LINUX.ORG.RU
решено ФорумTalks

Существует ли российская альтернатива Let's Encrypt?

 


0

1

Будут ли выдаваемые на нём сертификаты соответствовать требованиям ФАПСИ, ФСБ, использовать алгоритмы шифрования и подписей по ГОСТ и что там ещё бывает?

Если нет, то почему нет? Что мешает?

См. также Скандинавская альтернатива Let's Encrypt

★★★★

Последнее исправление: Shushundr (всего исправлений: 1)
minetest переименовали в luanti
Где деньги, Зин^W планшет, Анатолий Борисович?

В смысле халявный TLS? На нем же нельзя деньги зарабатывать. Разве что из госбюджета будут финансировать)

goingUp ★★★★★
()
Ответ на: комментарий от goingUp

Есть коммерческие участники российского ИТ-рынка. Они основали АНО «Открытый код», почему обязательно из бюджета правительства?

Shushundr ★★★★
() автор топика
Ответ на: комментарий от sn4il

«Через Госуслуги вы можете бесплатно получить электронный сертификат безопасности — стандартный OV или базовый DV»
«Стандартный сертификат OV … доступен только организациям»
«Базовый сертификат DV … доступен гражданам…»

Shushundr ★★★★
() автор топика
Ответ на: комментарий от sn4il

А кто его будет доверенным считать? Ну например ванильный firefox en_GB с сайта mozilla без доп. сертификатов в системе как отреагирует?

Kolins ★★★★
()
Ответ на: комментарий от sn4il

Базовый сертификат DV

Чтобы получить сертификат, заполните заявление на Госуслугах. Срок исполнения — 1 рабочий день

Сколько действует сертификат безопасности и возможно ли его продление

Стандартный сертификат безопасности OV действует 1 год, базовый DV — 90 дней

Продлить сертификат нельзя, можно только сформировать новый. Для этого нужно отправить заявление на получение базового DV или стандартного OV сертификата безопасности

Лол, т.е. автоматизации нету?

theNamelessOne ★★★★★
()

Если нет, то почему нет?

Потому, что жадность и тупость

Что мешает?

Жадность и тупость.

Во-первых, нужно организовать это УЦ - для них есть 100500 требований. В том числе подозреваю для идентификации клиента.

Во-вторых, наличие такого УЦ приведет к тому, что куча людей забьют болт на существующие и переключатся на него, отчего жадные владельцы существующих УЦ просядут по деньгам.

Остальные причины несущественны, потому, что они сугубо технические и могут быть решены легко и просто в течение месяца-двух.

no-dashi-v2 ★★★
()
Ответ на: комментарий от goingUp

В смысле халявный TLS? На нем же нельзя деньги зарабатывать. Разве что из госбюджета будут финансировать)

Что поднимает вопрос как на letsencrypt гугль зарабатывает.

ugoday ★★★★★
()
Ответ на: комментарий от n_play

У МинЦифры где-то был лог certificate transparency.

maxcom ★★★★★
()
Ответ на: комментарий от ugoday

Что поднимает вопрос как на letsencrypt гугль зарабатывает.

Чистый альтруизм, очевидно же. Во славу свободы, демократии и чего-то там.

sn4il
()
Ответ на: комментарий от sn4il

купить или продлить сертификат для сайта.

а что значит продлить сертификат? это же как-то не вяжется технически.

даже если на тот же самый публичный ключ делать запрос, то это будет обязательно новый сертификат, с абсолютно иным серийным номером.

n_play
()
Ответ на: комментарий от n_play

Внутри сертификата есть информация о том, кому она выдана. А снаружи есть соглашение между выдающим и сертифицируемым о том, что права остаются действующими.

Shushundr ★★★★
() автор топика
Ответ на: комментарий от Shushundr

технически это же не должно работать, это никакое не продление.

даже если информация о сертифицируемом субьекте осталась прежней (имена, и все прочее, вплоть до публичного ключа), то старый сертификат ты не можешь продлить все равно (потому что потребуется внести новые данные о сроке жизни сертификата и удостоверяющему центру переподписать все это добро).

т.е. тебе в любом случае обязательно выдадут новый сертификат (про нюанс с серийным номером уже было выше) переподписанный. и тебе придется его подложить на все сервера, где был старый, который закончился.

никаким продлением тут не пахнет, какая-то подмена понятий. (ведь если бы сертификат можно было продлить, то его бы просто продлили и не нужно было бы его обновлять во всей инфраструктуре).

вот например на банковских карточках срок жизни продляли, и они у нас работали, даже не смотря на просрочку. ровно также и страховые полисы осаго и ву в ковидные времена продляли. (тобишь продолжал действовать старый).

конкретно с сертификатами такое кунг-фу не прокатывает.

n_play
()
Последнее исправление: n_play (всего исправлений: 1)
Ответ на: комментарий от sn4il

Ну или гугль выдавливает провайдеров с рынка слежки ой в смысле аналитики веба.

legolegs ★★★★★
()
Ответ на: комментарий от n_play

В случае с летсэнкрипт ты запускаешь (по крону) скрипт и он твоим старым закрытым ключом генерит новый запрос на точно такой-же сертификат, что у тебя уже есть, получает ответ, кладёт сертификат в нужное месте, откуда его подсасывает nginx или что там у тебя. Это и называется «продление» и, конечно же, это должно делаться автоматизированно.

legolegs ★★★★★
()
Ответ на: комментарий от IIIypuk

Да хоть сверхновый. Работает же. Надо делать так, чтобы работало, а не вприсядку плясать.

legolegs ★★★★★
()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)
minetest переименовали в luanti
Talks
Где деньги, Зин^W планшет, Анатолий Борисович?