Megérkezett a wildcard és ACMEv2 támogatás a Let's Encrypt-nél

 ( trey | 2018. március 14., szerda - 8:57 )

Részletek a bejelentésben.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ez mire jo? A widecard cert akkor jo, ha "kezzel" kell csinalnom egyet, (raadasul fizetek is erte) es sok helyen akarom hasznalni. A Let's Encrypt cert viszont ingyen van, az osszes szerveremen az osszes domainra automatikusan tudok kerni ilyet... akkor minek a wildcard?

Egyet tudok elkepzelni, hogy valaki egy webszerveren uzemeltett csillio _es_ elore nem ismert subdomaint... ez gondolom ugy az esetek 0.001%-a lehet.

Vagy valami mas?

nálunk pl nem árt, ha az alternatív nevekben nem szerepelnek olyan domainek, amik kellenek, de nem jó, ha mindenki tud róla

Nem kell szerepeltetni sem, a cert transparency report segítségével listázható az összes domain alá valaha beregisztrált ssl cert: https://transparencyreport.google.com/https/certificates?cert_search_auth=&cert_search_cert=&cert_search=include_expired:false;include_subdomains:true;domain:gov.hu&lu=cert_search

like erre az oldalra, eddig nem ismertem. Félelmetes h a gugli erre is mennyire rálát.
--

Meg ez is félelmetes:


A Google arra ösztönzi az összes tanúsítványkibocsátót, hogy tüntessék fel az általuk kibocsátott tanúsítványokat nyilvánosan ellenőrizhető, csak kiegészíthető, hamisítástól védett naplókban. A jövőben a Chrome és más böngészők dönthetnek úgy, hogy nem fogadják az ilyen naplókban nem szereplő tanúsítványokat.

Szóval belső felhasználású certet se tudj csinálni anélkül, hogy ne tudjon róla mindenki.

Nem kell pánikolni, csak a publikus, mindenki számára elfogadott cert providerekre vonatkozik a transparency és már tavaly óta csak ilyet fogad el a chrome.

Hogy mi szükség erre?
Enélkül bármelyik cert provider észrevétlenül kiadhatna a fű alatt egy certet pl. a gmail.com domainre, amivel mondjuk az NSA belelátna bárki levelezésébe.


Enélkül bármelyik cert provider észrevétlenül kiadhatna a fű alatt egy certet pl. a gmail.com domainre, amivel mondjuk az NSA belelátna bárki levelezésébe.

És itt akkor pont nincs értelme annak, hogy "megbízható" a kibocsájtó, ha úgyis egyesével kell ellenőrizni a kibocsájtott certeket.

google -t ugyis kenyszeritik az informacio megosztasra, nem is kell tanusitvannyal jatszani.


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

Hasznos maga az ötlet, h. a sunyi v. csak szimplán ostoba cert authority cégeket képes legyen az "átlagember" (gyk. aki nem tagja semmilyen PKI jeditanácsnak) ellenőrizni.
A félelmetes megint csak az, h. a gugli "iamevil" játszik megint internetrendőrséget. Nyilván csak a közjó érdekében, néhány gugli-mérnök nyomja a ráérős heti2napkötelező nonproject kreatívkodós társadalmi munkában, nem-Google infrastruktúráb futtatva a Service-t.
Nem pedig üzlethaszon hátsószándékkal.
--

ez is hasznos tud lenni: https://crt.sh/?q=%25.gov.hu

Öröm látni h. még itt sincs központi megegyezés melyik CA-t használják a tagszervezetek, nehogy lehessen 1 v. max 2 root CA-t cert pinning-elni.
Innentől lesse az ember h. a NAV-nál a Letsencrypt-es cert nem hacking miatt van használatban, de a gate.gov.hu ügyfélkapu loginportálon már azt lesse h. Netlock, 3.-on meg vmi holland tökömtudja CA van. Remélem vmelyik gov.hu vett a Trustico-tól is: http://www.zdnet.com/article/trustico-compromises-own-customers-https-private-keys-in-spat-with-partner/
--

Gov.hu éppen saját CA-t csinál: http://www.nisz.hu/hu/gov-ca-kormányzati-hitelesítés-szolgáltatás

Szerintem a gov.hu alatt be fogja tiltani a többi CA használatát

Mondjuk ha nem akarod kileakelni a dev környezetek (vagy bármi nem publikus) oldal címét, de mégis akarsz rá https-t.

Tok egyszeru: az LE rate limitel, hogy mennyi certet kerhetsz domainenkent per X ido. Ez kis meretekben nem problema, de ahol napi szinten tobb tucat aldomain szuletik, ott mar nem annyira buli.

--
Pásztor János

Child domain-ket DNS delegálással létrehozva vajon fgetlen entitásként látszanak LE felé? Vagy a LE domain suffix match-alapon ezeket 1 DNS név tulajdonos-ként tartja számon?
--

Nem, kulonbozo limitek vannak, root domainenkent es exakt domain nev kombinaciokra is (publikus TLD lista alapjan). https://letsencrypt.org/docs/rate-limits/

--
Pásztor János

Azt mondjatok meg inkabb hogy lanon levo embedded devicera hogyan tudok valid certet kesziteni?
------------------------
Jézus reset téged

Megcsinálod neten, aztán átrakod privát hálózatra.

repeat every ~60day
--

Igen, csak az automatikus frissites igy nemigen fog mukodni...

Azért nem lehetetlen egy scriptet írni, ami neten lévő gépről hetente átrakja a certet a lanos gépre.

Persze nem, csak ezt a lepest nem emlitetted fent, aki meg szerez igy egy cert-et az hamar meg fog lepodni frissites nelkul.

De kicsit tovabb gondolva az otletet, egy "let's encrypt proxy"-t kellene megirni, ami tovabbadogatja belso halora a certeket...

Egyébként a "lanon levo embedded device" nem zárja ki, hogy net elérése is legyen. Ebben az esetben tud kérni egy wildcard-os cert-et és a local.anything.hu -nak kioszt egy lanos ip-t.

Let's encrypt nem probal meg kivulrol visszakapcsolodni? Mert a nem wildcardos esetben van kivulrol jovo kapcsolat...

Egy TXT bejegyzést kell elhelyezni a domainben.

Ez esetben DNS validacio a baratod.

Ooo ezt hogy?
------------------------
Jézus reset téged

Csinalsz sajat CA -t es elfogadtatod minden lan-on levo eszkozzel. ;-)


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

igen, ez a megoldás.

------------------------
Jézus reset téged

buzi ipad alatt nem megy. meg a wss websocket sem. egy kurvanagy áldás ez a szar ios. de legalább drivereket nem kell telepitgetni.
------------------------
Jézus reset téged

vért szenvedtem, de megoldottam. wss is megy.
------------------------
Jézus reset téged

Publikálhatnád pár mondatban, mert én szoptam már AD-s környezetben TLS-WPA Enterprise wifi-vel, és az "internal root CA cert publish to any random Apple *.shit" -be annó beletört a bicskám.

Nyilván vmi fizetős MDM-et ráb@szni az almás szarokra jó kerülőmegoldás, de talán egy root CA feltolása még az almás hulladék ios/ Macos-re se lenne szabad h. gond legyen így 2018 környékén. Vagy tényleg az?
--

ez volt az alap. ezzel nekem működött.
https://gist.github.com/fntlnz/cf14feb5a46b2eda428e000157447309

a rootCA-t utána beraktam a brozerekbe, és azzal hitelesíttettem a többit és működött. a vége egy php class lett openssl_* függvényekkel.
ez is fontos:

Add multiple SANs into your CSR with OpenSSL http://wiki.cacert.org/FAQ/subjectAltName

openssl_csr_sign-nél használhats saját cnf-et.


------------------------
Jézus reset téged