И это хорошо, есть же нормальный Let's Encrypt!

вот так вот браузеры и начинают диктовать кому верить, а кому нет

Корпорациям верить нельзя, это любой хипстер знает!

Давно пора уже чистить ряды от этих црушных прокладок!

Зачем в 2017 нужны классические СА? Ими еще кто-то пользуется?

Тебе никто не запрещает добавить сертификат вручную.

Плюсую этого неанонима!

А что ты предлагаешь? Let's Encrypt и их хипстерский «протокол»? Или еще что? А как быть с доверием к CA?

Какие-то доводы помимо «хипстерского» будут? Ммм, хипстер?

И это хорошо, есть же нормальный Let's Encrypt!

Под санкции попадают также CA GeoTrust, Thawte и RapidSSL, которые связаны с проблемными центрами цепочкой доверия.

Так действительно когда-нибудь останется только Let's Encrypt

И не жалко

Единственной стоящий продукт, которым когда-либо владел Symantec — Norton Commander. Он был хорош в свое время на своем месте — четверть века назад в MS DOS. Мир праху!

Довод один и железобетонный — кроме этих хистеров это ни кто не использует и не продавливает в стандарты. Будут альтернативы Let's Encrypt которые работают также — поговорим. А то сейчас это вообще весело — завтра они накосячат и гугл-лиса пошлет их лесом, а все «прогрессивные» админы будут материться, плакать и проклинать судьбинушку.

Сколь я помню, Let's Encrypt — это «гугл-лиса» в первую очередь. Они что, сами себя лесом пошлют?

Под санкции попадают также CA GeoTrust, Thawte и RapidSSL

Не доверяю я этим ребятам. Свои сайты давно перевел на LE!

только Let's Encrypt
только

И это зашквар. Сейчас конкуренция между барыгами, а будет один-единственный зонд! они даже не могут урегулировать вопроc с доменами аля org.ru и кивают на PublicSuffix от Mozilla, которые в свою очередь не могут договориться с нашим управляющим зоной (что попахивает русофобией, т.к. проблема только в зоне .ru)

Ну разосруться, например, и будет цирк с конями. Ты веришь корпорациям? Я нет.

это «гугл-лиса» в первую очередь

И это зашквар вдвойне.

Свои сайты давно перевел на LE!

Поменял шило на мыло, поздравляю.

И это зашквар. Сейчас конкуренция между барыгами, а будет один-единственный зонд! они даже не могут урегулировать вопроc с доменами аля org.ru и кивают на PublicSuffix от Mozilla, которые в свою очередь не могут договориться с нашим управляющим зоной (что попахивает русофобией, т.к. проблему только в зоне .ru)

Было бы интересно, кстати, оказаться в мире, где остался только Let's Encrypt. Зачем все эти платные сертификаты от организаций, которые потенциально подконтрольны различным службам безопасности различных государств?

Жалко, что Let's Encrypt делают только DV

Сертификат принимается всеми браузерами? Принимается. Значит решение не менее стандартное чем устарелые годовые сертификаты.

А теперь вспомни как часто ретроградные админы пролюбливают ручное обновление сертификатов и как часто из-за корявых ручек эти сертификаты утекают.

Вообще похоже у тебя никаких доводов кроме «РРРРЯЯЯ ХИПСТОРЫ ЕЩЕ НАПЛАЧЕТЕСЬ» нет. Типичная бабка на лавке.

Это у тебя один довод: «азаза, как удобно теперь, умвр, вывселузеры!» Проблемы доверия к ЦА остаются те же, существующие механизмы проверки (публичные реестры, онлайн-верификация) уже используются в «ретроградных» ЦА.

Однако даже эти механизмы не совершенны: не получив проверку (на отзыв, например) браузер доверяет сертификату, если в код не зашит дроп (как сделают с сумантеками). И вот вместо того чтобы совершенствовать эти механизмы они предлагают решение в лоб — давайте сертификат выдавать раз в сутки! И скриптом, чтоб админу проще! Бред же.

Было бы интересно, кстати, оказаться в мире, где остался только Let's Encrypt.

И один браузер — Google Chrome. Рай просто, блин!

Ты веришь корпорациям?

В то, что ни одна корпорация не станет целенаправленно действовать себе во вред — верю. Кроме того, реальность такова, что приходится либо доверять существующим CA (т. е. стоящим за ним корпорациям), либо органовывать собственный (которому в свою очередь другие почему-то должны доверять), либо не использовать SSL/TLS в публичных сетях.

давайте сертификат выдавать раз в сутки!

Вообще-то раз в два месяца.

Сейчасм много «классических» ЦА. Let's Encrypt один. Где здоровая конкуренция? Я знаю что люди говно и когда точкой отказа становится одна точка — она откажет 146% и последствия будут фатальны. Сегодня дропают сумантек — ну печалька, пошли к другому ЦА, дело в то.

А повизгитвания «один Let's Encrypt!!!» — это школоло, уж извините. Пока бета, ладно. Вот будет хотя бы один ЦА, который возьмет наработки Let's Encrypt и внедрит у себя, платно пусть — будет другой разговор.

Это пока, они пишут что эти сроки будут снижаться до максимально коротких.

Бред же.

Тысказал? Хорошо что такие бабки как ты не принимают важные решения и со временем вываливаются из индустрии.

Там ведь работают такие же люди как ты и я, они тоже хотят кушать и им нужно как-то кормить семьи.

Люди, одумайтесь что вы творите.

Сейчасм много «классических» ЦА.

И нет никакой тенденции к полному их исчезновению. Хотя бы в силу того, что SSL/TLS — это не только "сайтики с котиками", и сертификаты Let's Encrypt применимы далеко не везде, где применим SSL/TLS (и так будет всегда, сколь я берусь судить).

Сегодня дропают сумантек — ну печалька, пошли к другому ЦА, дело в то.

Завтра дропают Let's Encrypt — ну печалька, пошли к другому ЦА, делов-то.

Вот будет хотя бы один ЦА, который возьмет наработки Let's Encryp и внедрит у себя, платно пусть — будет другой разговор.

Чес-слово, не понимаю, чем по-твоему это будет принципиально лучше по сравнению с status quo.

О, а такие «не бабки» как ты готовы завязаться на одного васяна (пусть это даже гугло-лиса), ведь он такой прогрессивный!

пошли к другому ЦА, делов-то.

Послушай местную хипстоту в этом треде, у них «Let's Encrypt only» во влажных фантазиях, ведь оно такое «не ретроградное». Я думаю дрочат они на него не из-за прогрессивности тех.части, а из-за халявы банальной.

чем по-твоему это будет принципиально лучше по сравнению с status quo.

Пока ни один игрок рынка не признал ценности технических наработок проекта Let's Encrypt.

[Let’s Encrypt] даже не могут урегулировать вопроc с доменами аля org.ru и кивают на PublicSuffix от Mozilla, которые в свою очередь не могут договориться с нашим управляющим зоной

Можно ссылочку, для тех, кто в танке.

готовы завязаться на одного васяна (пусть это даже гугло-лиса), ведь он такой прогрессивный!

Где завязка-то? Кто-то настроил себе LE и сэкономил кучу головняка с ручным обновлением. Допустим завтра LE скурвился и мировое правительство во главе с ящеригами дало 24 часа на то чтобы всем сменить сертификаты - админ идёт в другой CA получает серт и накатывает вручную куда надо. Так же как делал до появления LE.

А твой аргумент из серии «я буду жечь свечи вместо того чтобы пользоваться электрической лампой, а то вдруг электричество когда-нибудь отключат».

Гугли сам, там где-то в багтрекерах было — приняли msk.ru и spb.ru, не приняли, org.ru вот нет до сих пор, проблема известна не один год уже.

А какое им собственно вообще дело до того, в какой зоне имя?

сэкономил кучу головняка с ручным обновлением.

Дофига ага времени. Так много времени, что пипец. Я заказал сертификат подтверждения домена за минуту, и это одна запись в DNS-файле, а не эталонная реализация скриптоподелки которую предлагают устанавливать с левого источника и пускать от рута (можно и не от рута, да, но ведь эталонная реализация же! много говорит о тамошних «инжинерах»). АПИ и прочие открыто? Окей, где сторонние реализации? Где другие ЦА? Пока это смелый эксперимент, не более. А гугл и мозила столько годноты дропнули, что и это могут кинуть, а без их поддержки оно быстро скурвиться до непотребности.

Вот и я спрашиваю! Фактически суффикс публичный уже десятки лет, если это прям для них принципиально. Но нет, они хотят чего-то особенного от регулятора .ru. При этом во всех других зонах проблемы нету. Совпадение?

кроме этих хистеров это ни кто не использует и не продавливает в стандарты.

Что «это» то?

SSL/TLS — это не только

Кому какое дело до других сертификатов, когда лидеры индустрии говорят «это редиски, мы им не верим!»?

Их революционный автоматизированный способ выдачи короткоживущих сертификатов.

Кому какое дело до других сертификатов

Любому банку как минимум.

ну так-то давно известно, что на каждое стандартное или общепринятое решение у нас всегда есть свой особенный маразм.

Там ведь работают такие же люди как ты и я, они тоже хотят кушать и им нужно как-то кормить семьи.

«Нет потенции - сваливайте на..й с рынка!» (с) Андрей «Просрали все полимеры» Барабанцев

попахивает русофобией

Скорее попахивает киселевщиной с твоей стороны! 😉

Дофига ага времени. Так много времени, что пипец. Я заказал сертификат подтверждения домена за минуту, и это одна запись в DNS-файле

А если у тебя не одна машина, а N ? Много ли CA сейчас предоставляют хоть какое-нибудь API для автоматического продления?

АПИ и прочие открыто? Окей, где сторонние реализации?

Реализации клиентов - горой лежат, реализации CA - попробуй сделать свой и сертифицировать и сразу поймёшь почему их нет.

А гугл и мозила столько годноты дропнули, что и это могут кинуть, а без их поддержки оно быстро скурвиться до непотребности.

Если дропнут, то никто тебе не мешает по старинке ручками или самописными скриптами закидывать сертификаты других CA, так же, как было до появления LE.

Я не понимаю всего этого визга по поводу LE. Закрытые ключи он не требует, API предоставляет, референсных реализации написали - хоть попой ешь, и те которые рута хотят и те которые без него спокойно живут, есть и минималистичные на пистоне, которые можно самому отсмотреть перед запуском за 20 минут (с учётом времени на заваривание кофе).

Никаких изменений в софте под себя LE не требует. Допустим завтра LE закрывается и всё что надо будет сделать - класть сертификаты ручками, а раньше клал туда скрипт LE, на этот вся разница.

И как СБ банка отреагирует на сотрудничество с зашкваренными CA?

Маразм не признавать очевидные факты. Или они не доверяют «русским»? тогда пусть вообще не выдают сертификаты для .ru, а то переводят стрелки друг на друга (а по сути это одна шайка-лейка).

Я вижу факт. В «особенность» наших регуляторов я не верю, они либеральнее многих, кстати.

а не эталонная реализация скриптоподелки которую предлагают устанавливать с левого источника и пускать от рута (можно и не от рута, да, но ведь эталонная реализация же! много говорит о тамошних «инжинерах»). АПИ и прочие открыто? Окей, где сторонние реализации? Где другие ЦА? Пока это смелый эксперимент, не более.

Ты в ЦА что ли работаешь, что у тебя так подгорает и ты так брызгаешься?

Какой ещё «революционный»? Обычная проверка владения доменом.

Много ли CA сейчас предоставляют хоть какое-нибудь API для автоматического продления?

Выпуск автоматизирован? Классно. А управляет этим скрипт на сервере виртуального хоста! Ахринеть секьюрно. А если этот хост будет скомпрометирован? отзываем все сертификаты? А механизм отзыва игнорируется браузерами (и лисой, и хромом) если они тупо не получают ответа! Классно да? Как решать? А давайте делать сертификаты на три дня! Шикарно, так по хипстерски...

попробуй сделать свой и сертифицировать и сразу поймёшь почему их нет.

Автоматизация офигенное конкурентное преимущество. Миллионы админов-лентяев можно сманить у конкурентов. Почему нет? Дорожат репутацией и очень скептически смотрят на карманную поделку гугла? наверное.

вся разница

Да, вот только не надо тогда всяким не умным пищать «даёшь LE only!»