- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Ez mire jo? A widecard cert akkor jo, ha "kezzel" kell csinalnom egyet, (raadasul fizetek is erte) es sok helyen akarom hasznalni. A Let's Encrypt cert viszont ingyen van, az osszes szerveremen az osszes domainra automatikusan tudok kerni ilyet... akkor minek a wildcard?
Egyet tudok elkepzelni, hogy valaki egy webszerveren uzemeltett csillio _es_ elore nem ismert subdomaint... ez gondolom ugy az esetek 0.001%-a lehet.
Vagy valami mas?
- A hozzászóláshoz be kell jelentkezni
nálunk pl nem árt, ha az alternatív nevekben nem szerepelnek olyan domainek, amik kellenek, de nem jó, ha mindenki tud róla
- A hozzászóláshoz be kell jelentkezni
Nem kell szerepeltetni sem, a cert transparency report segítségével listázható az összes domain alá valaha beregisztrált ssl cert: https://transparencyreport.google.com/https/certificates?cert_search_au…
- A hozzászóláshoz be kell jelentkezni
like erre az oldalra, eddig nem ismertem. Félelmetes h a gugli erre is mennyire rálát.
--
- A hozzászóláshoz be kell jelentkezni
Meg ez is félelmetes:
A Google arra ösztönzi az összes tanúsítványkibocsátót, hogy tüntessék fel az általuk kibocsátott tanúsítványokat nyilvánosan ellenőrizhető, csak kiegészíthető, hamisítástól védett naplókban. A jövőben a Chrome és más böngészők dönthetnek úgy, hogy nem fogadják az ilyen naplókban nem szereplő tanúsítványokat.
Szóval belső felhasználású certet se tudj csinálni anélkül, hogy ne tudjon róla mindenki.
- A hozzászóláshoz be kell jelentkezni
Nem kell pánikolni, csak a publikus, mindenki számára elfogadott cert providerekre vonatkozik a transparency és már tavaly óta csak ilyet fogad el a chrome.
Hogy mi szükség erre?
Enélkül bármelyik cert provider észrevétlenül kiadhatna a fű alatt egy certet pl. a gmail.com domainre, amivel mondjuk az NSA belelátna bárki levelezésébe.
- A hozzászóláshoz be kell jelentkezni
Enélkül bármelyik cert provider észrevétlenül kiadhatna a fű alatt egy certet pl. a gmail.com domainre, amivel mondjuk az NSA belelátna bárki levelezésébe.
És itt akkor pont nincs értelme annak, hogy "megbízható" a kibocsájtó, ha úgyis egyesével kell ellenőrizni a kibocsájtott certeket.
- A hozzászóláshoz be kell jelentkezni
google -t ugyis kenyszeritik az informacio megosztasra, nem is kell tanusitvannyal jatszani.
Amit nem lehet megirni assemblyben, azt nem lehet megirni.
- A hozzászóláshoz be kell jelentkezni
Hasznos maga az ötlet, h. a sunyi v. csak szimplán ostoba cert authority cégeket képes legyen az "átlagember" (gyk. aki nem tagja semmilyen PKI jeditanácsnak) ellenőrizni.
A félelmetes megint csak az, h. a gugli "iamevil" játszik megint internetrendőrséget. Nyilván csak a közjó érdekében, néhány gugli-mérnök nyomja a ráérős heti2napkötelező nonproject kreatívkodós társadalmi munkában, nem-Google infrastruktúráb futtatva a Service-t.
Nem pedig üzlethaszon hátsószándékkal.
--
- A hozzászóláshoz be kell jelentkezni
ez is hasznos tud lenni: https://crt.sh/?q=%25.gov.hu
- A hozzászóláshoz be kell jelentkezni
Öröm látni h. még itt sincs központi megegyezés melyik CA-t használják a tagszervezetek, nehogy lehessen 1 v. max 2 root CA-t cert pinning-elni.
Innentől lesse az ember h. a NAV-nál a Letsencrypt-es cert nem hacking miatt van használatban, de a gate.gov.hu ügyfélkapu loginportálon már azt lesse h. Netlock, 3.-on meg vmi holland tökömtudja CA van. Remélem vmelyik gov.hu vett a Trustico-tól is: http://www.zdnet.com/article/trustico-compromises-own-customers-https-p…
--
- A hozzászóláshoz be kell jelentkezni
Gov.hu éppen saját CA-t csinál: http://www.nisz.hu/hu/gov-ca-kormányzati-hitelesítés-szolgáltatás
Szerintem a gov.hu alatt be fogja tiltani a többi CA használatát
- A hozzászóláshoz be kell jelentkezni
Mondjuk ha nem akarod kileakelni a dev környezetek (vagy bármi nem publikus) oldal címét, de mégis akarsz rá https-t.
- A hozzászóláshoz be kell jelentkezni
Tok egyszeru: az LE rate limitel, hogy mennyi certet kerhetsz domainenkent per X ido. Ez kis meretekben nem problema, de ahol napi szinten tobb tucat aldomain szuletik, ott mar nem annyira buli.
- A hozzászóláshoz be kell jelentkezni
Child domain-ket DNS delegálással létrehozva vajon fgetlen entitásként látszanak LE felé? Vagy a LE domain suffix match-alapon ezeket 1 DNS név tulajdonos-ként tartja számon?
--
- A hozzászóláshoz be kell jelentkezni
Nem, kulonbozo limitek vannak, root domainenkent es exakt domain nev kombinaciokra is (publikus TLD lista alapjan). https://letsencrypt.org/docs/rate-limits/
- A hozzászóláshoz be kell jelentkezni
Azt mondjatok meg inkabb hogy lanon levo embedded devicera hogyan tudok valid certet kesziteni?
------------------------
Jézus reset téged
- A hozzászóláshoz be kell jelentkezni
Megcsinálod neten, aztán átrakod privát hálózatra.
- A hozzászóláshoz be kell jelentkezni
repeat every ~60day
--
- A hozzászóláshoz be kell jelentkezni
Igen, csak az automatikus frissites igy nemigen fog mukodni...
- A hozzászóláshoz be kell jelentkezni
Azért nem lehetetlen egy scriptet írni, ami neten lévő gépről hetente átrakja a certet a lanos gépre.
- A hozzászóláshoz be kell jelentkezni
Persze nem, csak ezt a lepest nem emlitetted fent, aki meg szerez igy egy cert-et az hamar meg fog lepodni frissites nelkul.
De kicsit tovabb gondolva az otletet, egy "let's encrypt proxy"-t kellene megirni, ami tovabbadogatja belso halora a certeket...
- A hozzászóláshoz be kell jelentkezni
Egyébként a "lanon levo embedded device" nem zárja ki, hogy net elérése is legyen. Ebben az esetben tud kérni egy wildcard-os cert-et és a local.anything.hu -nak kioszt egy lanos ip-t.
- A hozzászóláshoz be kell jelentkezni
Let's encrypt nem probal meg kivulrol visszakapcsolodni? Mert a nem wildcardos esetben van kivulrol jovo kapcsolat...
- A hozzászóláshoz be kell jelentkezni
Egy TXT bejegyzést kell elhelyezni a domainben.
- A hozzászóláshoz be kell jelentkezni
Ez esetben DNS validacio a baratod.
- A hozzászóláshoz be kell jelentkezni
Ooo ezt hogy?
------------------------
Jézus reset téged
- A hozzászóláshoz be kell jelentkezni
Csinalsz sajat CA -t es elfogadtatod minden lan-on levo eszkozzel. ;-)
Amit nem lehet megirni assemblyben, azt nem lehet megirni.
- A hozzászóláshoz be kell jelentkezni
igen, ez a megoldás.
------------------------
Jézus reset téged
- A hozzászóláshoz be kell jelentkezni
buzi ipad alatt nem megy. meg a wss websocket sem. egy kurvanagy áldás ez a szar ios. de legalább drivereket nem kell telepitgetni.
------------------------
Jézus reset téged
- A hozzászóláshoz be kell jelentkezni
vért szenvedtem, de megoldottam. wss is megy.
------------------------
Jézus reset téged
- A hozzászóláshoz be kell jelentkezni
Publikálhatnád pár mondatban, mert én szoptam már AD-s környezetben TLS-WPA Enterprise wifi-vel, és az "internal root CA cert publish to any random Apple *.shit" -be annó beletört a bicskám.
Nyilván vmi fizetős MDM-et ráb@szni az almás szarokra jó kerülőmegoldás, de talán egy root CA feltolása még az almás hulladék ios/ Macos-re se lenne szabad h. gond legyen így 2018 környékén. Vagy tényleg az?
--
- A hozzászóláshoz be kell jelentkezni
ez volt az alap. ezzel nekem működött.
https://gist.github.com/fntlnz/cf14feb5a46b2eda428e000157447309
a rootCA-t utána beraktam a brozerekbe, és azzal hitelesíttettem a többit és működött. a vége egy php class lett openssl_* függvényekkel.
ez is fontos:
Add multiple SANs into your CSR with OpenSSL http://wiki.cacert.org/FAQ/subjectAltName
openssl_csr_sign-nél használhats saját cnf-et.
------------------------
Jézus reset téged
- A hozzászóláshoz be kell jelentkezni