "на холостом ходу", про "увеличение емкости лития" банок без контроллера методом перезаряда. Что это за бред?
Пс, в проблемном galaxy note инженеры допустили ошибку и акб получился чуточку больше, что приводило к давлению стеклянной задней крышки в местах скругления, из-за чего происходило внутренние замыкание слоев акб.
В исправленной версии аккумулятор ставили меньше (соответственно меньшей емкости).
> Почитайте, есть же статьиСтатьи за подписью инженеров самсунга я что-то не видел. Читать васянские бредни что что-то где-то "трется" в закрытом корпусе мабилы с батареей, приклеенной к крышке и зажатой между ней и платой намертво - мне неинтересно.
Причем у двух разных моделей трется, а потом еще и у эпла так же трется (и да, у него тоже 3.8+)А у китайца ляо, ляпающего как попало из чего попало неведомые модели каждый раз нового бренда - почему-то не трется и не бахает. Конечно же не потому, что батареи он выбирает самые дешевые, а они 3.7
> Статьи за подписью инженеров самсунга я что-то не видел.В интернете есть поперечный рентген снимок проблемных акб galaxy note7.
> Конечно же не потому, что батареи он выбирает самые дешевые, а
> они 3.7Верхняя граница заряженного лития 4.2. Ты вообще о чем пишешь?
А у меня самсунг вообще коротит аккум, от чего тот работает минут пять до полной разрядки и очень сильно нагревается.
Тело не может перезарядить бату принципиально - на бате свой контроллер заряда.
У меня почти все телеоны живы и после 5 лет. Только у одного аккумулятор вздулся. Это был "feature phone" европейского бренда.
Двачую. У меня на телефоне аккумулятор раздулся (выделение углекислого газа - неотъемлимая часть деградации, окисляется углерод анода, а газ много места занимает, 1 моль - 22 литра), крышка теперь не закрывается, жаль механизма спуска нет, как в некоторых других. Но работает.
подсказка: иголка, скалка, ванна с водой... вода не сможет через малюсенькую дырку внутрь попасть.
Зачем вода?
Чтобы воздух внутрь не попал. Ах, да, ещё жвачка, чтобы дырку потом закрыть.
> Зачем вода?Просто воздух - не спортивно, в нем слишком мало влаги.
С жидкой водой бахнет на порядок сильнее.
На ютубе есть видео с такими Кулибиными, протыкающими аккумы. С ожогами разной степени тяжести.
а нефик на открытом воздухе протыкать!
Да, в воде гораздо лучше. Кстати, не только литий, но и натрий, и калий тоже под водой неплохо гор^Wпротыкаются.В конечном счете, литиевые аккумулуяторы помогут существенно сократить количество тех, кто в школе прогуливал химию.
А ещё можно на алиэкспрессе почти любой аккумулятор купить.
На алиэкспрессе нельзя купить хороший.
Только что-то между относительно сносной отбраковки до совершеннейшего брака или вообще банок с песком.
> На алиэкспрессе нельзя купить хороший.для того же TSL, к примеру - продавали вполне себе родные аккумуляторы, проходившие все проверки.
При том что это тоже сильно нестандартная батарейка, и подделывать ее нет ни малейшего смысла.
> На алиэкспрессе нельзя купить хороший.Можно. Но дорого. И если повезёт. Но ты не полагаешься на везение и покупаешь дешёвые.
> На алиэкспрессе нельзя купить хороший.
> Только что-то между относительно сносной отбраковки до совершеннейшего брака или вообще
> банок с песком.Субъективно сносная отбраковка мне нравится значительно больше прокалывания и сдувания отжившего своего родного аккумулятора.
Плохая подсказка, нарушение целостности с попадание внутрь атмосферы и паров воды. Механизм, о котором речь идёт, работает по принципу редуктора: внутри аккума всегда относительно атмосферы избыточное давление, регулируемое механически, внутрь ничего не попадёт через механизм.
Думаете, людей, советующих прокалывать литиевый аккум под водой, интересует срок его дальнейшей службы?
Их интересует, чтобы бахнуло посильнее.
> крышка теперь не закрывается, жаль механизма спуска нет, как в некоторых другихтеоретически можно аккуратно проколоть и сдуть, внутри повышенное давление, поэтому никакого заброса атмосферного воздуха через микропрокол не будет, просто давление уравняется с наружным. Но на практике это надо делать сразу же - потому что сейчас ты, полагаю, к своему удивлению обнаружишь, что повышенное давление давно куда-то делось.
> У меня есть литиевые аккумуляторы, в том числе мобилочные, которым по пятнадцать лет. Они, вероятно, потеряли часть емкости, но вполне еще пяток проработают.Ну ты сравнил. Дубовую трубку, которую ты раз в месяц достаёшь, чтобы это ... как бы цензурно сказать... Детство вспомнить — во!
