Ingyenes SSL tanúsítványokat tervez osztani a Let's Encrypt

Titkosítás, biztonság, privát szféra

Let's Encrypt

The Electronic Frontier Foundation (EFF) egy olyan új, non-profit szervezet beindításában segítkezik, amelynek célja a biztonságos internetböngészés / használat még szélesebb körben való elterjesztése.

A Let's Encrypt nevű hitelesítés szolgáltató felügyeletét a Internet Security Research Group (ISRG) végzi majd. Az ISRG a a Mozilla-val, Cisco-val, Akamai-vel, EFF-fel és másokkal együttműködve építi fel a szolgáltatáshoz szükséges infrastruktúrát. A Let's Encrypt jövőre indul.

További részletek itt.

( turul16 v | 2014. 11. 20., cs – 07:50 )

Mi lesz igy a caching proxikkal.. ?
Hmm, kene egy szavazas arrol ki hasznal olyat a cegnel ill. othon manapsag.

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

Mérsékelten. Ahol több cert van egy IP-n, ott még mindig nem a jó certet fogod kapni (nincs implementálva a squidban az SNI, ami erősen gáz), másrészt bármilyen hiba esetén IP-re fogsz certet kapni, ami a böngészőben egy durva hibaüzenetet nyit. Ez utóbbi orvosolható ha a squid nem transzparens, előbbi akkor sem, az bukta.

Szóval szummázva: szépen működget, eggyüt lehet élni vele, de az elvárható minőséget ahhoz hogy ne zavarja a munkát nem hozza.

Ahonnan kimehetsz VPN-en, ott nem nagyon van értelme https-t proxyzni. Nem mellesleg a gépbe be kell hegeszteni a mester certet, aki meg ezt meg tudja oldani az meg úgyis bármi mást is felrakhatott a gépre....

Nyilvános helyen, vagy saját eszközös hálózatban természetesen nincs ilyesminek tere.

Szerencsére nálunk két alhálózat van. Az egyik proxyzott, L7 filterezett.
A másik megkerüli a proxyt és tűzfalazva sincsen. Erről természetesen a belső szerverek nem láthatók.
Megfelelő PAC és routing tábla mellett transzparensen használható a két hálózat: csak a belső IP-ket routolja a proxy felé.
A userek laptopjaira meg érdemes csinálni olyan admin fiókot, aminek tudják a jelszavát. 10 perc alatt úgyis csinálna magának.

( zrubi v | 2014. 11. 20., cs – 17:04 )

Az úgynevezett hitelesítő cégek, már így sem hitelesek (számomra legalábbis biztosan nem)
Mit várhatunk el egy ingyenes tanúsítvány kiadótól majd?

Eleve teljes káosz már az is, hogy egy oprendszer/böngésző helyettem előre eldönti, hogy milyen tanúsítvány kiállító cégekben bízok meg vakon!

Az ilyen "kétkattintáással kapok egy tanúsítványt" című őrületeknek vajmi kevés haszna van a gyakorlatban.

Sőt, sokkal inkább csak azoknak kedvez, akik az amúgy sem túlképzett usereket át akarják verni, és/vagy a tudatlanságukat kihasználni.

--
zrubi.hu

Oh, igen... csakhogy már jóideje nagyságrendekkel egyszerűbb kliens oldalon kompromittálni egy user/oprendszert/alkalmazást, mint lehallgatni a vonalat.

+ ha valamiért mégis kényelmesebb egy mitm, azt bármilyen tanúsítványosdi ellenére is beszopja a felhazsnálók 90%-a. Mert megszokták, hogy az "elfogadom a kockázatot" gombra kell kattintani, és "máris bejön".

És ez leginkább a felhasználók tudatlanságából adódik, és ezen nem segít semmilyen tanúsítvány sem.

Ezen felül, aki eddig meg akarta óvni a szerencsétlen (l)usereket mindenféle gonodszságtól, az nem tudja ezt megtenni, ha 'minden' titkosítva utazik. A titkosítás is egy kétélű fegyver, ami csak azoknak előny, akik tudják mit csinálnak. A többieknek inkább csak megvágják magukat vele.

--
zrubi.hu

Erről van szó, az NSA eddig is, ezután is el tudja olvasni a levelemet, elég "rávenni" egy CA-t, hogy aláírjon egy hamis tanusítványt, és berakni egy fekete dobozt a szolgáltatóhoz. De ha minden weboldal https titkosítva van, akkor legalább az ISP nem fogja plaintextben látni a fórumhozzászólásaimat vagy a megtekintett URL-eket: azért ilyesmikből minimális erőfeszítéssel pontosan beazonosítható profil állítható össze, még akkor is, ha a levelezésemet és a bankolást eddig is https-en keresztül végeztem. Vagy másik (megtörtént) eset: az ISP nem fogja tudni a saját hirdetéseit a megtekintett weboldalakba belenyomni, ha azok enkriptálva érkeznek.

Külön kell választani a két dolgot.
Számomra az jön le az olvasottakból, hogy a Let's Encrypt! nem azt célozza meg, hogy mindenkinek megbízható, hiteles tanúsítványt adjon ingyen.
A cél, hogy legalább legyen titkosítva a forgalom. Az esetek többségében ez bőven elég.
Ha hiteles is szeretnél lenni, továbbra is meg kell venned az EV cert-et.
Szerintem ez egy teljesen normális és üdvözlendő dolog.

( freeoli v | 2014. 11. 21., p – 12:47 )

Nagyon nagyon jó! Igaz sokaknak bevételkieséssel fog járni, de az csak azért lesz mert nem voltak hajlandóak a korral együtt változni és még mindig horribilis áron adják.

> Igaz sokaknak bevételkieséssel fog járni, de az csak azért lesz mert nem voltak hajlandóak a korral együtt változni és még mindig horribilis áron adják.

-1

A class 1 certeket eddig is kb. egy sör áráért utánad dobták, sőt, ingyen is lehet széles körben ismert szolgáltatótól szerezni. A nagy lóvé nem ezek körül mozog, próbálj meg EV tanúsítványt szerezni ingyen.

( Nextra | 2014. 11. 21., p – 23:26 )

Én nem vagyok szakértő, csak egy nyomorult user.
De próbáltam beállítani egy levelező klienst a digihez, és az imap elérésnél két éve lejárt saját aláírású SSL tanúsítvány fogadott. S még a jelszó sincs titkosítva az smtp-hez.

Talán meg kéne nekik említeni?