H StartCom που παρείχε Certificate Authority (StartSSL) υπηρεσίες στο ηλεκτρονικό εμπόριο και την ψηφιακή ασφάλεια, σαν ανεξάρτητος πάροχος πιστοποιητικών, τερματίζει την λειτουργία της την 1η Ιανουαρίου 2018. Ξεκινώντας από το 2020, όλα τα εναπομείναντα έγκυρα πιστοποιητικά της, θα ακυρωθούν.

Η StartCom έπεσε σε δυσμένεια από την πλειοψηφία των browsers έναν χρόνο πριν, όταν αποφασίστηκε η αφαίρεση των root certificates της από τους καταλόγους των browser, και η άρνηση αποδοχής νέων πιστοποιητικών από αυτήν.

Πηγή : StartCom (https://www.startcomca.com/index/News/newDetail?date=20171116)

Ευτυχώς πια υπάρχει η Let's Encrypt οπότε το πλήγμα είναι πολύ μικρό.

Ευτυχώς πια υπάρχει η Let's Encrypt οπότε το πλήγμα είναι πολύ μικρό.

Δεν είναι βιώσιμη η λύση του Let's Encrypt όταν πρέπει κάθε τρεις και λίγο να κάνω ανανέωση ...Το Let's Encrypt θέλει κάθε 2-3 μήνες ανανέωση ...

Ευτυχώς να λές που υπάρχουν απλά SSL με 8 Ευρώ....

- - - Updated - - -

Γιατί όμως κλείνει ..? Τι έγινε με τα πιστποιητικά της ..?

Κάτι με το chain και το root certificate.
Δεν άρεσε στον chrome και Firefox.
Παντός πριν καιρό ή m$ και ή apple την " έσπρωχνε "


https://en.m.wikipedia.org/wiki/StartCom

Αν θυμάμαι καλά εξαγοράστηκαν από κάτι παλληκάρια με όχι και τόσο καλή φήμη. Λίγο μετά την εξαγορά πιάστηκαν να έχουν εκδόσει certificates με Start date στο παρελθόν για να βολέψουν Websites με weak algorithms. Αυτό ήταν violation του Mozilla PKI policy, τους ξεφτίλισαν και στην συνέχεια πήραν γραμμή Google και MS.

Δεν είναι βιώσιμη η λύση του Let's Encrypt όταν πρέπει κάθε τρεις και λίγο να κάνω ανανέωση ...Το Let's Encrypt θέλει κάθε 2-3 μήνες ανανέωση ...



Η λύση είναι να τρέχεις έναν ACME server που θα κάνει αυτόματα την ανανέωση.

Αν θυμάμαι καλά εξαγοράστηκαν από κάτι παλληκάρια με όχι και τόσο καλή φήμη. Λίγο μετά την εξαγορά πιάστηκαν να έχουν εκδόσει certificates με Start date στο παρελθόν για να βολέψουν Websites με weak algorithms. Αυτό ήταν violation του Mozilla PKI policy, τους ξεφτίλισαν και στην συνέχεια πήραν γραμμή Google και MS.

Κρίμα διότι κάποτε ήταν από τα καλά free ssl authority's

Ευτυχώς πια υπάρχει η Let's Encrypt οπότε το πλήγμα είναι πολύ μικρό.

Παλιότερα έλεγες οτι για να έχει κλειδαριά στον Browser, υπήρχε κάποιος απο πίσω που έκανε έλεγχο το ποιος είναι αυτός που έχει την σελίδα, με το Lets encrypt πάει αυτό.

Είναι φυσικά καλό το ότι πλέον έχεις κρυπτογράφηση όποτε γλυτώνεις απο το man in the middle, αλλά δεν γλυτώνεις απο αυτόν που είναι στην άλλη ακρή :p

Παλιότερα έλεγες οτι για να έχει κλειδαριά στον Browser, υπήρχε κάποιος απο πίσω που έκανε έλεγχο το ποιος είναι αυτός που έχει την σελίδα, με το Lets encrypt πάει αυτό.