А другое дело смартфон, который по мощности может соперничать с пятнадцатилетнем ПК.
> Ну ты сравнил. Дубовую трубку, которую ты раз в месяц достаёшьопять не угадал. Это смартфон, весом в 72 грамм. Правда, от смартфона в нем уже мало что осталось - гуглезила постарались. Который я как раз использую постоянно, а карманного шпиона у меня нет.
Есть еще аккумуляторы от фотоаппаратов и ранних gopro, которые тоже первые лет пять ни разу не лежали на полках без дела.
> Правда, от смартфона в нем уже мало что осталосьну не угадал... почти угадал.
> А другое дело смартфон, который по мощности может соперничать с пятнадцатилетнем ПК.Какой смысл в мощном телефоне, если его несколько раз в день заряжать надо? Я хочу сам планировать свой день, а не подстраивать его под телефон. Нафиг айфон, лучше уж дубовая звонилка.
Ну и бери дубовую звонилку, к чему глупости писать?
Ну раз вы пишете, то почему мне нельзя?В конце концов, ваш айфон, может, и выигрывает по габаритам у ПК пятнадцатилетней давности, но вот по автономности - не очень.
> В конце концов, ваш айфон, может, и выигрывает по габаритам у ПК пятнадцатилетней давности, но вот по автономности - не очень.Ну тут не поспоришь. Если современный айфон выдерживает день приличного использования, а ПК работает бесконечно от питания сети...
То тут безоговорочная победа... глупости.
> У меня есть литиевые аккумуляторы, в том числе мобилочные, которым по пятнадцать
> лет.
> Они, вероятно, потеряли часть емкости, но вполне еще пяток проработают.
> Поменьше слушайте глупые сказки.У меня у самого было пару мобилок, где акк через несколько лет вздувался и потерял где-то половину емкости
у меня Нокия 700 уже 10 лет на родной батарейке, заряжаю раз в неделю.
А у меня есть бабушкин телефон с дисковым номеронабирателем, вообще от телефонной сети отлично работает.
Но здесь речь о беспроводных сетях. Вот если бы он питался от от сети GSM, тогда другое дело.
Ну вот и посчитай циклы. Впрочем, там чисто от старости ёмкость минимум вдвое упала.
аккум можно заменить, особенно если это старая мобилка и аккум в ней съемный и стандартный
> и аккум в ней съемный и стандартныйЭту "недоработку" последние годы усиленно "исправляют" (и в ноутах и в мобилках).
Впрочем, пока что модели со съемными все еще встречаются и в среднем ценовом сегменте (тот же Samsung Galaxy XCover).
> Обновились бы, но ведь не выпускают новые версии для старых телефонов!Производители
> мы бы обновляли, если бы пользователям на это не плевать было. Им надо за копейку лопату с максимально большими характеристиками, поэтому бюджет на софт максимально низкий.
Рабство выходит , что за телефоны надо постоянно нести денег, то операторам всяким и стабильно нести. Кто бы так стабильно нам денег выдавал ? Наверное эти телефоны для пенсов, посмотрите - они все на смартфонах и даже ойфонах сидят и не жужжат.
>Владельцам сайтов, не готовых смириться с потерей совместимости со старыми Android-смартфонами, предлагается перенаправлять запросы старых Android-устройств на HTTPТак вот зачем Let's Encrypt создали! Сначала демпингом подмять под себя весь рынок сертификатов. А потом малым количеством ударов уничтожить вообще использование сертификатов.
Туда им и дорога, всем этим сертификатам и прочему интернет-шлаку. Сеть давно превращается в помойку.
Ну как же, вдруг кто-нибудь перехватит твой комментарий на опеннете "Туда им и дорога, всем этим сертификатам и прочему интернет-шлаку. Сеть давно превращается в помойку" - и всё, кейджиби уже высылает за тобой воронок, правительство на ушах, ФСБ, МВД, ГРУ - все оповещены и внимательно следят за твоими каментами. Опасно, понимаешь?
..ну или подпихивает во входящий хттп-трафик со страничной простой <div>. с рекламой, как это было замечено у всех опсосов нашей страны...
..ну или перехватывает и изменяет твои незакрытые POST, и теперь на опеннет идет не коментарий, но комментарий с аддоном "Восславим Пу, Вождя Б-гоизбранного!"...
>..ну или подпихивает во входящий хттп-трафик со страничной простой <div>. с рекламой, как это было замечено у всех опсосов нашей страны...Так вся эта возня только ради того, чтобы провайдер не вставил рекламу? Охлол.
>ну или перехватывает и изменяет твои незакрытые POST, и теперь на опеннет идет не коментарий, но комментарий с аддоном "Восславим Пу, Вождя Б-гоизбранного!".
Наркотики - зло
Вот из-за жажды денег отличная идея обмена информацией и превращается в отстойник - с рекламой, интернет-приложениями, скриптами, сертификатами, фреймворками, вебдванолем, отсутствием единых стандартов и прочей ерундой, в которой сейчас есть всё, кроме достоверной информации, утопающей в тоннах мусора.
Ты наверное подзабыл что до появления Let's Encrypt нормальный сертификат стоил 300$ в год. Это значит что большинство сайтов не могли себе это позволить. То что сейчас http без шифрования стало редким исключением это их заслуга. И то что "нормальные" сертификаты теперь стоят теперь дешевле это тоже их заслуга.
Не вижу как повсеместрное использование https делает из интернета помойку.
А шлак - это производители которые оставляют свои устройства без поддержки. Установка нового корневого сертификата - не то чтобы rocket science, могли бы и запилить если бы захотели.
И первыми на https перешли кто? Правильно - всякие разводилы и мошейники.Зато корп сисадмины и те кто понимают в безопасности хватаются за голову - невозможно сбить заразу на подлетё (до того как она попадёт в комп юзера и её расшифрует браузер).
Что мешает корп. сисадмину настроить MiTM масштаба предприятия на прокси? Вроде бы почти все коммерческие DLP-системы и многие антивирусы под виндой именно так и делают.
За чей счет этот банкет?
Торговцы воздухом - они такие, да.. Странно, что брали всего 300, могли бы и в десять раз больше за сертификат запросить, любители освоить бюджет всё равно внесли бы указанную сумму в смету расходов незаработанных ими денег.
Можно использовать не только лишь те сертификаты, которые подписаны CA. которым почему-то доверяет ОС и браузеры.
> контролируемый сообществомдадада)
сообществом-сообществом. Просто сообществом правильных пацанов, а ты в него не входишь.
Очень хорошо.
LE не нужен.
Продлевать будете? А так то мы не коммерческий центр)
Можно получать бесплатные сертификаты от комодо
Так ведь на Андроиде можно вроде установить свои сертификаты, не? Но так-то да, еще раз оказывается что таскать своё хранилище не бесмысленно.
1. Качаем https://letsencrypt.org/certs/isrgrootx1.pem и https://letsencrypt.org/certs/isrg-root-x2.pem2. Можно засайдлоадить в настройках на /data. Но если есть рут-доступ, то ...
su
mount -o remount,rw /system
cp /sdcard/Download/isrgrootx1.pem /system/etc/security/cacert
cp /sdcard/Download/isrg-root-x2.pem /system/etc/security/cacert
chmod 644 isrg*
Вдогонку: второй сертификат использует кривую от NΙST, которую DJB и компания считают небезопасной (https://safecurves.cr.yp.to/, зато свою 25519 считают безопасной).
Какой процен от этих 30 сможет и захочет это делать?
Захочет - 100%. Сможет - ХЗ.
Заходим в настройки, смотрим доверенные сертификаты, жмем на новый сертификат - "Настройки" были неожиданно завершены. Сам-то проверял, прежде чем другим советовать?
> Заходим в настройки, смотрим доверенные сертификаты, жмем на новый сертификат - "Настройки"
> были неожиданно завершены. Сам-то проверял, прежде чем другим советовать?Важная часть это имя помещаемого сертификата в хранилище. Определяется такой командой
openssl x509 -inform PEM -subject_hash_old -in name.pem | head -1Для isrgrootx1.pem имя должно быть 6187b673.0, а для isrg-root-x2.pem - 8794b4e3.0
То есть им не хочется продлевать соглашение "вновь и вновь", а мы сертификаты должны продлевать. Существует ли на сегодняшний день альтернативный способ хостинга сайта, чтобы не-http и не париться с сертификатами? В идеале еще чтоб был какой-нибудь мешнет, позволяющий задавать нормальные постоянные непросрачиваемые имена для сайтов, но чтобы при этом сайты могли быть не-статическими, с серверной логикой
Namecoin - имя всё равно надо продлевать, но это хотя-бы децентрализованно.
все эти ограничения по времени - чтобы можно было по щелчку пальцами загасить любой сайт.
Нет, чтобы не существовало гипотетического вечного ключа для домена, который давно перешёл другому владельцу. Теории заговора в другое место, пожалуйста
> Нет, чтобы не существовало гипотетического вечного ключа для домена, который давно перешёл
> другому владельцу.да, теперь-то гораздо удобнее - новый просто выпускает себе новый ключ, хоть каждый день, вместе с сертификатом - никто и внимания не обратит, ведь он и так каждый день новый.
> Теории заговора в другое место, пожалуйста
Адресуйте это себе.
В борцунстве с высосанной из пальца нереализуемой на практике псевдоугрозой - создали реальную уязвимость - но это была не теория заговора, ну конечно же.
А я всегда думал, что для того, чтобы не нужно было держать revocation list со всеми сертификатами с 1985 года. А оно вон оно как.
> А я всегда думал, что для того, чтобы не нужно было держать
> revocation list со всеми сертификатами с 1985 года.а было чем думать-то?
Большинство сертификатов никогда не оказывались в revocation list.
Потому что их никто и не прогадил.И тем более - речь о сертификатах CA, которые должны быть защищены оргмерами и не должны вообще быть доступны онлайн. Далеко не каждый день ими подписывают сертификат другого CA.
> Большинство сертификатов никогда не оказывались в revocation list.Ага. Знаешь почему? Потому что они истекли раньше, чем поменялся владелец домена.
> Потому что их никто и не прогадил.
Нет, ты не угадал. Попробуй ещё раз.
> И тем более - речь о сертификатах CA, которые должны быть защищены оргмерами и не должны вообще быть доступны онлайн. Далеко не каждый день ими подписывают сертификат другого CA.
Чтобы не заниматься подобной ерундой и генерацией CRL в сотни терабайт, умные люди придумали expiration date. Глупые люди придумали прибивать гвоздями апдейты любых ресурсов телефона к апдейтам прошивки. В итоге вместо того, чтобы просто сливать раз в неделю новые сертификаты, нужно обновлять прошивку телефона. А новых нет, потому что вендор никому ничего не должен.
> Ага. Знаешь почему? Потому что они истекли раньше, чем поменялся владелец домена.Владельцы доменов вообще почти никогда не меняются. Это уже какой-то тяжелый бред.
> Чтобы не заниматься подобной ерундой и генерацией CRL в сотни терабайт, умные люди придумали
> expiration date.Люди ее придумали вообще не для этого. Когда ее придумывали, не было никакой психопатии "все котики должны быть только https", и никаких терабайтов не просматривалось даже через сотню лет.
Они ее вообще непонятно для чего придумали, поскольку единственное полезное ее применение (где и применяется по прямому назначению) - авторизация. И там она работает как банальный expire, что в случае авторизации скорее решает проблемы, чем создает.
Тор. Хеш твоего публичного ключа никогда не просрочится, а свою серверную логику можешь хостить у себя или где тебе нравится
sha1 или keccack - выбор за тобой.
> sha1 или keccack - выбор за тобой.Поциент выучил два слова, теперь бегает с вилкой и ложкой по палатам и предлагает больным выбор. Ну такое себе. Речь вообще шла про тор, бегите в тридцатьшестую палату, там scp обсуждают.
>Речь вообще шла про тор, бегите в тридцатьшестую палату, там scp обсуждают.А я именно про него. Старые onion-адреса используют sha-1, новые - keccack.
Если помнишь, DANE (когда ключ сайта прописан в DNS и подписан DNSSEC) не взлетел из-за лобби сертификатных магнатов!
cjdns
если про первое, то можно cloudflare или что-то подобное, в интернет будет глядеть их сертификат, но оно конечно не очень (вернее, совсем не) анонимненько, но точно - не париться.
>> но такие сертификаты всё равно будут ограничены временем жизни перекрёстно подписанного корневого сертификата (1 сентября 2021 года).Пфф. Да у них и так ограничение по времени - задолбаешься продливать. Что там то 1 сентября 2021-го.
Ну и да, авторы Le не виноваты, что андроидные вендоры не могут в апдейты. Все страдающие сами купили себе девайс, прекрасно отдавая себе отчёт о сроках поддержки.
LE упростит жизнь, говорили они, LE заботится об одменах, говорили они. Подумаешь, сайт потеряет 30% мобильного траффика, мелочь уаще. А потом удивляются, кто эти "дураки", которые покупают сертификаты и не хотят связываться с кучкой фриков, которые творят дичь.
> Подумаешь, сайт потеряет 30% мобильного траффика, мелочь уаще.Не 30%, а десятые доли процента.
Сайты, которым пофиг отдают контент в простом хттп web2.0 (а то и в web1.0) безо всяких финтифлюiек web3.0, вроде скриптов на ангулярах и шрифтов на непонятных CDN. Они не теряют ничего.
Сайты с хттпс и "трендами" и без этого разогнали мобильный трафик со старых устройств.
Читать сейчас так не модно:>Таким образом 33.8% находящихся в обиходе Android-устройств не имеют данных о корневом сертификате Let's Encrypt и после истечения времени действия перекрёстно подписанного сертификата при попытке открытия на подобных устройствах сайтов, использующих сертификаты Let's Encrypt, будет выводиться ошибка
> Читать сейчас так не модно:
>>Таким образом 33.8% находящихся в обиходе Android-устройств не имеют данных о корневом сертификате Let's Encrypt и после истечения времени действия перекрёстно подписанного сертификата при попытке открытия на подобных устройствах сайтов, использующих сертификаты Let's Encrypt, будет выводиться ошибкаДействительно не модно:
> Доля пользователей Android-устройств, не воспринимающих корневой сертификат Let's Encrypt, по приблизительной оценке составляет от 1 до 5% аудитории крупных сайтов.
Некие оценки по неким сайтам. Напоминает выборы в Белоруссии.
> Некие оценки по неким сайтам. Напоминает выборы в Белоруссии.Вполне конкретные оценки по вполне конкретным сайтам, лол.
У меня много всякого обихода в ящичке лежит пылится
Потеряютмусорный трафик от тех, у кого нет денег
>мусорный трафикРаньше была аудитория как аудитория. Спасибо, LE наставил на путь истинный. УЦ превращается, превращается УЦ в элегантный фашизм
Чепуха, абсолютное большинство сайтов - коммерция. А абсолютное большинство некомерческого контента - на больших платформах, которые с сертификатами разберутся. Учитывая, что с древней мобилы ещё и сильно не всякий сайт откроется - пострадает очень мало народу. Плюс стимул уйти с уязвимого софта.
> Чепуха, абсолютное большинство сайтов - коммерция. А абсолютное большинство некомерческого
> контента - на больших платформах, которые с сертификатами разберутся.зачем им разбираться? Иди апгрейди свою мобилку, нище6род поганый.
Это "некоммерческий контент", и ради 30% неудачников тут пальцем никто не пошевелит. Пусть вон - приложению, что-ли, используют. Правда, кажется, там тоже что-то зачем-то верифицировалось и поломалось, а новое у нас только под Android9. Ну и хрен с ним, все равно ты ненужно.
Не припомню, чтобы Blogger, Medium, facebook использовали сертификаты Let's Encrypt.Ну и - по нынешним временам либо система обновляется (и тогда новый корневой сертификат прилетит) либо она уже дырява.
> LE упростит жизнь, говорили они, LE заботится об одменах, говорили они. Подумаешь,
> сайт потеряет 30% мобильного траффика, мелочь уаще. А потом удивляются, кто
> эти "дураки", которые покупают сертификаты и не хотят связываться с кучкой
> фриков, которые творят дичь.Кучка фриков договорилаь с IdenTrust о cross-sign, что само по себе сложная операций. Спустя пять лет выяснилось, что андроидофоны не обновляются, поэтому протухшие CA сертификаты IdenTrust никто не будет заменять. Но виноваты почему-то LE, да :D
>Спустя пять лет выяснилось, что андроидофоны не обновляются, поэтому протухшие CA сертификаты IdenTrust никто не будет заменятьНикогда такого не было, чтобы андроеды не обновлялись, и внезапно выяснилось! Если бы они хотели обеспечить совместимость - они бы обеспечили. А так они навалили кучу веб-мастерам и одменам, что повелись на халявишные сертификаты, заодно и владельцам телефонов-планшетов. Впрочем, было бы странно ожидать другого от кучки фриков на подсосе гугла.
> Никогда такого не было, чтобы андроеды не обновлялись, и внезапно выяснилось! Если бы они хотели обеспечить совместимость - они бы обеспечили. А так они навалили кучу веб-мастерам и одменам, что повелись на халявишные сертификаты, заодно и владельцам телефонов-планшетов. Впрочем, было бы странно ожидать другого от кучки фриков на подсосе гугла.Ну те, кому надо, купят сертификат. Большинство забьёт. Твои вскукареки смешны.
> Подумаешь, сайт потеряет 30% мобильного траффикаНе выдумывай.
Умей читать и думать хоть немного головой.
Я один не понимаю, в чем проблема? Продлите сертификат и все, делов-то.> лишает самостоятельности и связывает руки в плане соблюдения всех процедур и правил другого удостоверяющего центра
До этого же нормально жили. Какие их процедуры связывают?
Денег разве что жалко. Но у них в спонсорах всякие гуглы (чьи телефоны как раз отваливаются), уж как-нибудь наскребут.
Нужно потерпеть несколько лет, пока процент неподдерживаемых телефонов не опустится до статистических погрешностей в долях процентов. Сейчас, по факту, хотят сломать каждый третий андроидовский смартфон. Причем, без внятных объяснений причин и технической необходимости. Я не знаю, что они курят.
Ключевой момент что гугел в спонсорах
Гугел топил за тотальное осертификачивание. Let's encrypt - смазка для недовольных на переходный период.
Этап пройден - все на сертификатах.
Свое хранилище в хроме и минус халява для серверов - покупаем сертификат.
Гугель просто сформировал себе ещё один рынок для заработка.
> Гугель просто сформировал себе ещё один рынок для заработка.Шпионажа.
Гугль вряд ли планирует торговать сертификатами после того как полностью разрушил этот бизнес.
А вот выяснить, что ты такое и чем занимаешься по жизни - теперь может гугль, и не может любой перехвативший твой канал, легально или не совсем. Пусть к гуглю придет - там и договорятся.В отличие от торговли сертификатами - это как раз основной бизнес гугля с момента создания.
Скорее всего, identrust захотел денег. В этой ситуации логично пожертвовать пачкой старьевщиков, и откуда они 7 процентов насчитали, китайцев что ли включили в подсчёт? Я по своей стате вижу пару процентов 5.1, треть процента 5.0 и единицы 4.х.
> Я один не понимаю, в чем проблема? Продлите сертификат и все, делов-то.А новость мы читаем допой, да?
> Five years ago, when Let’s Encrypt launched, that’s exactly what we did. We got a cross-signature from IdenTrust. Their “DST Root X3” had been around for a long time, and all the major software platforms trusted it already: Windows, Firefox, macOS, Android, iOS, and a variety of Linux distributions. That cross-signature allowed us to start issuing certificates right away, and have them be useful to a lot of people. Without IdenTrust, Let’s Encrypt may have never happened and we are grateful to them for their partnership. Meanwhile, we issued our own root certificate (“ISRG Root X1”) and applied for it to be trusted by the major software platforms.
>
>Now, those software platforms have trusted our root certificate for years. And the DST Root X3 root certificate that we relied on to get us off the ground is going to expire - on September 1, 2021. Fortunately, we’re ready to stand on our own, and rely solely on our own root certificate.
>
>However, this does introduce some compatibility woes. Some software that hasn’t been updated since 2016 (approximately when our root was accepted to many root programs) still doesn’t trust our root certificate, ISRG Root X1. Most notably, this includes versions of Android prior to 7.1.1. That means those older versions of Android will no longer trust certificates issued by Let’s Encrypt.Они не могут ничего продлить, CA сертифит IdenTrust, которому доверяют старые мобилки, сдохнет в 2021. Поскольку мобилки не обновляются, новый сертификат IdenTrust и новый сертификат LE они не получат.
Давно пора завязывать вообще в принципе с УЦ. Только самоподписанные сертификаты, только селфхостинг! Просто нужно объяснить пользователям почему им нужно добавить в разрешённые сертификат, что это норм.Мне как владельцу старенького планшета на 4.4.1 жаль конечно. Но он уже давно превратился в помойку, которая по 5 минут сайты открывает. Подойдёт разве что как читалка.
> Давно пора завязывать вообще в принципе с УЦ. Только самоподписанные сертификатыскоро и их запретят. Это же очень небезопастно.
> селфхостинг! Просто нужно объяснить пользователям почему им нужно добавить в разрешённые
> сертификат, что это норм.Они не будут ничего добавлять, и читать твоих объяснений тоже - просто не увидят за загородившей весь экран надписью "немедленно закройте страницу". Без кнопки "продолжить".
P.S. не так давно с изумлением открыл для себя, что для self-managed ca МОЖНО создать constraint, позволяющий пользователю спокойно добавить такой CA без риска - даже если твой ключ ты прогадишь, подписать им можно только твой домен. Правда, на яблоосах игнорируется, но кому их жаль.
> для self-managed ca МОЖНО создать constraint, позволяющий пользователю спокойно добавить такой CA без риска - даже если твой ключ ты прогадишь, подписать им можно только твой домен.Любопытно, где про это почитать?
> Любопытно, где про это почитать?в гугле?
nameConstraints=critical,permitted;DNS:.lab.example.com
IP: тоже можноДо кучи есть две нотации, как в примере - неправильно, но всеми поддерживается, кроме опять же каких-то корявок типа njs.
>Только самоподписанные сертификаты, только селфхостинг!Когда-то давно провел эксперимент - для своего тестового почтового сервера выпустил свои самподписанные сертификаты, подключился thunderbird'ом - он ругнулся, что мол самоподписанные сертификаты, потом я их разрешил и далее работал без выскакивающих окошек.
Далее сделал другие сертификаты, опять же самоподписанные - и thunderbird опять ругнулся, и тут я понял, что самподписанные сертификаты позволяют узнать, дать знать так сказать, что к вам или в сессию вклинились с подменой сертификата, или на сервере сертификаты поменяли.
Что-то там нужно, dns-спуффинг кажется, чтобы имя вашего сервера резолвилось в другой ip, и всего делов.
Так вот, что же будет, если у вас НЕ самоподписанный сертификат, а сертификат от легитимного но продажного выпускальщика сертификатов ?
Что-то мне подсказывает, что тот же thunderbird не чухнет подмены - легитимный же сертификат.
И да, закрытые ключи гарантированно у вас остаются, а вот в случае с LE у меня такой уверенности нет, одна только надежда :)
самоподписанные сертификаты годятся только когда ты можешь лично залить свой якорь доверия на каждое устройство. Это не тот случай, когда тебе нужно зайти на чужой сайт.
> перенаправлять запросы старых Android-устройств на HTTPА есть для андроида какое-то более-менее простое решение с прокси-сервером, который запускается прямо на смартфоне и по 127.0.0.1:3128 отдаёт расшифрованную страничку браузеру? Все сертификаты можно положить в apk такого прокси и обновлять хоть каждый день...
Можно.
Можно тупо форкнуть браузер и отдавать с единственной дельтой - хранилищем сертификатов.
Ну а зачем если можно просто сходить в настройки и доложить церт?
Ну и супер. Раз уж эта некрошушара отвалится, можно будет заодно и TLS1.2 выключить, который только ради неё ещё и поддерживается.
У меня до сих пор Nokia n900. Менять не буду, Как мне быть?
А на ней сайты по TLS 1.2 с текущими сертификатами разве открываются?
На моей Nokia 808 PureView уже давно нет.
Обновить софт, наверняка кто-то что-то пилит. А если нет - то вы пользуетесь решeтом.
Ну вот родной репозиторий n900: https://repology.org/repositories/statistics#maemo_fremantle
Каждый десятый пакет уязвим.
Пользователей такого надо как короновирусных изолировать, чтобы заразу не распространяли, и не задерживали введение более стойкого шифрования.
Обновить хранилище сертификатов, ну ил какой-нибудь Maemo Leste накатить.
> Начиная с 11 января 2021 года в API Let's Encrypt будут внесены изменения и ACME-клиентам по умолчанию начнут выдаваться сертификаты, заверенные корневым сертификатом ISRG Root X1, без перекрёстной подписи.Если вместе с этим уйдёт и этот многолетний баг, и именно по этому он так долго исправляется, то будет замечательно!
https://community.letsencrypt.org/t/ecdsa-certificate-not-ni...
Но если он после этого всё равно останется, это будет ужасно.
Долой HTTPS! Даёшь HTTP!Ну или ставьте на свой андроид postmarketOS
В HTTP/3 шифрование обязательно
> предлагается перенаправлять запросы старых Android-устройств на HTTPСначала надо подключиться по https 🖕
Мои сканери штрихкодов перестанут работать Zebra MC9200 - Android 4.0
На моделях поновее Zebra MC9300 на Android 8.0 проблем быть не должно.
ОК учтем.
Вы на ваши сканеры можете установить корневые сертификаты letsencrypt. И любые другие.Проблема существует только для условных бабушек со старыми андроидами.
> Вы на ваши сканеры можете установить корневые сертификаты letsencrypt. И любые другие.* При условии если у вас есть рут-права
> Проблема существует только для условных бабушек со старыми андроидами.
Возможно, но всякие хоноры с залоченными загрузчики пока не лечатся
За все версии андроида не скажу, но на все что у меня были я ставил свой ЦА без проблем и без рута. все необходимое есть в гугловом магазине.но среднестатистический пользователь дальше 1 кнопки всё одно не в состоянии.. да и в магазине найдет не то что надо, а трояна.
Рут нужен только если вы хотите установить по хардкору, как системный. Если достаточно установить как пользовательский (для софта разницы нет), то идете в Настройки-Безопасность-Хранилище Сертификатов - Установить. Далее указываете им скачанный .pem и все.
На разных версиях могут быть отличия, но в целом все так.
Окей, гугель, как установить на моё никем давно не поддерживаемое устройство просто ещё один корневой сертификат?
"Это открытая платформа", - говорили они.
Настройки -> Безопасность -> Установка с SD-карты
Очень просто - перевести сайт за CF, который перекрывает своим сертификатом поверх.
Очень просто переходишь на платны сертификат который поддерживают все.
И то не обязательно. https://www.buypass.com/ssl/products/acme работает в том числе в старых андроидах.
