Руцентр «оптимизировал» работу с клиентами по выдаче сертификатов

Решето!

А с другой стороны, большинство клиентов дебилы, и им всякие слова типа CSR не понятны, у них голова заболит от такого

Мда. «Ваша безопасность наша работа! И вдруг нам надо будет ради вас расшифровать всё ваше, зачем не важно, главное ради вас!», вроде раньше просили именно свои заслать, а не левые принимать или я с другой конторой путаю

главное ради вас!

Обычно всё ради детей делается. Очень приятно, что и ради нас хоть что-то.

Список ящиков правильный, так и должно быть.

В остальном - бритва Хэнлона во все поля.

Список ящиков правильный, так и должно быть.

Обоснуй что ли.

Иначе кто угодно с этого домена может выпустить валидный сертификат и, возможно, в будущем делать MITM.

Они. Но теперь свой ввести можно только через перевыпуск.

ОНИ СГЕНЕРИРОВАЛИ *.key и *.csr ДЛЯ НАС САМИ!!!

https://lamcdn.net/wonderzine.com/post_image-image/fLPkmDenUkD9wres6U8NAg-art... :3 спасибо

Этот «кто угодно» с «левого» мыла (но на том же домене) не может подтвердить права на домен в личной кабинке в руцентре без авторизации.

Дополнительная проверка, это нормально. Тебя же просят ввести текущий пароль при попытке его изменения на практически любом ресурсе? Тут так же.

Кроме того, по какому-то стандарту эти ящики должны существовать, и администратор домена должен иметь над ними контроль.

по какому-то стандарту эти ящики должны существовать

Да, как tld *.dev который теперь у гугла.

Если ты про то, что .dev использовался криворукими программистами для тестирования своих проектов, то это их проблемы. Никакого стандарта про это не было.

Про то, как работает в РФ ЭЦП тебе лучше не знать...

Вы там зажрались в своей России, вот что! Я давеча в четверг у одного европейского хостера заказал доступ к S3 совместимому хранилищу для резервных копий. И сегодня пришло письмо, приходите, доступ создан вот ваш пароль с логином. Даже недели не прошло, я уж и не надеялся. А ему, значит, часик подождать некогда, тварь неблагодарная!

Ты, случаем, не внучек той бабы Мани? ))

Заинтриговал, касатик. Рассказывай.

Поганая контора. Я от них 12 лет назад свалил. Любой человек, имеющий хоть каплю самоуважения, знает что ru-center это днищенское дно. Зачем кто-то продолжает использовать это?

Это да, из этих же сообщений, беспокойства о безопасности, они дают свой скопированный ключ.

Интересно другое, когда ты поддерживать подобные ходы начал?

Руцентр сразу же отправил письмо (с ссылкой на подтверждение прав на домен) на ящик admin@нашдомен.

Подтверждением домена занимается удостоверяющий центр (УЦ) и письмо для подтверждения домена отправляет он

ограниченный выпадающим списком, который предлагает руцентр (admin, administrator, hostmaster, webmaster, postmaster).

Это ограничение УЦ

https://knowledge.digicert.com/generalinformation/INFO2607.html

Они же не отнимают у тебя возможность сделать свой ключ? Значит, все ок. А тем, кто вообще не разбирается в вопросе, так даже удобнее.

Всё примерно так же. Сейчас сделают КЭП без предварительного подтверждения личности(только проверят правильность заявленных данных), и уже потом, при передаче готового носителя, проверят по паспорту. Тоже упростили. Сейчас почти по всем схемам УЦ получает доступ к приватному ключу. Или даже если ключ неизвлекаем, то успользовать его они тоже могли успеть.

Это с УЦ, а в ПО ещё не так давно приватный ключ выгружался на сайт, где происходило подписание. И в некоторых системах для доступа к старым данным может понадобиться просроченный ключ(видел проблемы пару лет назад, когда был утерян ключ примерно 2008-го года, который еще на дискете был).

Взяли мы, значит, сегодня, вилдкарт сертификат в руцентре
в руцентре

сами себе буратины злобные

Поставил(мысленно) лайк товарищу майору за смекалку, хорошая идея. То как ведутся дела в ит сфере россии можно было понять еще во времена отжатия домена у рутрекера(торрентсру вроде?), кто этого до сих пор не осознал - тут вы сами ребята виноваты. Хотя в те времена гайки так не затягивали. З.ы. а чего ты собственно возмущаешься, или тебе есть что скрывать?

Руцентр

Не нужно! Уже давно.

Действительно, гениально.

И вдруг нам надо будет ради вас расшифровать всё ваше

Я тебе дам мой сертификат, ключ и дамп трафика.
Сколько тебе времени нужно на расшифровку?

((

Затем что уже используют. А с этого регистратора та ещё морока переехать. Ессно, новым я советую других.

А ты нечегоскрыватель?

а ты DHE и ECDHE не используешь? :P

О, кстати с этим отдельная история — многие клиенты просто до сих пор не умеют много чего и приходится использовать подтухшие чиферы(?), И выше ранка F не прыгнуть.

Я все понял, кроме одного

1) О! Так они и не скрывают, что секретный ключ скомпрометирован!

Откуда этот вывод? То, что они пихают свой csr и закрытый ключ у них может хранится на сервере, это понятно.

Это я к тому, что на скрине есть наречие когда. Что ты имел ввиду? Именно, что секретный ключ у них лежит?

1) О! Так они и не скрывают, что секретный ключ скомпрометирован!

ну, это конечно же ппппять! в мониторе я вижу только те пиксели/буквы/фигуры - на которые глаз упал. остальное не читаю. анафига? для Ъ - кусок выделенной фразы красным на скрине (какбы) вырван из контекста. там чуть выше написано - перевыпуска надо делать когда ключ скомпрометирован. но идиот конечно будет видеть последние два слова и кококать что они не скрывают.

Однако, такого ящика на этом домене у нас нет.

и поэтому - ты пришел сюда и расплакался? сделать ящик - нафигнафиг, я на лор пошел поплачу. фигсним, не делаем мы ящик, не нужен он нам. ну ок, чё. сиди и жди час чтоб поправить. вместо того чтоб создать, получить и удалить ящик. но это всё - высшая математика, лучше на лор плакать.

ОНИ СГЕНЕРИРОВАЛИ *.key и *.csr ДЛЯ НАС САМИ!!!

обосратушки. еще больше слёзок.

переносите

да её сносить надо, эту тему, а не перносить.

Для полного счастья тебя ещё забанят за подозрительную активность :)

А чего letsencrypt не пользуешь? Денег лишних много?

ОНИ СГЕНЕРИРОВАЛИ *.key и *.csr ДЛЯ НАС САМИ!!!

обосратушки. еще больше слёзок.

Если не понимаешь, что это означает, воздержался бы от пердения в лужу.

Я вот тоже хочу понять.

Подвох в том, что закрытый ключ может лежать где-то у них?

Больше тут вроде нигде дырочек нет))

Не нужно! Уже давно.

Тебе не нужно, а другим нужно.

Руцентровский засланец детектед.

Что сказали то и пользую. Мы люди подневольные и тут указывать не можем.

ну конеш, я незнаю что это CSR (Certificate Signing Request) и закрытый ключ. конеш я незнаю ))) чё сказать то хотел?

нафиг, нафиг ваш руцентр. кто тебе доктор, что тебе захотелось подождать?

нафиг ваш руцентр

Ок

кто тебе доктор, что тебе захотелось подождать?

https://www.youtube.com/watch?v=fwBEAX8sL24

я тебе уже объяснял, что вместо того чтоб сделать почтовый ящик, получить письмо и удалить - потратишь 5 минут. но нет. тебе его лень/неумеешь (нужно подчеркнуть) - создать. ты решил подождать. ну ок. только зачем об этом всем рассказывать?

Ты идиот? Я что, по твоему каждый день сертификаты леплю и каждый день на руцентре, что помню весь их интерфейс до шага и кнопочки?

идиот ты. потому что читаешь наискосок. думаешь о чёмто своём. тебе оно предложило на админ@домен - ну так вперёд делать этот админ@домен.

каждый день сертификаты леплю

ну, у меня было дело, что лепил по 5-10 в день. и я тебе открою секрет - у некоторых вообще кроме admin@domain никаких вариантов.

https://www.youtube.com/watch?v=eVZBNN-km-0

тебе оно предложило на админ@домен

Оно не предложило, а сразу отправило. Возможность выбора появилась только после отправки. А постмастер у меня таки был.

у некоторых вообще кроме admin@domain никаких вариантов

ССЗБ

Тебе не нужно, а другим нужно.

Мир уже дошёл до того, что приходится скрываться анонимусом, чтобы признать что тебе нужен Руцентр.

Тов. майору лучше знать какой ключ секретнее!