The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Разработанный проектом Let's Encrypt протокол ACME утверждён..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +/
Сообщение от opennews (??), 12-Мрт-19, 10:42 
Комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, завершил (https://letsencrypt.org/2019/03/11/acme-protocol-ietf-standa...) формирование RFC для протокола ACME (Automatic Certificate Management Environment) и опубликовал связанную с ним спецификацию под идентификатором RFC 8555 (https://tools.ietf.org/html/rfc8555). RFC получил статус "Предложенного стандарта", после чего начнётся работа по приданию RFC статуса чернового стандарта (Draft Standard), фактически означающего полную стабилизацию протокола и учёт всех высказанных замечаний.

Протокол ACME применяется для организации взаимодействия удостоверяющего центра и web-сервера, например, для автоматизации получения и обслуживания сертификатов. Запросы передаются в формате JSON поверх HTTPS. Проект разработан некоммерческим удостоверяющим центром Let’s Encrypt, контролируемым сообществом и предоставляющим сертификаты безвозмездно всем желающим. Доступны реализации ACME на различных языках программирования, а также специализированный модуль (https://www.opennet.ru/opennews/art.shtml?num=47403) для http-сервера Apache (входит в основной состав начиная с выпуска 2.4.33 (https://www.opennet.ru/opennews/art.shtml?num=48335)).

URL: https://letsencrypt.org/2019/03/11/acme-protocol-ietf-standa...
Новость: https://www.opennet.ru/opennews/art.shtml?num=50301

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +8 +/
Сообщение от Аноним (1), 12-Мрт-19, 10:42 
Да, это будет круто. Давно пора все такие вещи автоматизировать
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +6 +/
Сообщение от Аноним (3), 12-Мрт-19, 11:44 
>Дополнительно опубликован план прекращения поддержки прошлой версии протокола ACMEv1.

'раз настроилъ и забылъ' - говорили они.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  –5 +/
Сообщение от Аноним (-), 12-Мрт-19, 11:51 
> 'раз настроилъ и забылъ' - говорили они.

Как страшный сон!

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +3 +/
Сообщение от mumu (ok), 12-Мрт-19, 12:03 
ИТ - динамично развивающаяся область. Никто под пистолетом не заставляет в неё соваться.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  –4 +/
Сообщение от петя (?), 12-Мрт-19, 12:18 
ежики давились, но продолжали жрать кактус
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +4 +/
Сообщение от Andrey Mitrofanov (?), 12-Мрт-19, 12:28 
> ежики

мыши

>давились

плакали, кололись

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +10 +/
Сообщение от Аноним (8), 12-Мрт-19, 12:42 
мыши плакали, кололись, но продолжали жрать ежика
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +/
Сообщение от Аноним (9), 12-Мрт-19, 12:45 
Не, там филин посоветовал мышам стать ёжиками.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +/
Сообщение от Andrey Mitrofanov (?), 12-Мрт-19, 13:02 
> мыши плакали, кололись, но продолжали

лохматить бабушку </хватит да уже>


Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

52. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +/
Сообщение от metakeksemail (?), 14-Мрт-19, 22:16 
Семья жрать захочет, с кормильцем, и не так страдать будете.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

32. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +/
Сообщение от Аноним (32), 12-Мрт-19, 21:23 
Всё верно, раз настроил и забыл. Обновление протокола вам прилетит само, вместе с обновлением софта. Вы же не оставляете сервер, торчащий голой жопой в интернет, без обновлений, правда?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

47. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +/
Сообщение от Аноним (47), 13-Мрт-19, 10:48 
И забыл, пока не кончилась память, либо пока не прилетел сплойт, либо пока не забанили протокол. И так на каждом хосте где нужен ссл-сертификат. Ты так и делаешь, да?
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

51. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +/
Сообщение от OldMonster (ok), 14-Мрт-19, 10:05 
>И так на каждом хосте где нужен ссл-сертификат.