Είναι φυσικά καλό το ότι πλέον έχεις κρυπτογράφηση όποτε γλυτώνεις απο το man in the middle, αλλά δεν γλυτώνεις απο αυτόν που είναι στην άλλη ακρή :p

Και εμένα ποτέ δε μου άρεσε αυτό με το let's encrypt. Είναι σαν μια μέση λύση ανάμεσα στα "σωστά" certificates που έχουν δωθεί με κάποια επιβεβαίωση της ταυτότητας και το να μην έχεις τίποτα.
Όχι οτι η επιβεβαίωση δεν μπορεί να παρακαμφθεί αλλά όπως και να το κάνουμε είναι μια επιπλέον ασφάλεια αν κρίνω απο ενα πιστοποιητικό που είχα πάρει κάποτε απο την Comodo.

To let's encrypt με τα απλά πιστοποιητικά κάνουν ακριβώς τον ίδιο έλεγχο, αν έχει δικαιώματα εγγραφής στον root φάκελο του site. Παρέχουν την ίδια ασφάλεια.

Έλεγχος για το ποιός είναι πίσω από το site γίνεται με τα EV πιστοποιητικά (πράσινη μπάρα με το όνομα της επιχείρησης), που έχει κόστος >100 ευρώ το χρόνο.

Το καλό με τη StartCom ήταν ότι ανέβαζες το certificate request εσύ και σου έδινε το πιστοποιητικό. Βέβαια δεν υπήρχε κάποιο online validation του site, αλλά το καλό με αυτό ήταν ότι μπορούσες να έχει certificate σε εσωτερικό site, που δεν είναι προσβάσιμο από τον έξω κόσμο, όπως απαιτεί το LetsEncrypt. Από εκεί και πέρα, με την πατάτα που κάνανε με τα πιστοποιητικά που εξέδωσαν με παλιά ημερομηνία... Ας πρόσεχαν.

Η ανανέωση από LetsEncrypt λύνεται με ένα απλό script που το βάζεις να τρέχει κάθε 15 μέρες για παράδειγμα.

το certificate σου διασφαλίζει οτι μιλάς όντος με τον Χ.Y. και κανένας ενδιάμεσα δεν μπορεί να διαβάσει τι λέτε. τίποτα παραπάνω τίποτα λιγότερο. Δεν σου διασφαλίζουν ούτε τι θα κάνει η google με τα mail@gmail ούτε οτι ο υπολογιστής σου δεν έχει keylogger.

Ευτυχώς που υπαρχει η lets encrypt και μπορούμε να έχουμε και εμείς κάποια ασφάλεια δίχως να αδειάζουμε τις τσέπες μας (έχω certificates για ddns (duckdns) τα οποία χρησιμοποιώ και για προσβαση στο ΝΑΣ και για προσβαση στο vpn server μου).

Γιατί, είπε κανείς κάτι διαφορετικό; Η LetsEncrypt επιβεβαιώνει ότι υπάρχει το site και είναι δικό σου, ενώ η StartCom έστελνε ένα e-mail επιβεβαίωσης πχ. στον webmaster@<το domain μου> και με αυτό τον τρόπο διαπίστωνε ότι είσαι κάτοχος του domain. Απλά με την LetsEncrypt όπως είπα δε σου δίνει τη δυνατότητα για εσωτερικά domains, που είναι ως ένα σημείο και λογικό.

Από Γενάρη θα δίνει multidomain certificates.

@GoofyX το Let's Encrypt υποστηρίζει ανανέωση μέσω DNS challenge.

Επί του θέματος, η StartCom δεν χρειάζεται πλέον με την ύπαρξη του Let's Encrypt. Το γεγονός δε πως το LE επιβάλει ανανέωση πριν το τέλος του τριμήνου είναι καλό.

Η StartCom ήταν η πρώτη από όσο γνωρίζω που πρόσφερε δωρεάν certificates και πολύ πιο νωρίς από οποιονδήποτε άλλο. Αυτό ήταν από μόνο του ένα σημαντικότατο έργο, γιατί επέτρεψε σε πολλούς να έρθουν σε επαφή με το SSL. Τα τελευταία χρόνια είχε αρκετά σκάνδαλα και bugs —και στο email επιβεβαίωσης που αναφέρει ο GoofyX αν θυμάμαι καλά.
Είναι κάτι σαν την Forthnet, άλλη η Forthnet που γνωρίσαμε οι παλιοί όταν ξεκινούσαμε με το ίντερνετ και την αγαπήσαμε και άλλη η σημερινή Forthnet που δεν την πλησιάζουμε καν. :p

@GoofyX το Let's Encrypt υποστηρίζει ανανέωση μέσω DNS challenge.Δεν μου κάνει. Μιλάμε για sites που δηλώνονται ως «εσωτερικά» στο DNS (Σύζευξις), η εγγραφή είναι επιλύσιμη μόνο εντός Σύζευξις και η εγγραφή τους δεν είναι προσβάσιμη στον έξω κόσμο. Εκτός αν δηλωθεί το όνομα να επιλύεται και από έξω.

Δεν μου κάνει. Μιλάμε για sites που δηλώνονται ως «εσωτερικά» στο DNS (Σύζευξις), η εγγραφή είναι επιλύσιμη μόνο εντός Σύζευξις και η εγγραφή τους δεν είναι προσβάσιμη στον έξω κόσμο. Εκτός αν δηλωθεί το όνομα να επιλύεται και από έξω.

Τότε πρέπει να φτιάξεις ένα δικό σου CA και να εγκαταστήσεις το δικό σου root cert σε όλους τους client. Αλλά τα ξέρεις ήδη αυτά. :p

Βέβαια όπως μου το λες, όλοι οι clients συμβουλεύονται ένα εσωτερικό DNS αφού δεν γίνεται resolve εκτός δικτύου (αλλιώς θα γινόταν resolve αλλά σε local net IP space). Οπότε μπορείτε να στήσετε ένα δεύτερο, εξωτερικό DNS το οποίο θα έχει μόνο τα TXT records που χρειάζεται το LE για το verification.

Οπότε μπορείτε να στήσετε ένα δεύτερο, εξωτερικό DNS το οποίο θα έχει μόνο τα TXT records που χρειάζεται το LE για το verification.Έχεις κανά link για αυτό από το LetsEncrypt για λεπτομέρειες;

Έχεις κανά link για αυτό από το LetsEncrypt για λεπτομέρειες;

Δεν χρησιμοποιώ την συγκεκριμένη μέθοδο, οπότε δεν έχω κάτι να προτείνω. Ψάξε για DNS challenge και θα βρεις αρκετά αποτελέσματα. Τώρα ποιο θα έχει χρήσιμες πληροφορίες...

Έχεις κανά link για αυτό από το LetsEncrypt για λεπτομέρειες;

Δεν χάνεις τίποτα με το να ποστάρεις στο forum τους. H community είναι εξυπηρετικότατη.

Το καλό με τη StartCom ήταν ότι ανέβαζες το certificate request εσύ και σου έδινε το πιστοποιητικό. Βέβαια δεν υπήρχε κάποιο online validation του site, αλλά το καλό με αυτό ήταν ότι μπορούσες να έχει certificate σε εσωτερικό site, που δεν είναι προσβάσιμο από τον έξω κόσμο, όπως απαιτεί το LetsEncrypt. Από εκεί και πέρα, με την πατάτα που κάνανε με τα πιστοποιητικά που εξέδωσαν με παλιά ημερομηνία... Ας πρόσεχαν.

Η ανανέωση από LetsEncrypt λύνεται με ένα απλό script που το βάζεις να τρέχει κάθε 15 μέρες για παράδειγμα.

Είναι απαίτηση πλέον του πρωτοκόλου και δεν εκδίδονται πιστοποιητικά για εσωτερικά domains. Αν θέλεις πιστοποιητικά για εσωτερικά domains τότε καλύτερα να τρέξεις τη δική σου CA.

Η λύση είναι να τρέχεις έναν ACME server που θα κάνει αυτόματα την ανανέωση.

Πάντα θα έχεις στο μυαλό σου αν δουλεύει σωστά ο ACME .... και αν έχω πολλά domain αρχίζουν και μπαίνουν διάφοροι περιορισμοί που στο τέλος το κάνουν προβληματικό ...

Θα προτιμήσω την λύση να πληρώσω κάτι την στιγμή μάλιστα που το βρίσκω και φτηνό ...

Τεσπά απόψεις ..

Πάντα θα έχεις στο μυαλό σου αν δουλεύει σωστά ο ACME .... και αν έχω πολλά domain αρχίζουν και μπαίνουν διάφοροι περιορισμοί που στο τέλος το κάνουν προβληματικό ...

Θα προτιμήσω την λύση να πληρώσω κάτι την στιγμή μάλιστα που το βρίσκω και φτηνό ...

Τεσπά απόψεις ..

Είναι μια επιλογή όπως και να έχει, τουλάχιστον για λίγα domains κάνει δουλειά μαζί με cron.

....
Ευτυχώς που υπαρχει η lets encrypt και μπορούμε να έχουμε και εμείς κάποια ασφάλεια δίχως να αδειάζουμε τις τσέπες μας (έχω certificates για ddns (duckdns) τα οποία χρησιμοποιώ και για προσβαση στο ΝΑΣ και για προσβαση στο vpn server μου).

Νομίζω στις συγκεκριμένες περιπτώσεις δούλευες άνετα και με self-signed certificates.

Είναι μια επιλογή όπως και να έχει, τουλάχιστον για λίγα domains κάνει δουλειά μαζί με cron.

Ναι οκ ..από το τίποτα που λένε ...
:cool:

Ναι οκ ..από το τίποτα που λένε ...
:cool:

Στην ξεραΐλα καλό και το χαλάζι! :lol:

Ναι οκ ..από το τίποτα που λένε ...
:cool:

Περίμενε. Καταρχήν το Let's Encrypt θα σου στείλει email όταν έρχεται η ώρα να ανανεώσεις κάποιο certificate. Αν τα ανανεώνεις αυτόματα δεν θα λάβεις email ποτέ αφού θα ανανεώνονται αρκετό καιρό πιο πριν.
Από εκεί και πέρα αν δεν έχεις κάποιο μηχανισμό ελέγχου για να εξακριβώνεις πως τα certificates σε όλα τα services σου είναι valid, που πας;;; Αυτό δεν αλλάζει από όπου και να εκδόσεις το certificate σου.

Μετά άντε και πας με το κλασσικό τσούκου-τσούκου τρόπο να εκδίδεις χειροκίνητα certificate από τον πάροχο, να πρέπει να βάλεις τα cert σου σε configuration management εργαλείο κλπ κλπ. Στο LE το σετάρεις μια φορά, γίνονται όλα αυτόματα και γίνονται σωστά (συχνό rotation, το cert υπάρχει μόνο στο server που χρειάζεται).

Αν έχεις 200 domains, αλήθεια τι κάνεις; Βγάζεις 200 certs χειροκίνητα; Εννοείται πως wildcard cert είναι bad practice και το αποφεύγουμε διά ροπάλου.

Aν έχεις 200 domains, αλήθεια τι κάνεις; Βγάζεις 200 certs χειροκίνητα; Εννοείται πως wildcard cert είναι bad practice και το αποφεύγουμε διά ροπάλου.
Τι κακό έχουν τα wildcard certs? H LE θα αρχίσει να δίνει από τον άλλο μήνα Wildcard certs αλλά μόνο με DNS verification.

Τι κακό έχουν τα wildcard certs? H LE θα αρχίσει να δίνει από τον άλλο μήνα Wildcard certs αλλά μόνο με DNS verification.

Ένα σημαντικό μειονέκτημα είναι πως αν σου κλέψουν ένα wildcart cert/key pair μπορούν να προσποιηθούν όλα τα domain που έχεις (πχ www.tigra23.com) αλλά και όσα δεν έχεις (πχ secure-payments.tigra32.com). Φυσικά μπορούν να κάνουν και MITM σε οποιαδήποτε υπηρεσία σου.

Ένα άλλο πρόβλημα, είναι πως αν σου κλέψουν ένα cert/key pair, χρειάζεται να δεις πως έγινε αυτό (που είναι η τρύπα) και πιθανώς να κάνεις decommission όλο το server και στήσιμο από την αρχή.
Φαντάσου να χρησιμοποιείς κοινό cert/key σε όλο το infrastructure σου, θα χρειαστεί να ψάξεις και να κάνεις format σε όλα τα μηχανήματα και τις τυχών υπηρεσίες που έχουν το key.

Η κοινή πρακτική για wildcard certificates είναι να έχει το cert μόνο ο SSL terminator και να προωθεί unencrypted την κίνηση στους application processors. Πάλι έχεις μόνο ένα Node να προσέχεις (ή καλύτερα ένα redundant pair).