Это же сколько подпейсальщиков разорится... Ну, зато хотя бы браузер материться перестанет, что есть правильно.

Они хоть паспорт требуют, или теперь кто угодно может анонимно иметь сертификат, на который браузер не будет материться?

Паспорт-то зачем? Задача сертификата в вебе — идентифицировать домен, а не владельца. И да, для получения сертификата необходимо подтвердить контроль над доменом, путём внесения записи в DNS или просто в корень сайта, на который домен ссылается.

Даже если требуют, как они в своей Америке проверят валидность российского паспорта, например?

тогда можно легко будет «подменить сертификат» wikipedia.org, например. e в названии написать кириллицей, да и всё.

И как ты его подменишь? Сертификат-то машина проверяет, а не человек. А для машины это разные буквы и разные домены.

А чем это принципиально отличается от нынешней ситуации? Кто-то мешает такой домен подписать?

Кто угодно, без смс. В этом вся фишка. Это ж не Extended Validation. Достаточно права на домен подтвердить.

А-а-а, это практически УРА! Хочу себе уже сертификатик отмутить. Интересно какие по срокам будут давать... А по поводу «может получить любой», то что в этом страшного? Получит владелец домена, который подтвердит свою возможность управления доменом. Ведь зада - установить зашифрованное соединение и подтвердить что домен соответствует сертификату - все. Больше особо ничего не требуется...

а домен сбеpбaнк.рф я смогу так зарегистировать и получить рабочий сертификат?

тогда можно легко будет «подменить сертификат» wikipedia.org, например. e в названии написать кириллицей, да и всё.

Ммм, я не знаю есть ли там такие проверки (хотелось бы), но так сделать ты можешь прямо сейчас. На сколько помню, например, comodo раздавал сертификаты через web API, без проверки человеком. Главное плати.

Вот описание: https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/958/...

если ты контролируешь домен сбербанк.рф, то да. И в этом нет ничего странного.

если ты контролируешь домен сбербанк.рф, то да. И в этом нет ничего странного.

Ты не знаешь о «фишинге»? Это когда подменяют буквы в URL адресе на похожие. Например a-а, k-к, o-о, n-п, p-р. Собственно выдача сертификата производиться после проведения некоторого аудита человеком. Проверяют документы, содержимое сайта и собственника домена.

сертификаты — они против атаки «человек по середине», «человек по середине» просто перенаправит автоматически с wikipedia.org на свой wikipеdia.org с кириллической буквой, а там его сертификат будет уже валидным.

ну или просто перейдёт человек по ссылке с левого сайта

подозреваю возможность автоматически сделать поддельный сертификат.

Ты не знаешь о «фишинге»? Это когда подменяют буквы в URL адресе на похожие.

Складывается впечатление, что ты не до конца понял про какие сертификаты идёт речь.

А что тебе мешает сейчас получить бесплатный сертификат, например, здесь: http://www.startssl.com/?

А если злой провайдер на время перенаправит запросы к тебе на свой специальный сайт и получит сертификат на твой домен вместо тебя? Как это использовать назаметно от тебя, надо еще подумать, но идентификация не 100%.

Если контроллировать dns сервера (или трафик в направлении let's encrypt) то можно и автоматически. Вот только pinning никто не отменял.

Складывается впечатление, что ты не до конца понял про какие сертификаты идёт речь.

Ты имеешь ввиду «серую» категорию? В то время как банки используют «зелёную».

«человек по середине» просто перенаправит автоматически с wikipedia.org на свой wikipеdia.org

Каким образом он это перенаправление делать будет?

Что-то они всё переносят и переносят, как Samsung смарт на Tizen.

Последний раз помню 15 сентября уже обещали, теперь 16 ноября аж.

Да легко. Влезет кулхацкер в твою wifi-сеть через очередную дыру, засрёт тебе arp-кэш и пожалуйста.

А чем тебе поможет паспорт? Что он изменит? Ну кроме как добавит кучу бюрократии и возни?

Создают ложное ощущение безопасности.

Wildcard есть? Если нет - нафиг не нужны, бесплатные сертификаты на один домен и так выдаёт куча регистраторов.

И че? SSL для таких ситуаций и создавали. Браузер увидит, что в сертификате не то имя, которое ожидается - и будет предупреждение показывать.

То что я не знал о его существовании. Спасибо за наводку конечно, но сейчас я уже торопиться не буду, посмотрю на условия...

Есть ещё китайцы WoSign: https://buy.wosign.com/free/, дают бесплатный сертификат на три года и сто поддоменов, в цепочке промежуточный сертификат от StartSSL. Выкатили в начале лета несколько штук в продакшн, полёт нормальный.

Специально не регистрируюсь у StartSSL, чтобы получить у этих ребят, ждем.

Это не они проепотеряли свой сертификат, с помощью которого потом выпустили сертификат для google.com?

Оно будет заставлять верифицировать личность, отправлять паспорта и тд?

Нет.

Нет. В идеале выпуск сертификата будет полностью автоматизирован: утилита сгенерирует CSR, положит нужный файл в корень сайта, дождётся результата проверки, получит сертификат и настроит веб-сервер.

Нет. Ссылка ж есть, полазай, почитай.

А там будет wildcard?

Такого и сейчас в интернете полно.

«Ошибся на одну букву в домене порносайта — попал на другой порносайт». Такое же и с нормальными сайтами.

Готов!

http://i.imgur.com/FDBABVV.png

Не знаю. Надеюсь что будет.

Еще в браузерах коррень не проапдейтили. Новость-то почитай.

Так я таких сертификатов тебе сколько хочешь нагенерирую.
А пафоса то нагнали! ВЫПУСТИЛИ ПЕРВЫЙ СЕРТИФИКАТ ШОК 18+ ВИДЕО

Не забудь добиться принятия твоего корневого сертификата в браузеры и ОС.

Так они что, уже добились? Даже петухи из cacert всучают свои сертификаты во всякие линупсы

В их успехе у меня мало сомнений, в твоём - много.

Уря! Подписался на бета-тестинг.

Ну вот cacert.org отовсюду пинают, включен только в хипстерские дистрибутивы, вроде gentoo, даже космонавт не принимает

За ними не стоит Linux Foundation. А еще можно посмотреть на верхушку ISRG - https://letsencrypt.org/isrg/

Нет, не будет. Инфа 100% из коммьюнити-раздела на сайте. Возможно, позже добавят, но считают это неприоритетным вроде.

Угу, домен xn--wikipdia-g8g.org выглядит ну совсем не подозрительно.