Хм. На все мои хосты получаю сертификаты, сидя на ns1. Далее скрипт (scp+ssh).
Я что-то делаю не так?

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

38. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +/
Сообщение от KonstantinB (ok), 13-Мрт-19, 04:02 
За 2.5 года можно успеть в конфиге 1 на 2 поменять :-)
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

48. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +/
Сообщение от Аноним (47), 13-Мрт-19, 10:50 
Там выше аноним советует настраивать на каждом сервере и забывать. А ты советуешь каждые 2.5 года что-то менять. Фу.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

10. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +/
Сообщение от Аноним (10), 12-Мрт-19, 12:47 
Вы по прежнему можете купить DV сроком на год у других ЦС.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +1 +/
Сообщение от Аноним (13), 12-Мрт-19, 13:04 
Что и делаем, в общем.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

24. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +/
Сообщение от dry (ok), 12-Мрт-19, 16:01 
В редких, отдельных случаях. Но и эти проблемы решаемы.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

11. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  –2 +/
Сообщение от InuYasha (?), 12-Мрт-19, 12:48 
Всё та же старая пластинка о централизованном "доверии" какой-нибудь хитрой конторе типа ViralSign, которой владеет (не)известно кто, берёт деньги "за доверие", может в любой момент любой хост заклеймить "недоверенным" и т.д.
А ещё придется привязывать сертификаты к платным DNS-именам, которые тоже централизованно-подконтрольные.
В итоге-то очевидно, что интернет сейчас - абсолютно пирамидальная система, вне зависимости от автоматизации. :(
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

46. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  –1 +/
Сообщение от Онанимус (?), 13-Мрт-19, 10:27 
> А ещё придется привязывать сертификаты к платным DNS-именам

Вот это поподробней пожалуйста.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  –1 +/
Сообщение от litrovi4 (?), 12-Мрт-19, 13:26 
...
> Протокол ACME применяется для организации взаимодействия удостоверяющего центра и web-сервера,
> например, для автоматизации получения и обслуживания сертификатов. Запросы передаются
> в формате JSON поверх HTTPS. Проект разработан некоммерческим удостоверяющим центром Let’s

...

HTTP(S) - шо, опять ? (c)


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +6 +/
Сообщение от Аноним (15), 12-Мрт-19, 13:51 
>предоставляющим сертификаты безвозмездно всем желающим.

Не перестаю поражаться, как долго удавалось торговать воздухом.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  –3 +/
Сообщение от Аноним (16), 12-Мрт-19, 14:12 
Серверы и электричество из воздуха тоже беруться? Или админам можно зарплату воздухом платить?
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

20. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +2 +/
Сообщение от Annoynymous (ok), 12-Мрт-19, 15:02 
Для выдачи сертификатов не нужны ни серверы, ни админы.

А вот для DNS, например, нужны — но DNS почему-то бесплатный.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

27. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  –2 +/
Сообщение от anonymous (??), 12-Мрт-19, 18:31 
а сертификаты подписываются как? перстом божьим? может для этого signing server нужен?
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

31. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  –2 +/
Сообщение от Annoynymous (ok), 12-Мрт-19, 20:41 
> а сертификаты подписываются как? перстом божьим? может для этого signing server нужен?

Не нужен, достаточно одного компа, на котором всё подписывается. Совершенно не нужно превращать его в сервер.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

21. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +1 +/
Сообщение от Аноним (9), 12-Мрт-19, 15:04 
Дополнительное электричество и новые сервера покупаются как раз из-за повсеместного внедрения "бесплатных" сертификатов.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

17. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  –6 +/
Сообщение от Григорий Федорович Конин (?), 12-Мрт-19, 14:14 
вы же понимаете что у бесплатного и платного сертификата есть некотарое различие? Например, мне бы не хотелось видеть бесплатный сертификат у банка.

А для бложика, конечно, сойдет.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +/
Сообщение от Drew (??), 12-Мрт-19, 14:48 
> Например, мне бы не хотелось видеть бесплатный сертификат у банка.

Да, вообще-то, мне бы не хотелось видеть не-EV-сертификат у банка. ;)

Ну а так -- ACME/Let's Encrypt для бложегов и придумали же. Каждый занимает свою нишу...

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

22. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +/
Сообщение от Tita_M (ok), 12-Мрт-19, 15:07 
Вот где-то неделю-две назад видел сертификат от Let's Encrypt на вредоносном домене так что не только для бложегов.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

25. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +1 +/
Сообщение от Kuromi (ok), 12-Мрт-19, 17:59 
А уже довольно давно вредоносные сайты массово используют LE сертификаты для создания видимости легитимности. Дошло до того, что во всяких "советах для новичков по безопасности" уже начали делать ремарки вида "протокол HTTPS не означает что сайт точно не поддельная копия банка".
Представители и евангелисты LE в свою очередь на это отвечают, что HTTPS это в первую очередь технология защиты соединения от подсматривания и  перехвата, а не "защита клиента от скама".
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

29. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +3 +/
Сообщение от Онанёр (?), 12-Мрт-19, 19:06 
"Представители и евангелисты LE в свою очередь на это отвечают, что HTTPS это в первую очередь технология защиты соединения от подсматривания и  перехвата, а не "защита клиента от скама"."
А это не так?
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

33. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +1 +/
Сообщение от Kuromi (ok), 12-Мрт-19, 22:36 
Это-то так, но у "массовой публики" за годы сложилось иное мнение, мол сертификат = неанонимный проверенный сайт уважаемой компании, чем некоторые скаммерсанты и пользуются.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

34. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +/
Сообщение от епваывпв (?), 12-Мрт-19, 23:08 
Для массовой публики сертификат - то, что дарят на День рожденья. Тот факт, что некоторые браузеры подсвечивают сайты зелененьким, - рассматривать это, как недостаток бесплатных сертификатов от LE - нужно иметь очень богатое воображение.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

35. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  –1 +/
Сообщение от Онаним (?), 13-Мрт-19, 00:12 
LE неплохо бы подсвечивать жёлтеньким. А лучше - красненьким.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

37. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +/
Сообщение от Kuromi (ok), 13-Мрт-19, 00:41 
> LE неплохо бы подсвечивать жёлтеньким. А лучше - красненьким.

Лучше всего было делать как когда в Firefox тестировали Opportunistic Security - сайт никак не подсвечивается, но соединение зашифровано самописным сертификатом.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

36. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +/
Сообщение от Kuromi (ok), 13-Мрт-19, 00:38 
Плохой подарок на днюху - сертификат. Правильные друзья дарят либо деньги либо то что течет и горит (ну так утверждают).
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

43. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +1 +/
Сообщение от True anon (?), 13-Мрт-19, 08:53 
Зачем мне бензин, если у меня нету авто? Ну таких друзей
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

50. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +1 +/
Сообщение от Аноним (47), 13-Мрт-19, 10:55 
Хороший друг подарит полезную лично тебе книгу. Деньгами и спиртным от тебя откупаются, чтобы не заморачиваться.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

42. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +/
Сообщение от Dmitry77 (ok), 13-Мрт-19, 07:38 
Это да, а то  задолбали рекламой открытые wifi точки..
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

26. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +/
Сообщение от Kuromi (ok), 12-Мрт-19, 18:02 
В принипе так и должно быть, сурьезный бизнес платит серьезные деньги за получение расширенных сертификатов, а если задача просто сделать HTTPS то хватит и LE. Другой вопрос что неоднократно уже выяснялось, что "серьезные дяди" порой выдавали расширенные сертификаты непойми кому не делая никаких проверок либо делая их крайне формально.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

19. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +1 +/
Сообщение от Аноним (8), 12-Мрт-19, 14:48 
> вы же понимаете что у бесплатного и платного сертификата есть некотарое различие? Например, мне бы не хотелось видеть бесплатный сертификат у банка.
>
> А для бложика, конечно, сойдет.

https://brand.santander.com/en/

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

39. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +/
Сообщение от Ключевский (?), 13-Мрт-19, 04:16 
Ты вот сюда https://www.sberbank.ru/ не ходи, а то там обычный DV-сертификат, а не EV :-D
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

44. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +/
Сообщение от Аноним (15), 13-Мрт-19, 09:02 
Сбербанк АСТ до сих пор требует Internet Explorer для подачи заявки.
Вчера мучался.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

45. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +/
Сообщение от mumu (ok), 13-Мрт-19, 09:27 
И работать этот банк конечно тоже должен по какому-нибудь сурьёзному платному протоколу. Бесплатный Http(s) только для бложиков
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

49. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +/
Сообщение от Аноним (47), 13-Мрт-19, 10:53 
Это у тебя из-за возраста. Лет через 30 возможно дойдёт, что это единственное, чем теперь занимается человечество.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

23. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +/
Сообщение от Аноним (23), 12-Мрт-19, 15:20 
> TLS-SNI-02

А чем вторая версия отличается от первой?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +/
Сообщение от zanswer CCNA RS and S (?), 12-Мрт-19, 18:53 
Его в RFC 8555 вообще нет:

The values "tls-sni-01" and "tls-sni-02" are reserved because they were used in pre-RFC versions of this specification to denote validation methods that were removed because they were found not to be secure in some cases.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

30. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +/
Сообщение от Аноним (23), 12-Мрт-19, 19:50 
> и предлагающий новый метод проверки владения доменом TLS-SNI-02 (не вошёл в RFC).

тогда как понять что изменилось?

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

40. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +/
Сообщение от zanswer CCNA RS and S (?), 13-Мрт-19, 07:06 
Хороший вопрос, могу предположить только, что возможно речь идёт о вот этом Draft: draft-ietf-tls-esni-03: Encrypted Server Name Indication for TLS 1.3, но не утверждаю.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

41. "Разработанный проектом Let's Encrypt протокол ACME утверждён..."  +/
Сообщение от zanswer CCNA RS and S (?), 13-Мрт-19, 07:21 
Я был не прав, речь не об этом, а вот об этом:

draft-ietf-acme-acme-01: Automatic Certificate Management Environment (ACME)

"type (required, string):  The string "tls-sni-01"

   token (required, string):  A random value that uniquely identifies
      the challenge.  This value MUST have at least 128 bits of entropy,
      in order to prevent an attacker from guessing it.  It MUST NOT
      contain any characters outside the URL-safe Base64 alphabet.

   n (required, number):  Number of tls-sni-01 iterations

   {
     "type": "tls-sni-01",
     "token": "evaGxfADs6pSRb2LAv9IZf17Dt3juxGJ-PCt92wr-oA",
     "n": 25
   }"

draft-ietf-acme-acme-09: Automatic Certificate Management Environment (ACME)

"type (required, string):  The string "tls-sni-02"

   token (required, string):  A random value that uniquely identifies
      the challenge.  This value MUST have at least 128 bits of entropy.
      It MUST NOT contain any characters outside the base64url alphabet,
      including padding characters ("=").

   GET /acme/authz/1234/1 HTTP/1.1
   Host: example.com

   HTTP/1.1 200 OK
   {
     "type": "tls-sni-02",
     "url": "https://example.com/acme/authz/1234/1",
     "status": "pending",
     "token": "evaGxfADs6pSRb2LAv9IZf17Dt3juxGJ-PCt92wr-oA"
   }"

Собственно говоря полный список отличий между TLS-SNI-01 и TLS-SNI-02, можно почерпнуть из анализа этих двух версий Draft. Если это вообще требуется, ведь в RFC 8555 эти механизмы вообще не вошли, им на замену предлагается следующий механизм: draft-ietf-acme-tls-alpn-05: ACME TLS ALPN Challenge Extension.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру