Comments 12
Сам процесс TLS хендшейка полуинтерактивный сайт-пример tls.ulfheim.net описывает намного лучше. Вся эта информация и так доступна и давно разжевана, в этой статье нет исследования.
А то понастраивают в своих спрингбутах непойми какие шифры, сертификатов самоподписанных навыпускают со строками протухания 10 лет, кейсторов наплодят — разгребай потом за вами… *ворчание*
А есть какая-нибудь статья или заметка как это сделать? Я про http-гейте, где стоит какой-нибудь нгинкс и certbot, обновляющий своевременно сертификаты.
У нас тоже спринг и тоже кейсторы :)
Чего там делать-то, в общем? Разворачиваете контейнер/виртуалку, заруливаете на неё 80 и 443 порты снаружи,
apt install nginx certbot, выпускаете сертификаты, настраиваете нужные домены в нгинксе с проксированием, куда надо, добавляете в крон/systemd-таймер перевыпуск. Между гейтом и приложениями шифрование необязательно, но в целом, если очень хочется — подойдут и самоподписанные сертификаты.
В чем проблема с сертом в 10лет? Я например всегда ставлю 50-100лет. 1 раз настроил и забыл навсегда. Особо умных юзеров "ой а что уэто хром у меня ругается что небезопасное соединение" - прошу ставить серт в доверенные, а если возмущаются - посылаю в закат. Да и вообще с этим обновлением и перевыпуском сертов один большой головняк. Такое ощущение что это было создано специально чтобы вовремя "заносили" деньгу всяким рапид-ssl-ям и верисайнам. Почему нельзя было поле "истекает" убрать в принципе у сертификатов? Зачем серту обязательно протухать? Ну хочешь ты аннулировать серт - ну закинь его в CRL и делов. Нет блин, надо еще каждый год париться с обновлением сертов, которое мало того что платное, так еще зачастую в зависимости от кривизны написанности сервиса может положить его с чертям основательно и надолго.
Уже давно существует бесплатный и удобнейший летсэнкрипт. Преимущества коротких сроков жизни и автоматического выпуска сертификатов уже сто раз на Хабре обсуждены — это существенно снижает площадь атаки и уменьшает вероятность человеческих ошибок.
Добавление невалидных сертификатов в доверенные — это вообще за гранью добра и зла.
Ну тогда и я буду прямо говорить. Вы рассуждаете так, как-будто кроме своего спринбута вы ничего в жизни не видели. Вы вообще в курсе, что в мире полно легаси-софта, который клепали еще в прошлом веке. Что такое поддерживать такого динозавра вы тоже походу не в курсе? И то что приходится админить такое ископаемое зачастую не по своей воле - тоже нет? И что вы не в силе принять управленческое решение, чтобы уйти на что-то новое - нет? Вы рассуждаете крайне узко.
Лэценкрипт далеко не всегда работает - например если винда. Или опять легаси с проприетарщиной, где любая правка конфы выливается в простой сервиса.
Сколько на хабре не обитаю - ниразу не видел статей про "опасность" сертов-долгожителей. Будьте так любезны, приведите пару статей в доказательство вашей правоты. Мне будет интересно. Честно. Может я даже поменяю свою точку зрения. Но будь бы у меня выбор между летценкрипт и каким-нибудь другим вендором посолиднее, типа рапида и верисайна - я бы выбрал последний. Меньше мороки, деньгу занести готов.
Не невалидных, а недоверенных - это разные вещи, у вас в понятиях каша походу, надо теорию подтянуть вам немного. Невалидный серт это тот который протух или SAN не бьётся c FQDN хоста или когда сам серт отозван корневым СА и пусть ему один - в корзину. Недоверенный серт - тут всё норм, дата и FQDN-SAN сходится, зачем паниковать - ставишь в трастед и вот тебе доверенный. Во вторых, многие вендоры до сих пор позволяют ставить нетрастед серты или даже селф-сайнед в трастед-хранилища и даже позволяют автоматизировать этот процесс. Почему? Потому что это суровая необходимость и пользуются ей многие и до сих пор, и еще 100500 лет будут пользоваться. А раз позволяют - значит это безопасно.
Вы рассуждаете так, как-будто кроме своего спринбута вы ничего в жизни не видели.
По правде говоря, вообще нельзя сказать, что я много раз видел «спрингбута» — это уровень приложения, а я по большей части всё-таки инфраструктурщик/сетевик, поэтому в первом комментарии и объясняю автору текста, что, как раз, имплементация шифрования в спрингбуте — плохая идея.
