Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Объявлены устаревшими 11 методов верификации доменов для TLS-сертификатов"	+/–
Сообщение от opennews (??), 15-Дек-25, 19:34
Ассоциация CA/Browser Forum, выступающая площадкой для совместного принятия решений с учётом интересов производителей браузеров и удостоверяющих центров, утвердила новые требования к организациям, выдающим сертификаты для HTTPS. В новых требованиях объявлены устаревшими 11 методов проверки владения доменом, для которого выдаётся сертификат. Прекращение поддержки устаревших методов будет производиться поэтапно до марта 2028 года. В качестве причин прекращения поддержки отмечается фокусирование внимания на автоматически  выполняемых и криптографически верифицируемых методах проверки... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64426
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
Сообщение от Аноним (1), 15-Дек-25, 19:34
А это чё то меняет в общем?
Ответить | Правка | Наверх | Cообщить модератору

	6. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+6 +/–
	Сообщение от Аноним (6), 15-Дек-25, 19:57
	Похоже, будет требоваться установка криптобота на сервер.
	Ответить | Правка | Наверх | Cообщить модератору

	7. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+3 +/–
	Сообщение от Аноним (1), 15-Дек-25, 19:59
	Типа certbot?
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	–4 +/–
	Сообщение от Tty4 (?), 15-Дек-25, 21:39
	Это значит, что старые сайты с контентом теперь придется обновить или стереть знания нахрен. Почему кто-то решил, что контент требует защиты при доставке?
	Ответить | Правка | Наверх | Cообщить модератору

	67. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+5 +/–
	Сообщение от Аноним (67), 16-Дек-25, 02:25
	Поищи в интернетах, как провайдеры инжектировали свою рекламу в передаваемые по хттп страницы.
	Ответить | Правка | Наверх | Cообщить модератору

	72. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	–1 +/–
	Сообщение от Аноним (-), 16-Дек-25, 03:30
	лол. две строчки в шапку, одна - в бодик. на несекьюре это уже задачка для школьников, кажется
	Ответить | Правка | Наверх | Cообщить модератору

	95. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от баноним (?), 16-Дек-25, 11:09
	Так погуглить вопрос не "как это сделать", а "зачем защищать"
	Ответить | Правка | Наверх | Cообщить модератору

	121. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от playnet (ok), 16-Дек-25, 17:02
	А теперь голову включи. Реклама это самое простое и безобидное, ровно так же это может быть для сбора инфы откуда куда ты ходишь, что смотришь, читаешь, пишешь, получать всякие куки-токены-пароли. Фильтровать любую инфу, которую они посчитают нужным, включая искажение ответа, с ИИ это делается уже легко (не трогая политику и острые темы как в китае - банально гуглишь скорость света, а в ответе будет 500м/с. Зачем? Потому что.). Банально подмена рекламных баннеров своими, с таким сам сталкивался много лет назад. Провайдеры это делали, делают и делать будут при первой же возможности, особенно сотовые, такой халявный источник денег на встроенной рекламе. А теперь ломанули магистральный свич, подхимичили - и вот уже прямо злой умысел и в чтении, и в модификации.
	Ответить | Правка | К родителю #72 | Наверх | Cообщить модератору

	123. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Смузихлеб (?), 16-Дек-25, 17:27
	>Фильтровать любую инфу, которую они посчитают нужным, включая искажение ответа, с ИИ это делается уже легко Кстати есть такое, Организации которые поддерживают ИИ, заинтересованны, чтобы в результатах ИИ, выдававло именно их продукт, например их конкретную марку машины, или что то что это ИИ восхавляет, показывая что это самое лучшее, а что то другое ( конкурента ), даже не выдает в поиске, или говорит что то ( другое ) хуже. И только тогда когда самому ИИ, говоришь, а как на счет ( другое ), ии внезапно вспоминает, или говорит, что совершил ошибку якобы. Но если начать спрашивать конкретные подробности, как бы вглубь то ответ может быть совершенно противоположен первичному. Я уже такое замечал. Кстати кажется что ИИ, стал как будто намеренно тупее.
	Ответить | Правка | Наверх | Cообщить модератору

	126. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от anoName (?), 16-Дек-25, 21:32
	и что плохого в том, что гопотящий скорость света узнает, что она 500м/c?
	Ответить | Правка | К родителю #121 | Наверх | Cообщить модератору

	82. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+5 +/–
	Сообщение от Аноним (6), 16-Дек-25, 08:37
	Клаудя и сейчас это делает, только под сертом сайта под httpS. Вместо сайта видишь страницу клауди. А серт - сайта...
	Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

	120. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+1 +/–
	Сообщение от Admino (ok), 16-Дек-25, 16:59
	Но этот инжект кого надо инжект.
	Ответить | Правка | Наверх | Cообщить модератору

	132. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним83 (?), 17-Дек-25, 09:53
	Это проблема пользователей таких провайдеров, как владелец сайта который ничего не зарабатывает на пользователях/просмотрах - мне нет дела до этого.
	Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

	85. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+1 +/–
	Сообщение от Аноним (85), 16-Дек-25, 08:47
	Ростелеком начал подстановку своей рекламы в трафик абонентов  https://opennet.ru/52444 Билайн подставляет в транзитный HTTP-трафик свой JavaSсript-код https://opennet.ru/43918
	Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

	124. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Смузихлеб (?), 16-Дек-25, 17:30
	>Ростелеком Ну это же самый лучший интернет провайдер. Который любит урезать скорость когда ем это нужно, ну тоесть забавно скорость 120 мб/сек, Но только якобы от ростелеком до клиента. Только вот реклама почему то никогда не тормозит.
	Ответить | Правка | Наверх | Cообщить модератору

	131. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним83 (?), 17-Дек-25, 09:52
	Нет, можно оставить и дальше только http.
	Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

	65. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (65), 16-Дек-25, 02:17
	Крипто-бота, который требует root-прав?
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	83. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (6), 16-Дек-25, 08:40
	> требует root-прав? Для начала: под каким юзером работает системДа? Вопрос на подумать.
	Ответить | Правка | Наверх | Cообщить модератору

	127. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от anoName (?), 16-Дек-25, 21:34
	от системды ты уже никуда не денешься, и её код есть кому изучать. что там за бот будет никто не знает.
	Ответить | Правка | Наверх | Cообщить модератору

	112. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от dalco (ok), 16-Дек-25, 14:42
	Например, acmesh работает от непривилегированного юзера.
	Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

	133. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (133), 17-Дек-25, 10:44
	certbot или acme.sh не требуют рутовых прав доступа.
	Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

	101. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+2 +/–
	Сообщение от Джон Титор (ok), 16-Дек-25, 12:53
	Да ничего в общем. Американцы как были Питэрами, так и остались. Усложнили методы верификации. Для старых сервисов представляющих конструкторы сайтов это небольшая головная боль теперь если хотят остаться.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	102. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Джон Титор (ok), 16-Дек-25, 12:55
	p.s. предполагаю что гуглу за это нужно сказать спасибо
	Ответить | Правка | Наверх | Cообщить модератору

2. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+5 +/–
Сообщение от Анонимище (?), 15-Дек-25, 19:36
Не увидел в списке подтверждение по телеграфу
Ответить | Правка | Наверх | Cообщить модератору

	3. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+4 +/–
	Сообщение от Dzen Python (ok), 15-Дек-25, 19:39
	Телетайпу!
	Ответить | Правка | Наверх | Cообщить модератору

	15. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+6 +/–
	Сообщение от specter (ok), 15-Дек-25, 20:16
	Почтовыми голубями
	Ответить | Правка | Наверх | Cообщить модератору

	66. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (65), 16-Дек-25, 02:18
	Сарафанное радио, и фреймы для передачи - бабули.
	Ответить | Правка | Наверх | Cообщить модератору

	96. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+1 +/–
	Сообщение от баноним (?), 16-Дек-25, 11:10
	Шанс на потерю фреймов высокий При этом есть вероятность что фрейм отожмет у тебя квартиру
	Ответить | Правка | Наверх | Cообщить модератору

	134. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Sm0ke85 (ok), 17-Дек-25, 10:58
	>Почтовыми голубями Дааа, без них почте России тяжко было бы...))))
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

	77. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от онанист (?), 16-Дек-25, 07:37
	не графу а маху
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

4. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+4 +/–
Сообщение от Аноним (4), 15-Дек-25, 19:40
Как же теперь в Японии без факсов будут сертификаты обновлять? Бида-бида.
Ответить | Правка | Наверх | Cообщить модератору

	8. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+1 +/–
	Сообщение от Аноним (6), 15-Дек-25, 19:59
	> Как же теперь в Японии Зачем им интернет вообще? Они всё в бумажном виде делают. Иногда на дискетах было, но те кончились.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	–2 +/–
	Сообщение от Аноним (18), 15-Дек-25, 20:22
	Ну например со скоростью интернета у них вполне нормально: https://en.wikipedia.org/wiki/List_of_countries_by_Internet_...
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	84. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+1 +/–
	Сообщение от Аноним (6), 16-Дек-25, 08:42
	Министерство правды?!
	Ответить | Правка | Наверх | Cообщить модератору

	105. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+1 +/–
	Сообщение от Аноним (18), 16-Дек-25, 13:03
	А что не так с данными ? Тем более там медианная скорость, а не средняя.
	Ответить | Правка | Наверх | Cообщить модератору

5. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
Сообщение от Аноним (-), 15-Дек-25, 19:43
А почтовых голубей дропнули в предыдущий раз? Или все еще в ходу? Это ж рабочие столы потом отмывать приходится...
Ответить | Правка | Наверх | Cообщить модератору

	30. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (18), 15-Дек-25, 21:08
	Голубь не пройдёт проверку: https://www.cloudflare.com/ru-ru/ssl/encrypted-sni/
	Ответить | Правка | Наверх | Cообщить модератору

	63. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+4 +/–
	Сообщение от Васисуалий. (-), 16-Дек-25, 01:27
	Будешь удивлен, но... https://ru.wikipedia.org/wiki/IP_посредством_почтовых_голубей
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

10. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+1 +/–
Сообщение от Аноним (10), 15-Дек-25, 20:08
Цифровой гулаг он такой. Главное что LetsEncrypt от товарища из АНБ со времянем жизни в пол наноскунды все так же моден и молодёжен. Большой брат уже изготовил... ну это certbot, для каждого "свободного" гражданина. Интересно когда они начнут требовать установку скажем виндоус-дефендера на каждый сервер для еще лучшей верификации того, что получатель это "добропорядочный" ра... пользователь?
Ответить | Правка | Наверх | Cообщить модератору

	23. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (18), 15-Дек-25, 20:35
	>Главное что LetsEncrypt от товарища из АНБ Ну ставь от нашего товарища: - https://opennet.ru/56830-tls - https://habr.com/ru/articles/968218/
	Ответить | Правка | Наверх | Cообщить модератору

	36. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (36), 15-Дек-25, 21:33
	Ставишь самоподписной сертификат и тебе никто не указ.
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	64. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+2 +/–
	Сообщение от ьщккгнр (?), 16-Дек-25, 01:53
	только бровсеры на них ругаются
	Ответить | Правка | Наверх | Cообщить модератору

	70. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	–1 +/–
	Сообщение от Аноним (4), 16-Дек-25, 02:48
	Если правильно ставить не ругаются. Но для этого нужно хотя бы примитивные знания об устройстве компьютеров и интернета иметь.
	Ответить | Правка | Наверх | Cообщить модератору

	78. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от онанист (?), 16-Дек-25, 07:38
	ждём ссылки на инструкцию
	Ответить | Правка | Наверх | Cообщить модератору

	87. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (6), 16-Дек-25, 08:50
	> знания об устройстве компьютеров Лучше про телефоны расскажи... Почему установленный серт браузером игнорируется.
	Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

	90. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (90), 16-Дек-25, 09:28
	Игнорируется в Firefox, потому что Mozilla не доверяет системному хранилищу. Можно включить настройку в опциях разработчика, и все заработает.
	Ответить | Правка | Наверх | Cообщить модератору

	122. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от playnet (ok), 16-Дек-25, 17:08
	увы, хром тоже игнорит. Когда со всякими банками работаешь (и не только), там свой СА внутренний и свои серты, в систему обдобавляйся - хром будет игнорить. В винде - так.
	Ответить | Правка | Наверх | Cообщить модератору

	86. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (6), 16-Дек-25, 08:48
	Пробовал - на мобилках не работают.
	Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

	92. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+1 +/–
	Сообщение от Аноним (90), 16-Дек-25, 09:30
	Работают, просто тебе было недостаточно надо.
	Ответить | Правка | Наверх | Cообщить модератору

	50. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от aname (ok), 15-Дек-25, 23:04
	Ты узнаешь об этом из новостей Опеннета
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

11. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+7 +/–
Сообщение от Аноним (11), 15-Дек-25, 20:09
Контактные данные, которые получены с проверкой DNSSEC, всё ещё оставят валидными методами связи? Или этот CA картель помимо акции "обновляй свой сертификат каждый день, а то нам тебя отзывать неудобно если ты нам не понравился" решили ещё и методы обновления заколотить до "вот тебе curl certbot | sudo bash -, других способов получить сертификат мы тебе не дадим"?
Ответить | Правка | Наверх | Cообщить модератору

	25. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+3 +/–
	Сообщение от нах. (?), 15-Дек-25, 20:44
	Ну похоже что именно в этом и цель. Уничтожить все методы, которые _действительно_ подтверждали владение доменом и которые не получится использовать перехватив твой траффик на пару секунд. Возможность проверки сертификата (а не слепой веры в CA) уже успешно уничтожили. И все под видом заботки о безопастносте, видидити, видити - оно целый один раз сломалось в никому ненужном домене! Запритить! (что LE не один раз выдавала сертификаты кому попало - разумеется этодругое)
	Ответить | Правка | Наверх | Cообщить модератору

	52. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+1 +/–
	Сообщение от nebularia (ok), 15-Дек-25, 23:26
	> вот тебе curl certbot | sudo bash - И не забудь дать доступ на запись к DNS
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

	109. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от fidoman (ok), 16-Дек-25, 13:53
	Не очень понятно, как связан DNSSEC и контактные данные. DNSSEC подтверждает содержимое зоны, а контактные данные в неё как-то не добавляют обычно. Кстати многие домены скрывают контактные данные из whois, платят за эту услугу.
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

12. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+2 +/–
Сообщение от 12yoexpert (ok), 15-Дек-25, 20:11
цифровой гулаг всё ближе. подумываю о переходе на http
Ответить | Правка | Наверх | Cообщить модератору

	14. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+1 +/–
	Сообщение от Аноним (11), 15-Дек-25, 20:13
	Скорее на https с самоподписанным сертом. Последний можно хоть в DNS запись добавить для удобства.
	Ответить | Правка | Наверх | Cообщить модератору

	16. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+1 +/–
	Сообщение от Аноним (16), 15-Дек-25, 20:18
	А как?
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	–1 +/–
	Сообщение от Аноним (11), 15-Дек-25, 20:26
	> А как? Ну, самый тупой вариант, просто потому-что я не изучил вопрос - в TXT запись в base64 закодировать. Почти так же, как cloudflare свой ECH ключик распространяет.
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от нах. (?), 15-Дек-25, 20:49
	она его криптографически-надежно распространяет. Минусы этого решения - отсутствие хотя бы одного днс-сервера без историй уязвимостей в криптографической части и при этом пригодного в качестве собственно сервера.
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (11), 15-Дек-25, 21:11
	Хз в плане проблем с криптой, мне кажется подписывающую часть можно вообще вынести в отдельный скрипт который openssl дёргать будет, всё равно эти записи кэшируются и обновляются довольно редко. А в плане удобства... это да, настроить BIND так, чтобы потом ещё был уверен, что всё правильно, достаточно тяжело.
	Ответить | Правка | Наверх | Cообщить модератору

	43. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	–1 +/–
	Сообщение от нах. (?), 15-Дек-25, 22:04
	настроить bind, если умеешь - несложно. Сложно успеть его поапгрейдить до того как поломают. Причем ВСЕ последние серьезные проблемы - именно в его крипточасти. Если ты не пихаешь в днс ненужно-шифрование - все они обошли бы тебя стороной. К сожалению, даже с более замороченными в настройке и якобы-надежными authoritative - все тоже так себе именно вот в месте где они контактируют с криптой. (В том числе еще и потому что это, конечно же, openssl)
	Ответить | Правка | Наверх | Cообщить модератору

	56. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (56), 16-Дек-25, 00:36
	> в TXT запись в base64 закодировать. без днс сека - грош  цена, и такой же порочный круг получается, там же тоже есть корень доверия.
	Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

	73. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	–2 +/–
	Сообщение от Вы забыли заполнить поле Name. (?), 16-Дек-25, 04:32
	DNSSec абсолютно бесполезен, но есть же DOH/DOT.
	Ответить | Правка | Наверх | Cообщить модератору

	74. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+1 +/–
	Сообщение от Аноним (11), 16-Дек-25, 06:04
	DNSSEC не защищает от митма на днс, он позволяет подписывать поля DNS своим ключом. Сами записи в DNS не являются секретом, вся доменная система сделана как глобальная телефонная книжка. Если хочешь защитить данные между клиентом и сервером - используй что угодно, хоть свой кэширующий резолвер подними и ходи к нему по tls (DoT) или внутри впн.
	Ответить | Правка | Наверх | Cообщить модератору

	118. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (56), 16-Дек-25, 16:16
	> DNSSEC не защищает от митма на днс, он позволяет подписывать поля DNS своим ключом. неверно, к прочтению //ru.wikipedia.org/wiki/DNSSEC
	Ответить | Правка | Наверх | Cообщить модератору

	135. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (11), 17-Дек-25, 18:07
	дурак что ли? DNSSEC не шифрует само сообщение, а только подписывает поля ключом того, кому принадлежит зона
	Ответить | Правка | Наверх | Cообщить модератору

	136. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (56), 17-Дек-25, 18:09
	> дурак что ли? DNSSEC не шифрует само сообщение А где я такое утверждал? Во сне вам приснилось?
	Ответить | Правка | Наверх | Cообщить модератору

	117. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (56), 16-Дек-25, 16:12
	> но есть же DOH/DOT. У вас DOH/DOT тоже на самопидписанных сертификатах?
	Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору

	75. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (11), 16-Дек-25, 06:06
	Это то понятно, просто для удобства свой ключ (от CA или сразу самоподписанный от сервера, не суть) можно распространять таким образом. Защищённости сам факт хостинга ключа в днс не добавляет.
	Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

	116. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (56), 16-Дек-25, 16:11
	> DNSSEC не защищает от митма на днс ну вот вы утверждаете вот такое, что в корне не верно и верно с одним НО, которое подтверждает мое утверждение о порочном круге. Как и в TLS так и в DNSSEC есть понятие корня доверия. И наша задача избавится от корня доверия в TLS, средствами публикации самоподписанных сертификатов в системе DNS (в TXT записях или отдельно выделенных записях - не важно). Сама система DNS подвержена MiTM, что приведет к MiTM самого TLS. Поэтому придумали DNSSEC механизм, который имеет такой же корень доверия, с помощью которого можно предотвратить MiTM. И в этом случае ваше утверждение не верно. Но то самое НО это когда вам подменят этот самый корень доверия и тогда MiTM реализуем, и это получается порочный круг, так как мы еще не придумали метода который "безопасно" в онлайне позволит получать корень доверия. Но тут всегда есть оговорка, что корни доверия у нас передаются в "оффлайне", то есть руками сверяем из разных источников и т.д. перепроверки, как в случае с PGP. Гипотеза: Не существует метода борьбы с MiTM без корней доверия (это может быть третья сторона), либо без "оффлайн договоренности" (СA/Certificate pinning).
	Ответить | Правка | Наверх | Cообщить модератору

	137. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (11), 17-Дек-25, 18:20
	Под митм я имел ввиду всё то, что даёт DoT - аутентификацию (при наличии доверия к серту) + конфиденциальность (никто не видит, что вы там пересылаете). Сам по себе DoT не даёт того, что даёт DNSSEC - возможность владельцу зоны подписать своим ключом записи и распространить их. То, что _сейчас_ нет практики ставить ключи для DNSSEC прям в ваш девайс не означает, что это невыполнимо - у вас в /etc/ssl/certs же откуда-то эти файлики взялись, хотя вы цепочку доверия сами никакую не устанавливали. Просто в отличие от TLS, DNSSEC даёт подписать по сути любую информацию и хостить её из своей зоны. DoT только даёт защищённый канал до чьего-то резолвера, а что он там нарезолвил - хрен его знает.
	Ответить | Правка | Наверх | Cообщить модератору

	138. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (56), 17-Дек-25, 18:42
	> Под митм я имел ввиду всё то, что даёт DoT - аутентификацию (при наличии доверия к серту) + конфиденциальность (никто не видит, что вы там пересылаете). Что вам DoT дает? Вы же в TLS хотите избавиться от корня доверия (CA) и использовать TLS с самоподписанными сертификатами, вопрос, как у вас DoT будет работать? Все так же с предустановленными корневыми CA? Ну тогда вы их безопасно получили или нет? Из рук в руки или по той же сети, скачивая iso установленной ОС? И все это порочный круг!!! > DNSSEC - возможность владельцу зоны подписать своим ключом записи и распространить их. а кто ваш ключ подписывает? опять корень доверия? который у себя хранить надо, а как его безопасно получить? Опять порочный круг? > То, что _сейчас_ нет практики ставить ключи для DNSSEC прям в ваш девайс не означает, что это невыполнимо - у вас в /etc/ssl/certs же откуда-то эти файлики взялись Взялись в той iso которую вы скачали, а теперь вопрос, вы безопасно скачали ту самую iso, вам ее не подменили? > Просто в отличие от TLS, DNSSEC даёт подписать по сути любую информацию и хостить её из своей зоны. нету никакого отличия, и там и там есть корень доверия, и в том же TLS вы хотели от него избавиться, тогда корень доверия в dnssec должен остаться. > DoT только даёт защищённый канал Как он может дать защищенный канал, если вы хотите избавиться от корня доверия (СА) и сделать TLS на самоподписанных сертификатах :) пс: короче, говорю я походу с ЫЫ ботом.
	Ответить | Правка | Наверх | Cообщить модератору

	140. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (11), 18-Дек-25, 04:51
	> И все это порочный круг!!! > а кто ваш ключ подписывает? опять корень доверия? который у себя хранить надо, а как его безопасно получить? Опять порочный круг? > пс: короче, говорю я походу с ЫЫ ботом. С ботом тут я похоже разговариваю. 1. Цепочку доверия либо делигируешь другим (и получаешь CA с TLS, где у хомячков является мовитоном иметь самоподписанный сертификат и просить их один раз его проверить и сохранить для вашего домена), либо делаешь web-of-trust, попутно взаимно-заверяя сертификаты других людей, чтобы было несколько точек доверия, а не одна у конгломерата хитрожопых компаний, и так уже всё загнавших всех в облако. 2. В отличии от TLS, запись в DNS - штука универсальная (там даже адреса сервисов держат, тот же самый xmpp и емейловые серверы) и значительно более лёгкая, чем TLS. Проблема только сделать DNS как демона в системе (хотя бы и кэщирующего рекурсивного) нормой, куда любое приложение сможет подключиться и сделать запрос безопасно, а не переизобретать в каждой приложухе кнопку с выбором айпишника dns сервера и трястись что в приложении X нет DoT, или что оно не чекает DNSSEC.
	Ответить | Правка | Наверх | Cообщить модератору

	143. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (56), 18-Дек-25, 14:50
	> взаимно-заверяя сертификаты других людей отлично, вы придумали схему PGP, то есть предлагаете Максиму созваниваться с каждым анонимом, чтобы он на ушко им диктовал фингерпринт своего сертификата от opennet.ru? > Проблема только сделать Так в чем проблема - сделать "безопасТный" протокол без корня доверия? Ваша же изначальная цель была избавиться от него в TLS и сделать самоподписанные сертификаты. Ну что получилось? Нет, это будет работать в единичных случаях - "точка к точке", аля пиннинг.
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+2 +/–
	Сообщение от нах. (?), 15-Дек-25, 20:46
	> Скорее на https с самоподписанным сертом. замумукаешься обновлять каждые 25 минут. А сертификаты сроком жизни 30 - запритить как небезопастные. Так что я тоже уже за http без s.
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

	34. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (11), 15-Дек-25, 21:15
	> замумукаешься обновлять каждые 25 минут. А сертификаты сроком жизни 30 - запритить как небезопастные. Адекватные браузеры всё ещё позволяют нажать "запомни этот серт для этого домена". Всё остальное, что не позволяет пользователю разрешить вручную/ перенастроить разрешённые серты - это и так уже потерянная история.
	Ответить | Правка | Наверх | Cообщить модератору

	44. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+1 +/–
	Сообщение от нах. (?), 15-Дек-25, 22:08
	> Адекватные браузеры всё ещё позволяют нажать "запомни этот серт для этого домена" А чего толку-то если он каждый день новый будет? (А что даже адекватные смогут и захотят бороться с запретом долгоживущих сертификатов - это вряд ли. Да и его быстренько запихнут в код непосредственно openssl/nss/кто там еще так что хрен и обойдешь.)
	Ответить | Правка | Наверх | Cообщить модератору

	46. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (11), 15-Дек-25, 22:13
	С чего бы мой самоподписанный сертификат будет обновляться чаще, чем раз в год или два? Мне самого себя подтверждать и автоматически протухать не нужно. А другого нормального способа сделать безопасный канал (который может мне понадобится не только для публичной информации, но и той, для которой хочетелось бы хоть какой-то аутентификации, даже по Basic Auth) в браузере нету, только TLS.
	Ответить | Правка | Наверх | Cообщить модератору

	48. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+5 +/–
	Сообщение от нах. (?), 15-Дек-25, 22:37
	> С чего бы мой самоподписанный сертификат будет обновляться чаще, чем раз в год или два? ERR_CERT_VALIDITY_TOO_LONG без кнопки продолжить.
	Ответить | Правка | Наверх | Cообщить модератору

	139. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (56), 17-Дек-25, 21:52
	они таким же макаром завтра тебе иметь селфсайнед сертификаты запретят :)
	Ответить | Правка | Наверх | Cообщить модератору

	141. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от нах. (?), 18-Дек-25, 09:43
	селфсайнед они УЖЕ запретили. (cors и что там еще - _принципиально_ не работает с self signed) Можешь вон, для практики, например - настроить пресловутый onlyoffice ровно по инструкции. (не докер в докере под докером, а собственно сам onlyoffice _server_ поднять, и потом запустить их же тестовый код из документации) Тебе даже "бессмысленную галиматью БОЛЬШИМИ БУКВАМИ полную неведомой херни" не покажут, просто пустое место. (и нет, без https тоже не заведется) Но не думаю что запретят собственные CA - как еще копро-рации будут проверять твой траффик на безопастность? Просто они тоже не смогут выдавать сертификаты сроком больше чем на неделю - и придется тебе с _двух_ сторон - на хосте и на сервере самого CA ставить васянские скрипты с полным доступом к закрытым ключам и к конфигурации веб-сервера.
	Ответить | Правка | Наверх | Cообщить модератору

	144. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (56), 18-Дек-25, 16:40
	> селфсайнед они УЖЕ запретили. (cors и что там еще - _принципиально_ не работает с self signed) почему не работает? должен работать там же свой СA пихается в доверенные в любом случае. > Но не думаю что запретят собственные CA - как еще копро-рации будут проверять твой траффик на безопастность? А понятие селф-сайнед это что такое? Это именно то о чем вы пишите. А запретить то хотели ведь. > Просто они тоже не смогут выдавать сертификаты сроком больше чем на неделю Ну там уже захардкодят и все, тут ничего не поделаешь, если только не будете перекомпилять хром.
	Ответить | Правка | Наверх | Cообщить модератору

	145. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от нах. (?), 19-Дек-25, 17:59
	> почему не работает? небебебебезапастна! > А понятие селф-сайнед это что такое? это когда нет подписи вообще никакого CA. Вместо нее подпись тем же самым открытым ключом что и собственно этот сертификат. (корневой сертификат CA - всегда self-signed. Мы ему доверяем не из-за подписи, а потому что он вручную кем-то добавлен в волшебный списочек) Т.е. тебе придется именно развернуть и поддерживать цельную инфраструктуру. Корпам-то сойдет, точнее, у них сто лет как есть. Останется к ней прикрутить автоматику и все ключи от всего без паролей под коврик положить (иначе автоматика работать и не может)
	Ответить | Правка | Наверх | Cообщить модератору

	146. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (56), 19-Дек-25, 19:59
	> небебебебезапастна! эники беники ели вареники > это когда нет подписи вообще никакого CA. подпись есть, вопрос в том чьим приватным ключем, и тут две ситуации селф-сайнеда - когда подписывается приватным ключем самой пары, то есть приватный ключ подписывает свой публичный ключ, и вторая ситуация - это CA, который есть такая же пара ключей, которая создана для подписания других публичных ключей (аля выдача сертификата - подписывания публичного ключа). И для того, чтобы ваш браузер принимал селф-сайнед сертификат без ворнингов, надо пихнуть публичный ключ от СA, либо сам публичный ключ того самого селфсайнед сертификата в список доверенных (он только должен содержать флаг CA:true? браузер может не принять). > Вместо нее подпись тем же самым открытым ключом что и собственно этот сертификат. подписывает закрытый ключ! подписывают - публичный! > (корневой сертификат CA - всегда self-signed. Мы ему доверяем не из-за подписи, а потому что он вручную кем-то добавлен в волшебный списочек) Отличие лишь в том, что там есть флаг CA: true, никто не мешает какому-нибудь вебсерверу использовать в качестве серверных сертификатов для TLS то самый сертификат СA. В таком случае получив от сервера сертификат, и тупо добавить его в список доверенных. Вопрос лишь в том, что при такой схеме возможен MiTM при первом соединении. При офлайне - исключен. > Т.е. тебе придется именно развернуть и поддерживать цельную инфраструктуру. зачем, если они всю онлайновость (OCSP) выкручивают из браузера. А вебсерверу тупо дать сертификаты с флагом CA:true, и ничего городить не надо.
	Ответить | Правка | Наверх | Cообщить модератору

	39. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+2 +/–
	Сообщение от 12yoexpert (ok), 15-Дек-25, 21:47
	домашние странички вполне себе лепят без https http://xahlee.info/w/why_no_https.html я последнее время на таких старых добрых блогах и провожу
	Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

	99. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от _kp (ok), 16-Дек-25, 12:01
	Без https годно только для локальных сайтов, роутеров и подобного, в трафик которых не врезается провайдер, обгаживающий все http страницы рекламой.
	Ответить | Правка | Наверх | Cообщить модератору

	110. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+3 +/–
	Сообщение от 12yoexpert (ok), 16-Дек-25, 14:28
	просто не позволяй своему провайдеру вмешиваться в свой трафик. про суды слышал что-нибудь?
	Ответить | Правка | Наверх | Cообщить модератору

	111. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	–1 +/–
	Сообщение от _kp (ok), 16-Дек-25, 14:39
	> просто не позволяй своему провайдеру Просто у меня нет своего провайдера, и приходится пользоваться вражескими >про суды слышал Ну насмешили :)
	Ответить | Правка | Наверх | Cообщить модератору

	55. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (55), 16-Дек-25, 00:36
	так себе вариант. Тогда мерзкий провайдер будет не стесняясь туда инжектить рекламу и прочие личные кабинеты "исключительно для удобства клиентов!" Помнится знатно прифигел от такой практики лет 5 назад.
	Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

	88. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+2 +/–
	Сообщение от Аноним (6), 16-Дек-25, 09:01
	> Помнится знатно прифигел а что с тобой будет от современной клауди...
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (33), 15-Дек-25, 21:13
	хромог http уже не открывает вроде, не?
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	38. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+8 +/–
	Сообщение от 12yoexpert (ok), 15-Дек-25, 21:39
	а не пофиг, что там не открывает браузер без uBO?
	Ответить | Правка | Наверх | Cообщить модератору

	60. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+1 +/–
	Сообщение от Васисуалий. (-), 16-Дек-25, 01:22
	В ms edge, который идет в комплекте с виндой и который базируется на хромиуме, ubo все еще работает отлично, сам сижу с этого браузера даже в linux. А фурифокс всем хорош, но много сайтов работают криво, сыпля ошибками в js console.
	Ответить | Правка | Наверх | Cообщить модератору

	76. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (11), 16-Дек-25, 06:10
	Ты не поверишь, но если заблочить весь или почти весь жс на сайтах, где нанимали идиотов, которые не в состоянии даже найти официальные спецификации и учиться по ним, а не по гайдам в стиле "заверните всё в div", то какую-то инфу с этих помоек вытащить всё ещё можно и ничего ломаться само не будет, потому что дом теперь статичный.
	Ответить | Правка | Наверх | Cообщить модератору

	45. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+2 +/–
	Сообщение от нах. (?), 15-Дек-25, 22:12
	Открывает, при многих если. Включая но не ограничиваясь - отсутствием на том же хосте на том же адресе ДРУГОГО сайта с поддержкой https. Ну, собственно, если хост твой, то этой проблемы у тебя и не будет. А вот вставить картинку выложенную у себя, на сайт с https - опа, уже не получится. Это небебебебезопастно и овцы не должны сами решать какие картиночки им можно видеть а какие нет.
	Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

	42. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	–1 +/–
	Сообщение от Аноним (42), 15-Дек-25, 21:55
	Переходи на гипертекстовый фидонет.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	61. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+3 +/–
	Сообщение от Васисуалий. (-), 16-Дек-25, 01:23
	Я бы с удовольствием перешел в фидонет, bbs и irc. Но там никто не сидит. Эти люди выросли, женились, родили детей и теперь им не до инторнетов.
	Ответить | Правка | Наверх | Cообщить модератору

	100. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от нах. (?), 16-Дек-25, 12:07
	Вообще-то ровно наоборот. Большинству тех на ком держался фидонет начала 90х было хорошо если под 30 (кое-кому и за 50). Его проблема была в том что он уже к концу 90х абсолютно исчерпал себя технологически, при этом не имея никаких реальных механизмов реформирования. Это была религиозная секта, чей бог давным-давно умер, а они продолжали отправлять свои странные и бессмысленные ритуалы.
	Ответить | Правка | Наверх | Cообщить модератору

	113. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от 12yoexpert (ok), 16-Дек-25, 14:53
	irc вполе себе живо, постоянно появляются новые люди
	Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

	119. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	–1 +/–
	Сообщение от Вася (??), 16-Дек-25, 16:20
	Это не то irc. Вот прям совсем не то. Даже по технической части не то. Одно лишь название. Настоящий irc это когда ты по видеотерминалу (а иногда и по печатному!) и телефонному модему дозваниваешься к удаленному мейнфрейму с юниксом и… ну вы меня поняли.
	Ответить | Правка | Наверх | Cообщить модератору

	94. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	–1 +/–
	Сообщение от ryoken (ok), 16-Дек-25, 09:59
	>>подумываю о переходе на http на gopher сразу
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	114. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от Аноним (114), 16-Дек-25, 15:08
	и с подтверждением через finger
	Ответить | Правка | Наверх | Cообщить модератору

22. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+11 +/–
Сообщение от Аноним (22), 15-Дек-25, 20:31
>была продемонстрирована возможность получения TLS-сертификатов для чужих доменов в зоне ".mobi" путём захвата устаревшего WHOIS-сервиса регистратора данной доменной зоны. Может, все таки, проблема не в процедуре верификации, а в захвате WHOIS-сервиса
Ответить | Правка | Наверх | Cообщить модератору

51. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+3 +/–
Сообщение от nebularia (ok), 15-Дек-25, 23:22
По классике, убрали всё самое простое и полезное. Технологии всё больше идут по пути усложнения и пригодности для использования только большими корпами. Как это у вас до сих пор нет кластера кубернетес со 100500 нужными сервисами? Хрен вам, а не сертификат.
Ответить | Правка | Наверх | Cообщить модератору

	53. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	–2 +/–
	Сообщение от Аноним (22), 16-Дек-25, 00:15
	>Технологии всё больше идут по пути усложнения Очевидно же! Скользящие сани -> катящаяся телега -> самолет
	Ответить | Правка | Наверх | Cообщить модератору

	80. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+4 +/–
	Сообщение от Аноним (80), 16-Дек-25, 08:29
	> Скользящие сани -> катящаяся телега -> самолет К твоей 4-колёсной колымаге предъявляют требования как к самолёту?
	Ответить | Правка | Наверх | Cообщить модератору

	91. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+1 +/–
	Сообщение от Аноним (6), 16-Дек-25, 09:28
	> Скользящие сани Санки ещё никто не запретил, даже прокат есть на курортах.
	Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

	59. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+2 +/–
	Сообщение от Васисуалий. (-), 16-Дек-25, 01:17
	Уже не редкость, когда ИИ предлагает код хеллоуворлда с клиент-серверной архитектурой в докере через классы и сторонними библиотеками на 4 гигабайта.
	Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

	93. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+2 +/–
	Сообщение от Аноним (6), 16-Дек-25, 09:30
	И чтобы три строчки из этого обязательно на расте были, иначе небезопасный хеллоуворлд будет.
	Ответить | Правка | Наверх | Cообщить модератору

68. Скрыто модератором	+/–
Сообщение от Васёк (-), 16-Дек-25, 02:41
Свои проекты принципиально не перевожу на HTTPS. Благо, ориентированы они на людей, чем IQ выше среднего. Ровно, как и не требуют никакой авторизации (как на оупеннете кстати).
Ответить | Правка | Наверх | Cообщить модератору

89. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+2 +/–
Сообщение от mos87 (ok), 16-Дек-25, 09:19
>Ассоциация CA/Browser Forum, выступающая площадкой для совместного принятия решений с учётом интересов производителей браузеров и удостоверяющих центров а учёт ваших интересов - это ваши проблемы
Ответить | Правка | Наверх | Cообщить модератору

97. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+1 +/–
Сообщение от Аноним (97), 16-Дек-25, 11:11
Так, а что остаётся то?
Ответить | Правка | Наверх | Cообщить модератору

	98. Скрыто модератором	+1 +/–
	Сообщение от Хейтер (?), 16-Дек-25, 11:23
	>а что остаётся то? - ЕСИА
	Ответить | Правка | Наверх | Cообщить модератору

106. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
Сообщение от Джон Титор (ok), 16-Дек-25, 13:06
Поначалу как-то негативно воспринял данную новость, но подумав, понял что в целом возможно это ради безопасности - данные методы которые отменяют могут быть использованы в качестве компрометации или даже угона домена.
Ответить | Правка | Наверх | Cообщить модератору

107. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+1 +/–
Сообщение от fidoman (ok), 16-Дек-25, 13:43
прочитал про mobi вообще поиск правильного whois сервера это творческий процесс, поэтому видимо многие 1 раз сохраняют у себя и уже не обновляют. сейчас у них вообще только RDAP https://www.iana.org/domains/root/db/mobi.html Тут не устаревшим объявлять надо по-хорошему, а отзывать сертификат CA, которое такой косяк в процедуре допустило.
Ответить | Правка | Наверх | Cообщить модератору

108. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
Сообщение от myster (ok), 16-Дек-25, 13:52
Это всё-равно носит рекомендательный характер. Или центры сертификации (CA) и доменных регистраторов будут как то наказывать на использование других методов? Когда уже внедрят достойную систему подтверждения доменов, на базе каких-нибудь блокчейнов? Тогда хотя бы от криптовалют, NFC-токенов и т.п., математически и криптографически грамотно спроектированных технологий, будет реальная практическая польза человечеству.
Ответить | Правка | Наверх | Cообщить модератору

	115. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+2 +/–
	Сообщение от Аноним (6), 16-Дек-25, 15:40
	> Когда уже внедрят достойную систему Ишь чего захотел. Достойную - для кого? Для ЦА? Для гугла или мозилы?
	Ответить | Правка | Наверх | Cообщить модератору

128. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
Сообщение от Аноним (128), 17-Дек-25, 03:00
Кажется "светлое будущее" заключается в том, чтобы спрашивать ключ симметричного шифрования у корпорации при каждом соединении. И это будет ради безопасности, квантовые компьютеры эти ваши RSA/DSA будут легко взламывать и безопасно лишь симметричное шифрование. Поэтому идите в магазин, купите флешку с уникальным ключом для доступа к серверам корпорации и радуйтесь безопасности, пока ключ не протух.
Ответить | Правка | Наверх | Cообщить модератору

	142. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+/–
	Сообщение от нах. (?), 18-Дек-25, 10:08
	> Кажется "светлое будущее" заключается в том, чтобы спрашивать ключ симметричного шифрования > у корпорации при каждом соединении. И это будет ради безопасности, квантовые > компьютеры эти ваши RSA/DSA будут легко взламывать и безопасно лишь симметричное > шифрование. Поэтому идите в магазин, купите флешку с уникальным ключом для > доступа к серверам корпорации и радуйтесь безопасности, пока ключ не протух. так это было бы надежно и эффективно. (если тебе не надо такой безопасности - ну и не покупай) Поэтому - не прокатит. Даже если ты сам себе такую флэшку соорудишь (что как раз было бы правильно да и несложно - шифровать надо _канал_ а не прикладной протокол) для себя и друзей - все равно мы тебя заставим ставить на сервер однодневный сертификат шетшиткрыпты.
	Ответить | Правка | Наверх | Cообщить модератору

130. "Объявлены устаревшими 11 методов верификации доменов для TLS..."	+3 +/–
Сообщение от Аноним (-), 17-Дек-25, 09:35
> Ассоциация CA/Browser Forum, выступающая площадкой для совместного принятия решений > с учётом интересов производителей браузеров и удостоверяющих центров Опять какая-то полумафиозная групппировка всем диктует что такое хорошо и что такое плохо. Ничего нового.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема