1 millió tanúsítvány visszavonását elhalasztotta a Let's Encrypt

Titkosítás, biztonság, privát szféra

Azokat a tanúsítványokat, amelyeknek a lecseréléséről nem tudott meggyőződni, az internet egészsége érdekében a Let's Encrpyt mégsem vonja vissza:

More than 1.7 million affected certificates have been replaced in less than 48 hours. We’d like to thank everyone who helped with the effort. Our focus on automation has allowed us, and our subscribers, to make great progress in a short amount of time. We’ve also learned a lot about how we can do even better in the future.

Unfortunately, we believe it’s likely that more than 1 million certificates will not be replaced before the compliance deadline for revocation is upon us at 2020-03-05 03:00 UTC (9pm U.S. ET tonight). Rather than potentially break so many sites and cause concern for their visitors, we have determined that it is in the best interest of the health of the Internet for us to not revoke those certificates by the deadline.

Részletek itt.

( answ | 2020. 03. 06., p – 04:01 )

Nagyszerű: megijesztettek egy rakás embert, akiknek gondolom elég bosszúságot okozott a csere (ügyfélnek pénzt+informatikusnak időt). Erre most: hát 90 nap után úgyis lejár, megoldódik magától a probléma, bocs..

elég bosszúságot okozott a csere

Nem az volna a letsencrypt lényege, hogy a csere ne nagyon tudjon bosszúságot okozni? Értem én, hogy enterspájz környezetben van mindenféle adminisztráció, meg fel kell venni ticketet, meg minden, de az egész egy full automatizált rendszer kéne hogy legyen. 

Persze, de amikor szakmányban tolod az automatizációt, és egy ilyen "jajj ellenőrizzünk, hogy mit kell kiadni újra" dologra nincs metódus. Persze, ott a lista és akkor ellenőrizd az hasht, hát köszönöm. Ha hirtelen sokszáz vagy adott esetben sokezer certet --force újrakérnek, akkor meg attól sikít fel a Letszenkript. (Egy WHM/CPanel szerveren simán 1000-es nagyságrendben lehetnek certet, amiknek a természetes eloszlású frissítése is komoly forgalom, de pár nap alatt végigtolni nem biztos, hogy megy.)

Ami itt igazán fájdalmas az a fölösleges munka. Gondolom általában az történet, hogy oké itt a Letsencrypt híre, átnezzünk, csekkoljuk, esetleg --force néhány certet újrakérünk. Valszin 1 órától a sokóráig vette el az idő a napi ügyektől vagy határidős melótól, majd megtudod az L napon, hogy jajjhát mégsem, mert rájöttünk, hogy legfeljebb 90 nap múlva úgyis lejárnak. Jellemzően egy hónapban nem ez az egyetlen és amikor nekiszegezik a zájtinak, hogy "namitcsináltok mégis?" vagy "miért nem halad a projekt", akkor nem 50/30-as lesz a vérnyomás.

( hnsz2002 v | 2020. 03. 06., p – 07:42 )

Pont az internet egészsége érdekében kellett volna visszavonni.

"Sose a gép a hülye."

( tneilc | 2020. 03. 06., p – 09:01 )

Úgy tűnik a Takarékbank ( https://takarekbank.hu/maganszemelyek ) nem érintett.

Issuer: CN = Let's Encrypt Authority X3,O = Let's Encrypt,C = US
Subject: CN = takarekbank.hu

DNS Name=m.takarekbank.hu
DNS Name=takarekbank.hu
DNS Name=www.takarekbank.hu

Valid from: ‎08 ‎January ‎2020 21:01:22
Valid to: ‎07 ‎April ‎2020 21:01:22

Serial Number: ‎04 2e db 6b ee c8 4d 7e a0 45 67 ed 3a 39 92 cd cd 01
‎Thumbprint: 97 a0 ce af 70 5c 77 96 3e 6a c9 8a 8c 40 2f 71 24 63 77 25

Ez csak szerintem gáz, hogy egy bank ingyenes tanúsítványt használ?

A takarekbank.hu domain gondolom az övéké. Ha ezt elhiszed, akkor az ssl tanúsítvány csak azt biztosítja, hogy aki kiállíttatta az akkor éppen hozzáfért a takarekbank.hu host-hoz. Ezáltal egy dns eltérítéses támadás már nem kivitelezhető. Nekem ennyi elég.

A tudomány és a hit vitája akkor eldőlt, amikor villámhárítót szereltek a templomokra.

Digi elég költségkímélő cég: mikor húzták nálunk az optikát (Budapesten), meg akartam kérdezni mikor indul a szolgáltatás, de senki sem beszélt a brigádban magyarul (se angolul). Azonban mutogattak egy kisbusz felé a románok a távolban, ahol mint kiderült a főnök volt, aki beszélt magyarul (aki egyébként szintén nem tudott semmit, de legalább ezt el tudta mondani magyarul a magyar fővárosban).

( lancsihh | 2020. 03. 09., h – 12:11 )

hat a netbank bejelentkezesi oldala is LE.