Вы вообще в курсе, что в мире полно легаси-софта, который клепали еще в прошлом веке. Что такое поддерживать такого динозавра вы тоже походу не в курсе? И то что приходится админить такое ископаемое зачастую не по своей воле — тоже нет?
Ещё как в курсе, и именно об этом я и говорил ранее — что шифрование, слава богу, относительно легко выносится в отдельный сервис, не трогая потроха динозавров. Даже если какой-нибудь «широко мыслящий» товарищ понаделал там унутре десятилетних сертификатов и гвоздями приколотил версию openssl, которая умеет максимум какой-нибудь TLS 1.0.
Лэценкрипт далеко не всегда работает — например если винда.
Опять безосновательные домыслы. Давно всё работает и на винде (см. напр).
На потоки сознания и переходы на личности отвечать, если позволите, не буду.
Не эйджизма ради, а просто для интереса, угадал ли я — вам сколько лет? :)
Ну так что? Будут доказательства того что 10-летний серт уязвимее 1-летнего. Вы мне напоминаете одного персонажа, с которым мне довелось трудиться в одной упряжке на восходе моей карьеры в ИТ. Тот тоже любил клепать серты с валидностью в полгода-год на каждый сервис. Так-то он был весьма смышленый, но его мания к иедальности во всем и делать "всё по книжке" его частенько губила, а в след за этим - ложила на долго продакшн, когда где-то за 5т.км. на каком-нибудь серваке в очередной раз протухал серт. На мой вопрос - почему полгода, а не хотя бы 5 лет, тот типок отвечал примерно как вы - типа поищи в инете - там всё написано. В итоге я начал действовать через руководство - и у меня получилось продавить идею сертов минимум в 1 год, да еще с кучей алиасов. Так что теперь не надо было потеть с перевыпуском серта на каждый сервис, а просто накатывался один и тот же серт разовона на все сервисы - где-то через GPO, где-то ручками. Персонаж, конечно бурлил, говорил что нас вот-вот взломают, нытьё, игнор, служебные записки - всё по классике. Работай-бы я дальше в той конторе, я бы 10-летние серты "запилил". Так что ну уподобайтесь таким - если есть доказательства - приводите их максимально прозрачно сразу, вместо оперирования шаблонными фразками типа "Преимущества коротких сроков жизни и автоматического выпуска сертификатов уже сто раз на Хабре обсуждены".
Вообще я приверженец старой школы - привык настраивать всё так, чтобы работало годами или даже десятилетиями, без всяких нужд в постоянном обновлении сертов и прочей мелочи, не сидеть ночами и делать каждый пункт по книжке и не задротствовать идеализмом.
За certifytheweb спасибо - заюзаю, потестирую. Выглядет вполне даже норм.
Не хотите переход на личности. Поддерживую вас. Т.к. обычно от такого перехода ничего хорошего не происходит.
С возрастом вы конкретно промахнулись. Мне еще жить да жить до полтиника. Вообще, я заметил нездоровую тенденцию на хабре за последний год-два. Притом раньше такой дичи не было. Многие почемуто стали цепляться за возраст, особенно когда кончаются аргументы. Это на самом деле так себе индикатор, и когда меня спрашивают за возраст - я сразу же делаю вывод о человеке не в самую лучшую сторону. Многие думают что как буд-то те, кто помоложе, шарят больше "старичков". Да, есть самородки-вундеркинды из молодых, которые порвут любого профи постарше, но их примерно 1 к 100. Остальные - это гуманитарии, управленцы, инфоцыгане, вые*щики и прочий биомусор.
таков вопрос , наверно слышали что все домены в зоне ****.app автоматически идут в ssl сертификатом , как это табртает? где они хранятся ? как и кто их передает когда допустим делегируешь домен на cloudflare
/ как и кто их передает когда допустим делегируешь домен на cloudflare
Cloud Flare пользуется Let's Encrypt.
Просто делегировать домен недостаточно - надо ещё включать проксирование трафика. Точнее, оно там по умолчанию как раз включено, но некоторые странные клиенты его почему-то отключают и потом спрашивают на форумах "а почему ничего не работает".
Основы HTTPS, TLS, SSL. Создание собственных X.509 сертификатов. Пример настройки TLSv1.2 в Spring Boot