neprihlásený Sobota, 13. apríla 2024, dnes má meniny Aleš
Bezplatné SSL certifikáty pre weby od 3. decembra

Značky: SSL / TLSweb

DSL.sk, 16.11.2015


Nová certifikačná autorita Let's Encrypt, ktorá bude ponúkať certifikáty pre SSL pre weby zdarma, odštartuje svoju verejnú prevádzku 3. decembra.

Prevádzkovateľ o tom informoval uplynulý týždeň.

Za Let's Encrypt je konzorcium troch významných IT respektíve internetových spoločností Mozilla, Akamai a Cisco, organizácia EFF, certifikačná autorita IdenTrust a spoločnosť Automattic prevádzkujúca WordPress.com. Ich cieľom je presadiť masový prechod webu na zabezpečené HTTPS stránky, ktoré sú pri prenose šifrované protokolom SSL.

Na rozdiel od existujúcich ponúk zdarma, napríklad StartSSL, za Let's Encrypt stoja popredné globálne IT a internetové spoločnosti a navyše celý proces vydávania jej bezplatných certifikátov bude zjednodušený novými softvérovými nástrojmi a bude plne automatizovaný.

Softvérový nástroj spustený na príslušnom webovom serveri pre danú doménu automaticky na podporovaných webových serveroch potvrdí systémom certifikačnej autority držanie domény, vytvorí kľúče, získa certifikát, podľa možností ho nainštaluje a následne pred expirovaním platnosti aj automaticky obnoví.


Schéma podpisovacích certifikátov Let's Encrypt, kliknite pre zväčšenie (obrázok: Let's Encrypt)



Prevádzkovatelia webov tak budú mať nasadenie SSL maximálne zjednodušené, čo by podľa iniciatívy mohlo viesť k výraznému zvýšeniu používanosti SSL a tým zvýšeniu bezpečnosti browsovania.

Aby mohli byť certifikáty Let's Encrypt široko akceptované, jej podpisové certifikáty sú zároveň podpísané certifikátom IdenTrust akceptovaným všetkými štandardnými softvérmi.

Certifikačná autorita už od septembra fungovala v limitovanom beta teste, v ktorom jej využitie vyžadovalo získanie pozvánky. Doteraz vydala viac ako 11 tisíc certifikátov. Prevádzka bude od 3. decembra označená ako verejná beta, keď podľa oznámenia chce ešte testovať a zlepšovať softvér pre automatizáciu získavania certifikátov.


      Zdieľaj na Twitteri



Najnovšie články:

Apple čoskoro uvedie ďalší sci-fi seriál
Populárna databáza Redis má po zmene licencie ďalší klon, už bol vydaný
Apple údajne už tento rok uvedie nový procesor M4, s podporou AI
Western Digital predstavil 4 TB pamäťovú SD kartu
Česi vydali nový OS pre ich routery Turris
Predaje PC konečne prestali klesať
Nový ARM CPU pre notebooky od Qualcommu má byť výrazne výkonnejší ako Intel CPU
Sprístupnený očakávaný seriál Fallout podľa počítačovej hry
Android umožní lokalizovať vypnuté smartfóny aj iných značiek ako Google Pixel
Ďalší let Starship má byť v máji


Diskusia:
                               
 

Znamena to, ze ak mam svoj hobby web, kam sa ludia registruju, budem si tam moct hodit zdarma SSL?
Odpovedať Známka: 10.0 Hodnotiť:
 

ano
Odpovedať Známka: 10.0 Hodnotiť:
 

z coho budu zit ostatne CA ktore vydavaju certifikaty?
Odpovedať Hodnotiť:
 

predsa z lasky, ale myslim si ze ide len o zavedenie zaujmu prejst na https, a teda ostatne CA budu moct nadalej vydavat svoje certi, teda dufam, inak by to opat zavanalo centralizaciou a tym aj podozrenim zo spoluprace z tajnasami
Odpovedať Známka: 7.1 Hodnotiť:
 

Ano, ale to mozes urobit uz teraz a vyklikat si ho zdarma na https://www.startssl.com/
letsencrypt prinesie naviac tu automatizaciu ktoru vyuziju asi skor admini a najskor integruju niektore hostingove firmy
Odpovedať Známka: 10.0 Hodnotiť:
 

StartSSL / StartCom ti vyda certifikat len na subdomenu (nieco.mojweb.sk), Let's Encrypt by mal aj na celu domenu (mojweb.sk)
Odpovedať Známka: -2.5 Hodnotiť:
 

Nie startssl vydava certifikat pre nieco.sk a jednu subdomenu z toho. Najcastejsie www.nieco.sk
Odpovedať Známka: 10.0 Hodnotiť:
 

To nie je pravda, mám u nich 2 certifikáty na domény "niečo".sk a "niečo".xyz
Odpovedať Známka: 6.0 Hodnotiť:
 

nope. vydava na domenu plus jeden alias (subdomena). v pripade potreby si vies ale vyklikat viac krat zakazdym s inou subdomenou. je to pracne ale da sa to.
Odpovedať Známka: 5.0 Hodnotiť:
 

na druhej strane, budes si to musiet obnovovat kazdych 90 dni oproti "normalnym" 365 dni
Odpovedať Známka: -2.5 Hodnotiť:
 

Nauc sa po slovensky. Mas chybu v poslednom slove.
Odpovedať Známka: -2.7 Hodnotiť:
 

Ano. Ale toto obnovovanie je s poskytnutymi skriptami plne automaticke (v sucastnej bete aspon pre apache). A nie je problem okolo ich utility naskriptovat auto-obnovenie pre cokolvek ine.
Odpovedať Hodnotiť:
 

Ked mam verejnu stranku, na ktorej mam verejne informacie, ziadnu registraciu (napriklad stranku o KVETINACH), potom na co mi je SSL? Mozno mi nieco unika, ale 'masove nasadenie pre vsetky weby' zahrna aj kopu statickych HMTL webov pripadne webov s cisto verejnymi informaciami. Ok niekto ukradne mojmu visitorovi google analytics cookies? Wow big deal. Ako to vidia ostatni?
Odpovedať Známka: 2.3 Hodnotiť:
 

Problem nastava, pokial ti poskytovatel (verejna wifi v kaviarni ... ) zmeni data za behu. Prida reklamu, zmeni informacie, uplne vymeni stranku. Toto je sposob ako sa tomu branit. Nasadenie na server/hosting je otazka par minut.

Kto ma tu moznost, verim ze to spravi.
Odpovedať Známka: 9.2 Hodnotiť:
 

Ano. Ale taktiez je to pekny sposob ako vyradit s prevadzky rozne cache mechanizmi.
IMO je to pre cisto verejne weby len zbytocna pritaz (zvyseny traffic na server (papa proxy cache), zvysena latency koli vzdialenosti, potreba vyssieho vykonu pre en/decrypt na klient aj na server)...
Odpovedať Známka: 6.7 Hodnotiť:
 

traffic narasta aj tak, kapacita uz nieje taky problem, ipv6 a tam cachuj. Devajsi sa zlepsuju siet sa stabilizuje. (2015)
Odpovedať Hodnotiť:
 

Že používanie cookies na statických HMTL weboch, prípadne weboch s čisto verejnými informáciami o schopnostiach a zámeroch ich tvorcov niečo hovorí.
Odpovedať Známka: 3.3 Hodnotiť:
 

A co ako ?
Odpovedať Známka: -2.5 Hodnotiť:
 

Je niečo zlé na tom, ak mám na statickom webe Google Analytics?
Odpovedať Hodnotiť:
 

Je na tom pre návštevníkov niečo dobré? Zápisy na ich disky treťou stranou za dobré nepovažujem.
Odpovedať Hodnotiť:
 

Narychlo vymysleny pripad:
Zo strany uzivatela pri nepouziti HTTPS sa realne mozes prihlasovat kamkolvek. V podstate hocikedy sa moze medzi cielovy web a uzivatela niekto postavit a podvrhnut mu data. Napr. nespravne info o kvetoch vdaka comu dojde o vsetky kvety, co doteraz pestoval podla Tvojich dobrych rad, kedze niekto mu miest veci od Teba poslal bludy.
Takisto si moze utocnik vziat tvoje staticke HTML stranky a pred presmerovanim komunikacie na seba ich upravit - pridat trebars povinnu registraciu, alebo hocico ine.
Pravdaze to nie je zas tak jednoduche, ale stat sa to moze.
Odpovedať Známka: 10.0 Hodnotiť:
 

Šak honeypotenie, ne? Najefektívnejšia identifikácia cieľov.
Odpovedať Známka: 6.0 Hodnotiť:
 

to je potenie pri honeni? :-)
Odpovedať Známka: 6.7 Hodnotiť:
 

Perfektná svojka - tínedžerský sen.
Odpovedať Hodnotiť:
 

Dalsia z vyhod https je pouzitie protokolu HTTP/2.0 (ktory sa neda pouzit bez SSL teda http:// bude vzdy stary HTTP/1.1 alebo 1.0).
Ten prinasa vyhodu rychlejsieho nacitania stranok. Ale este nie je uplne rozsireny ale hostingy ktore ho podporuju pribudaju.
Odpovedať Známka: 5.0 Hodnotiť:
 

https://dsl.sk
Odpovedať Známka: 10.0 Hodnotiť:
 

Nefunguje:(
Odpovedať Známka: 10.0 Hodnotiť:
 

dsl.sk nepotrebuje sifrovat, ma sikovnych adminov ktori preveruju autenticity requestov vlastnymi trikmi
Odpovedať Známka: 10.0 Hodnotiť:
 

to akoze CA bude mat pristup na moj server?
Odpovedať Známka: -5.0 Hodnotiť:
 

Ano. Do DNS vystavis aktualne rootovske heslo ako TXT record s menom rootpassword a cestu ku certikatom s nazvom certpath. Nasledne bude schopna CA pravidelne (kazdych 90 dni) ti aktualizovat privatny kluc tak, aby zodpovedal tomu spravnemu certifikatu.
Odpovedať Známka: 5.0 Hodnotiť:
 

lol, to su zlomyselne kecy!!
Odpovedať Známka: 10.0 Hodnotiť:
 

zalobaba.. beeee :-)
Odpovedať Známka: 10.0 Hodnotiť:
 

to funguje tak, ze ty odosles kazdy pravidelny cas novy certificate request a dostanes naspatek podpisany certifikat.
take riesenie sa da realizovat cez nejaky rest api
Odpovedať Známka: 3.3 Hodnotiť:
 

Nove distra na to uz maju hotove packages.
Odpovedať Hodnotiť:
 

Len jej odsúhlasíš prístup na zariadenia návštevníkov.
Odpovedať Hodnotiť:
 

mam taky laik dotaz, ked si od nich vypytam ze chcem SSL pre www.tatrabanka.sk a mi ho daju a potom niekomu infiltrujem DNS a prezeniem ho ku mne a podstrcim mu stranku s mojim SSL a bude si mysliet ze je na secure original stranke. Aka tam je kontrola ze dana domena ma uz iny SSL? Resp ako toto je zabezpecovane? Oni tie CA medzi sebou komunikuju ci uz ta stranka ma SSL?
Odpovedať Známka: 2.5 Hodnotiť:
 

Nemyslim si, ze infiltrujes niekolko medzinarochych pripadne aj korenovych DNS.
Odpovedať Známka: 5.0 Hodnotiť:
 

Nie. Neda sa. CA si overuje token u prevadzkovaneho webu. Alebo cez DNS, ako chces. Tym preukazes svoje opravnenie hybat so zdrojmi pod domenou tatarbanka.sk. T.j. celkom pekne a jednoducho tu: https://letsencrypt.org/howitworks/technology/

Odpovedať Známka: 10.0 Hodnotiť:
 

certifikat na zvolenu domenu vydaju len majitelovi tej domeny, takze si to nejako overia (napr. zaslanim nejakeho klucu na mailserver s tou domenou)... tak v podstate funguju aj platene CA, nazyva sa to DV certifikat
Odpovedať Hodnotiť:
 

Je dolezite si uvedomit, ze toto konzorcium bude mat v rukach "primarne" kluce, takze bude vediet odsifrovat zabezpecenu komunikaciu.

Preto aj nadalej odporucam, pouzivat vlastne kluce, aj ked bude prehliadac "pindat", ze nie su podpisane autorizovanou entitou ;-).

Napr. v chrome sa to neda (nenasiel som to) vypnut pre okruh IP adries. Ak to niekto viete, napiste ako...
Odpovedať Známka: -10.0 Hodnotiť:
 

> toto konzorcium bude mat v rukach "primarne" kluce,
> takze bude vediet odsifrovat zabezpecenu komunikaciu.

Blbost.
Odpovedať Známka: 6.0 Hodnotiť:
 

Cisco to v IronPort-och predsa už robí.
Odpovedať Hodnotiť:
 

Co presne je podla Teba blbost ?

To, ze autorita, ktora ma vyssi kluc (v hierarchii) dokaze desifrovat data sifrovane klucom, ktory si nechas u nej podpisat a nasledne pouzijes pre kontrolu jej CA ?
Odpovedať Hodnotiť:
 

CA nemá prístup ku kľúču, ktorým sa šifrujú prenášané dáta.
Odpovedať Známka: 10.0 Hodnotiť:
 

no to je ale kravina
Odpovedať Hodnotiť:
 

A preco si myslis, ze sa mylim ?
Odpovedať Hodnotiť:
 

nemam s tymyo konktrene skusenosti ale predpokladam ze to bude fungovat rovnako ako inde:
vygenerujes si par privatny/verejny kluc, vytvoris ziadost o certifikat s tvojim privatnym klucom, posles ziadost CA, CA posle naspat hotovy certifikat ktory si vytlacis cez wifi vo velkom kancli a prides len po hotovy papier.

a nikto okrem teba nepozna privatny kluc, pokial si ho teda tiez nevytlacic cez nezabezpecenu wifi.
Odpovedať Známka: 10.0 Hodnotiť:
 

Toto sa chystame na nasom pay as you go hostingu podporovat hned ako bude mozne.
Odpovedať Známka: 0.0 Hodnotiť:

Pridať komentár