Чё ваще за дебильная ситуация? Надо новую айос 11 покупай айфон на старее 7, надо андроид 12 покупай телефон 2019г выпуска и т.п. вы поняли. Раньше так было прекрасно на сотовых, звонишь, шлёшь смс и не паришься совсем.
Сговор какой-то не иначе.
Ну создай свой сговор, звони, шли смс и не парься совсем. За соратниками первым делом сходи к той бабке, которой интернет не нужон.
Всегда можно спаять свой смартфон.
> Надо новую айос 11 покупай айфон на старее 7Какую-то фигню написал...
iPhone 5s из 2013 года поддерживает iOS 11
Ну почему же фигню. Общий посыл в том что новые ОС не встанут на старый смарт. Для айфона7 который всё ещё популярен 12 или 13 айос вроде будет последней.
> Для айфона7 который всё ещё популярен 12 или 13 айос вроде будет последней.Уже ложь. О том и говорю.
кнопочная звонилка 700р стоит новая
Нинужна!1
Посадили весь интернет, а теперь фиг вам не сертификаты...
...а теперь должны покупать.
Анон предупреждал
Пользователи смартфонов должны страдать, вы же помните, да. А, вы же там вайфай с блютузом отключаете, чтобы вас не трекали. Или не отключаете, потому что не отключается и прошивки закрытые?
> В качестве решения пользователям старых Android-устройств предлагается перейти на браузер Firefox, который имеет собственное актуальное хранилище корневых сертификатов.Так вот зачем в Chrome тоже собираются добавить свое хранилище корневых сертификатов!
> Так вот зачем в Chrome тоже собираются добавить свое хранилище корневых сертификатов!Чтоб конкурировать с Firefox 82, да... Подождите, ведь Google Chrome - Офицальная разработка Comp. Google. И этот самый браузер (#Ненужно) неудаляемый (без root прав). Нельзя было сразу в Android пропихнуть?
А причем тут - андроид? Сертификаты на андроиде - известнокто контролирует и так.Вот сломать все и на неандроидах - это да, это вызов!
> Вот сломать все и на неандроидах - это да, это вызов!Я помню, как ковырял Android для архитектуры x86. После отключения системного процесса - Через некоторое время Android (после попытки достучатся до этого процесса) - Уходил в Чёрный экран.
Независимо, важен процесс или нет.
Да, с древнего ведра было уже почти невозможно серфить по современому вэбу. Мрачный опыт.. но тогда просто пришлось искать один ISO, кое-как таки скачал :)
Ведроид открытый и всегда будет обновляться, говорили они.
да-да, охотно верили в то время :) корпорация же добра плохого выпустить не может.
Дебилизм конечно, что список корневых сертификатов гвоздями вшит в образ системы
На то они и корневые, чтобы контроль был в одних руках :)
В руках гула. гугла
> Для пользователей которым важна совместимость...а для пользователей которым хочется чтобы всё сломалось?
может им тогда выдать сразу сломанный сертификат? зачем эти полумеры :-)
// P.S.: тоже мне, умники, нашли как разделить пользователей. уж если ломать то ломать давайте всем
а ещё могут быть пользователи которые хотят чтобы сломалось, но не у них а у соседа. как быть с удовлетворением такого запроса? :-D
Я не знаю может это не в каждом Android есть такой функционал...
Но Nexus 5 версия Android 6.0.1
Идём в настройках во вкладку Security, раздел credential storage. Пункт install from storage, подсовывает скачанные со страницы https://letsencrypt.org/certificates/ pem файлы. На запрос имени пишем просто ISRG Root X1. Идём штатным хромом по ссылке https://valid-isrgrootx1.letsencrypt.org/
Убеждаемся что теперь никаких предупреждений нет. До этого собрание о проблемах с безопасностью.Ну и там же можно отключить доверие к корневым сертификатам установленными в системе.
На запрос имени можно писать все что угодно, имя все равно установится как ISRG Root X1
А вообще такая функция в андроиде была имхо всегда. На 5-ке тоже как минимум. Просто за ненадобностью никто и не знал зачем это.
какая-то версия openvpn connect стала оттуда брать сертификаты, наверно какой-нибудь ipsec также
> какая-то версия openvpn connect стала оттуда брать сертификаты, наверно какой-нибудь ipsec
> такжеНе, там когда сертификат добавляет указываешь для VPN и приложения или WLAN.
Задолбали своими сертификатами. Какого хрена кроме домена и хостинга я ещё должен платить кому-то за аренду сертификата, если мой сайт не содержит финансовой и конфиденциальной информации и мне HTTPS нафиг не сдался. Такое ощущение, что браузеры в сговоре центрами сертификации, что постепенно выживают из интернета http-ресурсы, помечая их как небезопасные. А самоподписанные, видите ли, уже не катят.