Názory k článku Let's Encrypt otevřel bránu: ve veřejné betě může mít certifikát každý

Když čtu něco o Let's Encrypt musím si vzpomenout pokaždé na tu ironii že stránka která má ssl i když není oveřena žádnou autoritou zobrazuje upozornění že je bla bla ale stále bude vždy bezpečnější jak bez ssl...

Mám na wedosu 2 weby bohužel mám jenom webhosting čekám na nasazení Let's Encrypt jako na seslání božího zázraku a to jsem ateista ale stále nic. Když jsem psal před měsícem na podporu bylo mě řečeno že se o tom možná uvažuje ale vím že se na podpoře na to ptá každý druhý ale asi je to nezajímá jiné hostingové společnosti to už mají...

Nejvtipnější na tom je že mě přišli novinky od wedosu a to je mám vyplé byla tam jedna z novinek něco o ssl že mají na výběr placené nebo neoveřené atd.

A k tomu odkaz na článek z roku 2012 no takhle by to asi nešlo!

Neví někdo nějaké nové informace o wedosu a webostingu a Let's Encrypt ?

Co si místo webhostingu pořídit VPS, na které si pak můžeš SSL nastavit, jak je libo?

Jenda: Co takhle než něco napíšu se zamyslet ?

Příklad: „Chci do auta klimatizaci a automechanik mě řekne kupte si nové auto bez střechy“

Mám webhosting VPS nevyužiji a nechci ho.

- Cena
- Nastavení a znalost OS
- Instalace softwaru Apache, PHP, MySQL, mailserver, DNS, ISPConfig (a to je jenom základ)
- zálohování serveru

A takhle mohu pokračovat dále....

Mám webhosting a vím proč ho mám SSL na webhosting a Let's Encrypt je doplnková služba není to nic extra proč bych musel mít VPS...

to pravdepodobne ztroskota na "- Nastavení a znalost OS"... proc proste nejdes jinam, kdyz sam pises "jiné hostingové společnosti to už mají..." ...

Zrovna jsem se chtěl zeptat na ty zmíněné alternativní klienty ve článku, tak díky za gethttpsforfre­e.com. Ofiko klienta jsem zkoušel jen letmo a narazil jsem na (zatím) nepodporu Nginx. Jestli jsem to pochopil, tak bych při ověřování nginx musel vypnout, aby se uvolnil port 80. Neřešil jsi to už náhodou nějak přes standalone nebo webroot mode?

Když jsem se na to ptal tak před týdnem, psali mi, že čekají na to, až skončí testování a bude to přístupné, aby to mohli zkontrolovat a nasadit ... tak snad do roka a do dne :D

Proč ta naše vláda k občankám nedává i certifikáty? Tolik peněz by se ušetřilo za volby, kdyby lid mohl rozhodovat prostřednictvím mobilů a počítačů. Dávat ročně 396 Kč Český poště za certifikát, abych mohl jednat s úřady a s jinými vyžadující ověření totožnosti se mi fakt nechce.

Tip: mini PC s Windows 10 > LattePanda

https://www.kickstarter.com/projects/139108638/lattepanda-a-45-win10-computer-for-everything?

> To by zajisté lidé hejkali samou radostí, když by místo relativně anonymních voleb stát věděl o každém hlasu...

Ještě štěstí, že jiní lidé místo hejkání vymysleli schémata, která umožňují provést elektronické volby tak, aby stát nevěděl, pro koho jsi hlasoval. A má to ještě další dobré vlastnosti, například si můžeš ty sám zkontrolovat, že je tvůj hlas sečten dobře, což u papírových voleb nelze. Hledej například "non-coercion e-voting scheme".

> Jinak Vaše představa, že lidé nechodí volit jen kvůli tomu, že musí dojít do volební místnosti, je docela úsměvná...

Mně by se to líbilo proto, že nevěřím, že je stát schopen hlasy sečíst dobře.

Nicméně v současnosti je taková věc neproveditelná - matematicky je to téma velmi dobře zpracované a dokonce existují ukázkové open-source implementace (https://vote.heliosvoting.org/), ale neexistuje hardware, na kterém by to šlo provozovat. Snad všechny počítače jsou nějakým způsobem děravé, napadnutelné, zavirované atd.

Tak o tom dobrém sčítání by mohli vyprávět např. v USA, že. Ta věc je především neústavní, protože se zcela ztrácí přezkoumatelnost průběhu voleb. On je k tomu i judikát německého ústavního soudu, podle kterého požadavek na transparentnost voleb naplňuje pouze taký způsob hlasování, při němž "jsou přezkoumatelné všechny podstatné kroky volebního rozhodování a zpracování výsledků způsobem, který je spolehlivý a nevyžaduje žádné zvláštní znalosti.“

> jsou přezkoumatelné všechny podstatné kroky volebního rozhodování a zpracování výsledků způsobem, který je spolehlivý a nevyžaduje žádné zvláštní znalosti

Tak to asi už v Německu nebudou nikdy volby, protože žádný takový systém nejspíš neexistuje (papírové volby nejdou přezkoumat a přezkoumání elektronických voleb vyžaduje složitou matematiku).

Já to dělám tak, že dám preferenční hlas nějakému zcela obskurnímu kandidátovi ze spodku listiny. Pokud pak vidím, že v mém okrsku byl tomuto kandidátovi započten preferenční hlas, vím, že můj hlas byl sečten.

Dobrý nápad, kdybych manipuloval volby, dám si pozor, aby tohle sedělo.

Nejak pomijis, ze volby maji 3, nikoli 2 zasadni vlastnosti

1) tajne => nikdo nesmi byt schopen zjistit, kdo jak hlasoval
2) osobni => musi byt zaruceno, ze kazdy hlasuje sam za sebe
3) prezkoumatelne => v libovolnem okamziku lze cosi vzit a prepocitat to

Jeste nikdo nevymyslel, jak to udelat elektronicky, protoze to proste nejde.

Ta vlastnost, ze ty sam si schopen overit svuj hlas je v rozporu, protoze te pak muze kdokoli prinutit, abys mu dolozil svuj hlas (a nemusi te ani nutit, da ti litr, kdyz mu ukazes zes hlasoval pro nej).

Elektronicke volby ani tajne byt nemuzou, a muzes vymejslet sifrovani jaky chces, protoze kdyz budu odchytavat jednotlivy hlasy, velmi snadno identifikuju, kdo hlasoval jak.

Stejne tak nelze zajistit osobni hlasovani, protoze jestli nekdo odhlasuje za 10k lidi od kterych koupil nejaky token, tak to nikdo nezjisti.

A prezkoumatelne neni taky, protoze co chces zkoumat, protoste vypad nejakej vysledek, a ten je zcela jiste zcela presny, jen se nevi, jestli odpovida tomu, jak se hlasovalo.

Ač celkově souhlasím, tak ověřitelnost započítání hlasu řešitelná je.

Systém může umožnit, aby uživatel vhodným způsobem "zvolil" jaký výsledek chce vidět. Pak by bylo jedno, že Vám někdo nabízí litr (nebo vyhrožuje), protože mu "snadno" ukážete co chce vidět. Není to ale úplně triviální na implementaci (pro běžnou veřejnost).. něco typu různé heslo ukáže různá data.

> Jeste nikdo nevymyslel, jak to udelat elektronicky, protoze to proste nejde.

Ta vlastnost se jmenuje non-coercibility a ty papery o sobě tvrdí, že to umí (hledej non-coercible e-voting scheme). Podrobněji jsem to ale nezkoumal a je tam netriviální matematika.

> Elektronicke volby ani tajne byt nemuzou, a muzes vymejslet sifrovani jaky chces, protoze kdyz budu odchytavat jednotlivy hlasy, velmi snadno identifikuju, kdo hlasoval jak.

Promiň, ale četl jsi třeba něco o RSA blind signature, zero-knowledge proofs a podobných věcech?

> Stejne tak nelze zajistit osobni hlasovani, protoze jestli nekdo odhlasuje za 10k lidi od kterych koupil nejaky token, tak to nikdo nezjisti.

Mohlo by se třeba stát, že ti lidé mu předali pouze kopii tokenu, a pošlou do sítě konfliktní hlas a tím se to zneplatní.

> A prezkoumatelne neni taky, protoze co chces zkoumat, protoste vypad nejakej vysledek, a ten je zcela jiste zcela presny, jen se nevi, jestli odpovida tomu, jak se hlasovalo.

Čemu jinému může třeba odpovídat?

> Tolik peněz by se ušetřilo za volby, kdyby lid mohl rozhodovat prostřednictvím mobilů a počítačů.

To by mi přišlo při současném stavu počítačové bezpečnosti velmi nešťastné.

.. je to cele zabite tim, ze
1. nevydavaji wildcard certifikaty (ale to bych jeste prekousl)
2. certifikat vydavaji JEN na 3 mesice, resp. 90 dni. S mnozstvim domen a subdomen, ktere nemam JEN pro web, ale pro spoustu jinych sluzeb a musim rucne certifikaty kopirovat z letsencrypt adresare jinam (napr. pro Prosody apod nejde pouzit letsencrypt symlink na aktualni certifikat), se mi to opravdu kazde 3 mesice nebude chtit delat.

Důvod, proč je to jen 90 dní (a v budoucnu uvažují dokonce i o zkrácení platnosti) je ten, aby uživatele donutili proces zautomatizovat.

Ja tomu rozumim a v pripade web serveru mi to ted jiz funguje.
Problem je, ze certifikat pouzivam na spoustu dalsich sluzeb u kterych to proste zautomatizovat nejde. Takze je pro me snazsi vygenerovat si certifikat na 1 rok napr. u Startssl, kde je take zdarma, nez kazde 3 mesice (a v budoucnu jeste mene) marne vzpominat, co jeste mam udelat proto, aby vse fungovalo.

V okamziku, kdy potrebujete mit jeden certifikat na vice strojich, proces s pomoci LE zautomatizovat nejde. Do jiste miry to jde zautomatizovat v ramci jednoho serveru (i kdyz si LE pojmenovava certifikaty podle zatim nekolikrat meneneho klice, ke kteremu se dostava pomoci symlinku).

Je možné, že uvedené Prosody to opravdu neumí načíst z jiného adresáře. Nakonec to ale stejně skončí tím, že administrátor udělá "cp" - a to se může napsat do skriptu.

Na druhou stranu restart Jabber serveru každé dva měsíce už je trošku vidět (uživatelům to nejspíš zavře a znova otevře konverzace, nevím, jestli to umí držet spojení se starým certifikátem, ale pro nové už používat nový).

Tak ja jsem dneska pozitivni, ten klient me velmi mile prekvapil (pravda, stahuje mraky balastu, ale pouziva ho jen sam pro sebe a necpe ho do systemu), trochu skoda je tech max. 6 certu na domenu.

A kopirovani mraku certu? Nevim, crond + bash si s tim neporadi?

Na slozitejsi veci kam to automaticky narvat nejde (treba cert pro mailovou applianci) prece staci komercni certifikat, v cene hluboce pod 1% ceny te appliance.

ten limit je kde, nejnovější co jsem našel pro public betu je zmínka 5 certifikátů na doménu za 7 dní

mrknete na alternativni klienty:
https://github.com/kuba/simp_le/
https://github.com/diafygi/letsencrypt-nosudo

jsou mnohem transparentnejsi ve smyslu ze vidim, co delaji a kam si sahaji.
Ten prvni je dokonce od spolutvurce klienta oficialniho, kteremu se ta neprehlednost trochu prestala libit.

Nebo ještě jeden z nedávno zveřejněných: https://github.com/diafygi/acme-tiny

Nemohl by to tam zkopírovat skript?

Ahojte, neviete poradit?
Mam Apache2 vo vnutornej sieti, na ktorom bezi viacero virtualnych hostov.
Kazdy z nich pocuva na inom porte.
Cele je to za NAT-om, pretoze mam na to vsetko len 1 verejnu IP adresu.

Otazka: dokazem letsencrypt nejako presvedcit, aby pouzival MOJE porty a nie 80/443? switche --http-01-port a --tls-sni-01-port na to evidentne nesluzia.

diky moc,
m.

Jinak receno, bezpecnost je presne stejne nulova, ale hlavne ze mame "duveryhodny" certifikat. K jeho ziskani mi staci kdekoli na ceste mezi le a cilem presmerovat port ...

Nema cenu zamykat dum protoze s poradnou palici se tam stejne nekdo dostane?

Tohle je to same - DV certifikat chrani treba proti tomu, aby mi nekdo v hotelu/letadle/... strkal do stahovanych stranek reklamy a horsi veci, dost efektivne brani tomu, aby si nekdo zpetne precetl pasivne nasniffovany traffic. Coz je samo o sobe velky pokrok. jasne ze jsou utoky pred kterymi nechrani, ale tam uz jde o pomer riziko/naklady.

Vdaka za info, idem sa trapit.
Len mala otazka na zaver - ak sa mi to podari a certifikaty dostanem - co renewal? Budem musiet riesit kazdy host znova manualne, alebo tam uz nebude problem ?

este raz velka vdaka.
m.

A nepomohlo by
letsencrypt-auto --webroot -w /path/k/documen­trootu/kterej/je/na/por­tu/80/ certonly -d moje.domena.cz

lebo dava mi to tuto chybu : An unexpected error occurred: There were too many requests of a given type :: Error creating new cert :: Too many certificates already issued for: no-ip.org

pojde, ale musis mat stastie byt medzi prvymi ked sa uvolni limit :-D Kazda domena ma limit na pocet certifikatov za nejake obdobie. Niekto spominal 5 certifikatov / 7 dni / 1 domena

No, a to je vopravdu vychytany! :-DDD

https://gist.github.com/mauron85/0912b899d473d58b9c37