LINUX.ORG.RU

Руцентр «оптимизировал» работу с клиентами по выдаче сертификатов

 , ,


2

2

Взяли мы, значит, сегодня, вилдкарт сертификат в руцентре за 10к деревянных...

Руцентр сразу же отправил письмо (с ссылкой на подтверждение прав на домен) на ящик admin@нашдомен.

Однако, такого ящика на этом домене у нас нет.

И действительно, можно же указать другой ящик... ой... ограниченный выпадающим списком, который предлагает руцентр (admin, administrator, hostmaster, webmaster, postmaster).

Ладно, меняем на postmaster и... ждём — ведь отправить повторное письмо можно только через час.

Пока ждём, генерируем на своем сервере *.key а из него *.csr.

Через час отправляем письмо на постмастер ящик. Письмо приходит. Серт выпускается и...

ОНИ СГЕНЕРИРОВАЛИ *.key и *.csr ДЛЯ НАС САМИ!!!

https://www.youtube.com/watch?v=1dRrE_ROot0

Хм... Что же делать? Оказывается, чтобы всунуть им свой *.csr, нужно заказать перевыпуск сертификата. Благо — это бесплатно.

Ладно, нажимаем кнопку «перевыпустить» и видим такую картину:

(тут и далее, красные рамки мои)

https://pic4a.ru/95/nKu.png

1) О! Так они и не скрывают, что секретный ключ скомпрометирован!

2) Да, они снова сразу хотят отправить письмо на admin@нашдомен без возможности выбора на этом шаге. Жмакаем «продолжить»:

https://pic4a.ru/95/ni8.png

Всё ещё впаривают тот *.csr от скомпрометированного ключа. Такая большая кнопка «сохранить приватный ключ» и такая блеклая ссылочка «использовать свой csr».

Жмакаем «использовать свой». Да, письмо уходит на «админ», снова правим на «постмастер», снова ждём час и жмакаем повтор отправки.

Теперь ждём ещё часик. Может два?

Ну, баба Маня у них там одна, и серты выпускает и письма рассылает. Ей и так тяжело, вот, решили они, сердобольные, оптимизировать её работу, а главное — безопасность повысить.

Будьте внимательны!!!

Модераторы, если считаете что теме место в другом разделе (security, talks) — переносите.

Решето!

А с другой стороны, большинство клиентов дебилы, и им всякие слова типа CSR не понятны, у них голова заболит от такого

Harald ★★★★★
()

Мда. «Ваша безопасность наша работа! И вдруг нам надо будет ради вас расшифровать всё ваше, зачем не важно, главное ради вас!», вроде раньше просили именно свои заслать, а не левые принимать или я с другой конторой путаю

Deleted
()
Ответ на: комментарий от Deleted

главное ради вас!

Обычно всё ради детей делается. Очень приятно, что и ради нас хоть что-то.

beaver
()

Список ящиков правильный, так и должно быть.

В остальном - бритва Хэнлона во все поля.

Deleted
()
Ответ на: комментарий от beaver

Иначе кто угодно с этого домена может выпустить валидный сертификат и, возможно, в будущем делать MITM.

Deleted
()
Ответ на: комментарий от Deleted

Они. Но теперь свой ввести можно только через перевыпуск.

deep-purple ★★★★★
() автор топика
Ответ на: комментарий от Deleted

Этот «кто угодно» с «левого» мыла (но на том же домене) не может подтвердить права на домен в личной кабинке в руцентре без авторизации.

deep-purple ★★★★★
() автор топика
Ответ на: комментарий от deep-purple

Дополнительная проверка, это нормально. Тебя же просят ввести текущий пароль при попытке его изменения на практически любом ресурсе? Тут так же.

Кроме того, по какому-то стандарту эти ящики должны существовать, и администратор домена должен иметь над ними контроль.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от deep-purple

Если ты про то, что .dev использовался криворукими программистами для тестирования своих проектов, то это их проблемы. Никакого стандарта про это не было.

Deleted
()

Вы там зажрались в своей России, вот что! Я давеча в четверг у одного европейского хостера заказал доступ к S3 совместимому хранилищу для резервных копий. И сегодня пришло письмо, приходите, доступ создан вот ваш пароль с логином. Даже недели не прошло, я уж и не надеялся. А ему, значит, часик подождать некогда, тварь неблагодарная!

ugoday ★★★★★
()
Ответ на: комментарий от ugoday

Ты, случаем, не внучек той бабы Мани? ))

deep-purple ★★★★★
() автор топика

Поганая контора. Я от них 12 лет назад свалил. Любой человек, имеющий хоть каплю самоуважения, знает что ru-center это днищенское дно. Зачем кто-то продолжает использовать это?

Maniac_with_a_saw
()
Ответ на: комментарий от Deleted

Это да, из этих же сообщений, беспокойства о безопасности, они дают свой скопированный ключ.

Интересно другое, когда ты поддерживать подобные ходы начал?

anonymous
()

Руцентр сразу же отправил письмо (с ссылкой на подтверждение прав на домен) на ящик admin@нашдомен.

Подтверждением домена занимается удостоверяющий центр (УЦ) и письмо для подтверждения домена отправляет он

ограниченный выпадающим списком, который предлагает руцентр (admin, administrator, hostmaster, webmaster, postmaster).

Это ограничение УЦ

https://knowledge.digicert.com/generalinformation/INFO2607.html

pru-mike ★★
()
Последнее исправление: pru-mike (всего исправлений: 1)
Ответ на: комментарий от anonymous

Они же не отнимают у тебя возможность сделать свой ключ? Значит, все ок. А тем, кто вообще не разбирается в вопросе, так даже удобнее.

Deleted
()
Ответ на: комментарий от deep-purple

Всё примерно так же. Сейчас сделают КЭП без предварительного подтверждения личности(только проверят правильность заявленных данных), и уже потом, при передаче готового носителя, проверят по паспорту. Тоже упростили. Сейчас почти по всем схемам УЦ получает доступ к приватному ключу. Или даже если ключ неизвлекаем, то успользовать его они тоже могли успеть.

Это с УЦ, а в ПО ещё не так давно приватный ключ выгружался на сайт, где происходило подписание. И в некоторых системах для доступа к старым данным может понадобиться просроченный ключ(видел проблемы пару лет назад, когда был утерян ключ примерно 2008-го года, который еще на дискете был).

boowai ★★★★
()

Взяли мы, значит, сегодня, вилдкарт сертификат в руцентре
в руцентре

сами себе буратины злобные

anonymous
()

Поставил(мысленно) лайк товарищу майору за смекалку, хорошая идея. То как ведутся дела в ит сфере россии можно было понять еще во времена отжатия домена у рутрекера(торрентсру вроде?), кто этого до сих пор не осознал - тут вы сами ребята виноваты. Хотя в те времена гайки так не затягивали. З.ы. а чего ты собственно возмущаешься, или тебе есть что скрывать?

anonymous
()

Действительно, гениально.

t184256 ★★★★★
()
Ответ на: комментарий от Deleted

И вдруг нам надо будет ради вас расшифровать всё ваше

Я тебе дам мой сертификат, ключ и дамп трафика.
Сколько тебе времени нужно на расшифровку?

zolden ★★★★★
()
Последнее исправление: zolden (всего исправлений: 1)
Ответ на: комментарий от Maniac_with_a_saw

Затем что уже используют. А с этого регистратора та ещё морока переехать. Ессно, новым я советую других.

deep-purple ★★★★★
() автор топика
Ответ на: комментарий от Harald

О, кстати с этим отдельная история — многие клиенты просто до сих пор не умеют много чего и приходится использовать подтухшие чиферы(?), И выше ранка F не прыгнуть.

deep-purple ★★★★★
() автор топика

Я все понял, кроме одного

1) О! Так они и не скрывают, что секретный ключ скомпрометирован!

Откуда этот вывод? То, что они пихают свой csr и закрытый ключ у них может хранится на сервере, это понятно.

Это я к тому, что на скрине есть наречие когда. Что ты имел ввиду? Именно, что секретный ключ у них лежит?

Twissel ★★★★★
()

1) О! Так они и не скрывают, что секретный ключ скомпрометирован!

ну, это конечно же ппппять! в мониторе я вижу только те пиксели/буквы/фигуры - на которые глаз упал. остальное не читаю. анафига? для Ъ - кусок выделенной фразы красным на скрине (какбы) вырван из контекста. там чуть выше написано - перевыпуска надо делать когда ключ скомпрометирован. но идиот конечно будет видеть последние два слова и кококать что они не скрывают.

shashilx ★★
()

Однако, такого ящика на этом домене у нас нет.

и поэтому - ты пришел сюда и расплакался? сделать ящик - нафигнафиг, я на лор пошел поплачу. фигсним, не делаем мы ящик, не нужен он нам. ну ок, чё. сиди и жди час чтоб поправить. вместо того чтоб создать, получить и удалить ящик. но это всё - высшая математика, лучше на лор плакать.

ОНИ СГЕНЕРИРОВАЛИ *.key и *.csr ДЛЯ НАС САМИ!!!

обосратушки. еще больше слёзок.

переносите

да её сносить надо, эту тему, а не перносить.

shashilx ★★
()

Для полного счастья тебя ещё забанят за подозрительную активность :)

А чего letsencrypt не пользуешь? Денег лишних много?

Legioner ★★★★★
()
Последнее исправление: Legioner (всего исправлений: 1)
Ответ на: комментарий от shashilx

ОНИ СГЕНЕРИРОВАЛИ *.key и *.csr ДЛЯ НАС САМИ!!!

обосратушки. еще больше слёзок.

Если не понимаешь, что это означает, воздержался бы от пердения в лужу.

ass ★★★★
()
Ответ на: комментарий от ass

Я вот тоже хочу понять.

Подвох в том, что закрытый ключ может лежать где-то у них?

Больше тут вроде нигде дырочек нет))

Twissel ★★★★★
()
Ответ на: комментарий от Legioner

Что сказали то и пользую. Мы люди подневольные и тут указывать не можем.

deep-purple ★★★★★
() автор топика
Ответ на: комментарий от ass

ну конеш, я незнаю что это CSR (Certificate Signing Request) и закрытый ключ. конеш я незнаю ))) чё сказать то хотел?

shashilx ★★
()
Ответ на: комментарий от deep-purple

я тебе уже объяснял, что вместо того чтоб сделать почтовый ящик, получить письмо и удалить - потратишь 5 минут. но нет. тебе его лень/неумеешь (нужно подчеркнуть) - создать. ты решил подождать. ну ок. только зачем об этом всем рассказывать?

shashilx ★★
()
Последнее исправление: shashilx (всего исправлений: 1)
Ответ на: комментарий от shashilx

Ты идиот? Я что, по твоему каждый день сертификаты леплю и каждый день на руцентре, что помню весь их интерфейс до шага и кнопочки?

deep-purple ★★★★★
() автор топика
Ответ на: комментарий от deep-purple

идиот ты. потому что читаешь наискосок. думаешь о чёмто своём. тебе оно предложило на админ@домен - ну так вперёд делать этот админ@домен.

каждый день сертификаты леплю

ну, у меня было дело, что лепил по 5-10 в день. и я тебе открою секрет - у некоторых вообще кроме admin@domain никаких вариантов.

shashilx ★★
()
Ответ на: комментарий от shashilx

https://www.youtube.com/watch?v=eVZBNN-km-0

тебе оно предложило на админ@домен

Оно не предложило, а сразу отправило. Возможность выбора появилась только после отправки. А постмастер у меня таки был.

у некоторых вообще кроме admin@domain никаких вариантов

ССЗБ

deep-purple ★★★★★
() автор топика
Последнее исправление: deep-purple (всего исправлений: 1)
Ответ на: комментарий от anonymous

Тебе не нужно, а другим нужно.

Мир уже дошёл до того, что приходится скрываться анонимусом, чтобы признать что тебе нужен Руцентр.

Promusik ★★★★★
()

Тов. майору лучше знать какой ключ секретнее!

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.