ДА>Какая длительность бесплатного серта? 2-3 месяца?
ДА>Потом или уже как опцию начнут выдавать платные серты на 1-3 года, что тут необычного? Научились у шароварщеков
Сертификаты умышленно делают с коротким сроком годности для повышения безопасности. Потому что их отзыв не работает и проще сертификаты перевыпускать регулярно (полу)автоматическими инструментами (а у провайдеров с хостинг панелями он сам выпускается, даже если пользователь не просил). Причем сертификаты Let's Encrypt можно выпускать даже для внутренних сайтов (без доступа из интернет) и сайтов с 10-ю IP для одного домена на разных континентах у разных хостеров. Так что подход "Я лучше куплю за деньги на 5 лет" — это окаменелый прошлый век для людей с устаревшими понятиями, которые до сих пор сайты по ftp загружают из Far (тут я слегка утрирую и нагнетаю для подчеркивания сути).
S>В любом случае, совершенно понятно, что за всем этим наведением сертификатов и сертификаций где-то кто-то заработает много денег.
Возможно, не не факт и уж точно доход там получается не напрямую.
S> Иначе никто не затевался бы менять все браузеры и прочую инфраструктуру.
За Let's Encrypt стоят довольно крупные конторы, а бюджет всего проекта что-то типа 3М$ в год (за инфраструктуру, всех управленцев и разработчиков и выпуске под несколько десятков или сотен миллионов сертификатов в год). Гугл довольно давно пытается навести порядок в интернет.
Кстати, тот же гугл выступил с инициативой "Certificate Transparency", когда информация обо всех выпускаемых сертификатах попадает в глобальный, всем доступный журнал, все CA обязаны прописывать туда все выпущенные сертификаты. Далее владелец сертификата может проверить, кто выпускал сертификаты для его домена. И пользователь браузера тоже может проверить, что полученный им от сайта сертификат находится в этом журнале. В результате выпустить и использовать подложный сертификат для чужого домена без палева становится нереально (либо клиент сможет это проверить, что полученный сертификат отсутствует в журнале, а в сертификате будет подпись CA, так что такой CA попадется с поличным, либо владелец домена, что кто-то выпустил сертификат без его ведома). Такая инфраструктура работает лучше проверки отзыва сертификата или "Штемпеля" на каждый выдаваемый сервером сертификат на каждый запрос клиента... И стоит она ничуть не меньше того же Let's Encrypt. Может расскажешь, как на ней гугл зарабатывает?
Так что мое IMHO — Гугл (и другие спонсоры Let's Encrypt) наводит порядок и получает лишь репутационные прибыли и чуть больше контроля над CA (китайцев выкинули из CA, остались по сути 4 конторы и все они из США, впрочем, семантиков тоже прессанули знатно, так что те бизнес продали). При этом кто-то где-то теряет, кто-то приобретает, но цель нифига не получение бабла, а наведение порядка, чтобы работать было удобнее.
Кстати, еще до Let's Encrypt был StartTLS (кажется). По сути примерно так же раздавали бесплатные сертификаты (но с чуть большими ограничениями и не автоматически) и никто особо про них теории заговора не придумывал.
Здравствуйте, Reset, Вы писали:
S>>В любом случае, совершенно понятно, что за всем этим наведением сертификатов и сертификаций где-то кто-то заработает много денег.
R>Возможно, не не факт и уж точно доход там получается не напрямую.
Даже это ещё пока не точно. Точно будет известно лет через пятнадцать-двадцать, может быть.
S>> Иначе никто не затевался бы менять все браузеры и прочую инфраструктуру.
R>За Let's Encrypt стоят довольно крупные конторы, а бюджет всего проекта что-то типа 3М$ в год (за инфраструктуру, всех управленцев и разработчиков и выпуске под несколько десятков или сотен миллионов сертификатов в год). Гугл довольно давно пытается навести порядок в интернет.
Гугл пытается навести порядок в интернет не без небольшого денежного интереса для себя. Может, это не всегда получается, но точно всегда где-то в перспективе деньги.
R>При этом кто-то где-то теряет, кто-то приобретает, но цель нифига не получение бабла, а наведение порядка, чтобы работать было удобнее.
Чтобы интернет было удобнее на себя замкнуть.
R>Кстати, еще до Let's Encrypt был StartTLS (кажется). По сути примерно так же раздавали бесплатные сертификаты (но с чуть большими ограничениями и не автоматически) и никто особо про них теории заговора не придумывал.
Пока хром не показывал красных окошек на сайты без SSL, всем было пофигу.
Здравствуйте, Cyberax, Вы писали:
S>>Это же будет не первый раз, когда сертификаты за $6 в год внезапно становились недостаточно хорошими, правда? C>В FireFox в данный момент 150 разных центров сертификации: https://ccadb-public.secure.force.com/mozilla/IncludedCACertificateReport
C>Что, прямо они все исчезнут?
А что мешает? Ты помнишь может, были такие infoseek, altavista, и ещё с десяток разных? Исчезли так, что и названий-то никто не вспомнит.
ДА>>Потом или уже как опцию начнут выдавать платные серты на 1-3 года, что тут необычного? Научились у шароварщеков C>Нет.
C>Фича Let's Encrypt в том, что сертификаты выдаются и обновляются полностью автоматически. Они принципиально не собираются выдавать долгосрочные сертификаты. Скорее наоборот, срок действия снизят.
Ну не сертификаты, так что-нибудь еще, могут и перепродавать без упоминания true провайдера: домены, хостинги, элитные мылы, любая реклама по тематике их работы?
Здравствуйте, Sharowarsheg, Вы писали:
C>>В FireFox в данный момент 150 разных центров сертификации: https://ccadb-public.secure.force.com/mozilla/IncludedCACertificateReport C>>Что, прямо они все исчезнут? S>А что мешает? Ты помнишь может, были такие infoseek, altavista, и ещё с десяток разных? Исчезли так, что и названий-то никто не вспомнит.
Прямо ВСЕ исчезнут? Кстати, я не помню, чтобы altavista и infoseek были в списке CA.
Здравствуйте, Дядюшка Ау, Вы писали:
C>>Фича Let's Encrypt в том, что сертификаты выдаются и обновляются полностью автоматически. Они принципиально не собираются выдавать долгосрочные сертификаты. Скорее наоборот, срок действия снизят. ДА>Ну не сертификаты, так что-нибудь еще, могут и перепродавать без упоминания true провайдера: домены, хостинги, элитные мылы, любая реклама по тематике их работы?
Let's Encrypt — это некоммерческая организация. Что там можно будет по тематике их работы перепродавать?
Здравствуйте, Cyberax, Вы писали:
C>Здравствуйте, Дядюшка Ау, Вы писали:
C>>>Фича Let's Encrypt в том, что сертификаты выдаются и обновляются полностью автоматически. Они принципиально не собираются выдавать долгосрочные сертификаты. Скорее наоборот, срок действия снизят. ДА>>Ну не сертификаты, так что-нибудь еще, могут и перепродавать без упоминания true провайдера: домены, хостинги, элитные мылы, любая реклама по тематике их работы? C>Let's Encrypt — это некоммерческая организация. Что там можно будет по тематике их работы перепродавать?
Здравствуйте, Дядюшка Ау, Вы писали:
C>>Let's Encrypt — это некоммерческая организация. Что там можно будет по тематике их работы перепродавать? ДА>Пример магазина нон пруфит организации: ДА>https://shop.fsf.org/ ДА>Продавать можно все, что угодно, спросите у мракетологов.
Ага. И продажа сертификатов Let's Encrypt — это способ протолкнуть продажу футболок. Ага.
Здравствуйте, Shmj, Вы писали:
S>На чем зарабатывают Let’s Encrypt?
Они не зарабатывают. Это некоммерческая организация.
S>Или они просто такие добряки, деньги им не нужны и просто всем дают бесплатно то есть даром?
Так хочется платить за воздух? Выпуск сертификата это полностью автоматизированная операция. Вычислительные затраты околонулевые. Никакой причины брать за это деньги нет.
Здравствуйте, vsb, Вы писали:
S>>На чем зарабатывают Let’s Encrypt?
vsb>Они не зарабатывают. Это некоммерческая организация.
S>>Или они просто такие добряки, деньги им не нужны и просто всем дают бесплатно то есть даром?
vsb>Так хочется платить за воздух? Выпуск сертификата это полностью автоматизированная операция. Вычислительные затраты околонулевые. Никакой причины брать за это деньги нет.
Там где-то достоверность же фигурирует, правда? А то может ещё и тайна? Вот она и стоит денег.
Здравствуйте, Cyberax, Вы писали:
S>>А что мешает? Ты помнишь может, были такие infoseek, altavista, и ещё с десяток разных? Исчезли так, что и названий-то никто не вспомнит. C>Прямо ВСЕ исчезнут?
Почему нет? Как поисковики исчезли, так и эти исчезнут.
Здравствуйте, Cyberax, Вы писали:
C>Ага. И продажа сертификатов Let's Encrypt — это способ протолкнуть продажу футболок. Ага.
Если продажа футболок может приносить достаточно денег, то почему нет, особенно если деньги у них закончатся из других источников?
Они ведь могут сделать полный ребрендинг чужого готового сервиса и тратить на такую продажу футболок не больше времени, сил и вычислительных циклов, чем на бесплатную раздачу сертов.
Здравствуйте, Sharowarsheg, Вы писали:
vsb>>Так хочется платить за воздух? Выпуск сертификата это полностью автоматизированная операция. Вычислительные затраты околонулевые. Никакой причины брать за это деньги нет.
S>Там где-то достоверность же фигурирует, правда?
Правда.
S>А то может ещё и тайна?
Какая тайна?
S>Вот она и стоит денег.
Ну если цифры верные, то 200 млн сайтов на 3 млн долларов, вот такая вот цена у этой достоверности. Полтора цента. И то львиная доля наверняка за счёт начальной разработки софта, когда всё утрясётся, программистов можно будет увольнить.
S>>Там где-то достоверность же фигурирует, правда?
vsb>Правда.
S>>А то может ещё и тайна?
vsb>Какая тайна?
Да хрен его знает, я не особо в этих сертификатах, там никаких копий ключей не передаётся? То, что называется закрытый ключ? Может и нет.
S>>Вот она и стоит денег.
vsb>Ну если цифры верные, то 200 млн сайтов на 3 млн долларов, вот такая вот цена у этой достоверности. Полтора цента. И то львиная доля наверняка за счёт начальной разработки софта, когда всё утрясётся, программистов можно будет увольнить.
Это пока эта штука никому не нужна, чтобы какие-нибудь ключи куда-нибудь слить, или там, не те запросы не так подписать, или ещё вроде того. Когда окажется нужна, станет внезапно дороже.
Здравствуйте, Sharowarsheg, Вы писали:
S>Это пока эта штука никому не нужна, чтобы какие-нибудь ключи куда-нибудь слить, или там, не те запросы не так подписать, или ещё вроде того. Когда окажется нужна, станет внезапно дороже.
Мда. До чего жизнь в России доводит.
Здравствуйте, Sharowarsheg, Вы писали:
S>Да хрен его знает, я не особо в этих сертификатах, там никаких копий ключей не передаётся? То, что называется закрытый ключ? Может и нет.
Здравствуйте, Cyberax, Вы писали:
S>>Это пока эта штука никому не нужна, чтобы какие-нибудь ключи куда-нибудь слить, или там, не те запросы не так подписать, или ещё вроде того. Когда окажется нужна, станет внезапно дороже. C>Мда. До чего жизнь в России доводит.
Здравствуйте, Sharowarsheg, Вы писали:
S>Да хрен его знает, я не особо в этих сертификатах, там никаких копий ключей не передаётся? То, что называется закрытый ключ? Может и нет.
Нет, закрытый ключ не передаётся. Закрытый ключ хранится на сервере (а в особо серьёзных случаях вообще в специальном криптографическом устройстве). Передаётся открытый ключ, который включается в сертификат и этот сертификат потом подписывается и выдаётся серверу.
S>>>Вот она и стоит денег.
vsb>>Ну если цифры верные, то 200 млн сайтов на 3 млн долларов, вот такая вот цена у этой достоверности. Полтора цента. И то львиная доля наверняка за счёт начальной разработки софта, когда всё утрясётся, программистов можно будет увольнить.
S>Это пока эта штука никому не нужна, чтобы какие-нибудь ключи куда-нибудь слить, или там, не те запросы не так подписать, или ещё вроде того. Когда окажется нужна, станет внезапно дороже.
Ключи слить невозможно, нет к ним доступа (1). Если запросы не так подписать, просто всё сломается. Если letsencrypt завтра закроется, придётся покупать сертификат у других УЦ, причём бесплатных вроде и не осталось, поэтому да, в этом случае на несколько долларов в год придётся раскошелиться. Но это самое плохое, что может случиться (да и в этом случае с большой вероятностью появится какой-нибудь бесплатный тариф).
(1) на самом деле большинство администраторов для выпуска сертификатов используют certbot от letsencrypt. Хотя протокол открытый и достаточно простой, хотя имеется уйма клиентов, всё же он самый популярный. При этом этот certbot запускается от root, в типовой конфигурации имеет доступ к ключам, состоит из уймы питоновских модулей, в которых сам чёрт ногу сломит и я вполне допускаю ситуацию, когда в нём будет уязвимость, через которую будут утекать ключи. Но если этим озаботиться, то эту проблему вполне реально нивелировать.
Здравствуйте, Cyberax, Вы писали:
C>Ну вот откуда такой бред придумывают?...
Что значит бред? Сегодня оно кажется странным, завтра оказывается в продакшн. Например, уже сейчас мобильному оператору технически возможно понять, что данный трафик — с мессенджера (почти любого), и при необходимости дропать его или вызывать деградацию канала.
Увы, но чем глубже погружаешься в современный телеком, тем больше понимаешь:
* раньше протоколы развивались, чтобы дать пользователю возможности
* далее протоколы развивались, чтобы дать пользователю безопасность
* сегодня они развиваются, чтобы дать пользователю Большого Брата
Да, идеальным было бы иметь возможность оператору распаковать весь HTTPS и пересобрать исходя из его бизнес-нужд, но нынешний его вариант ползволяет такое либо через mitm-сертификат, либо через эксплуатацию уязвимости (что ненадёжно и хлопотно). Ждём HTTPGS? (G stands for G-approved security)
