Kampaně proti Let's Encrypt

[Ondrej]

Ahoj,
dnes mě od ssls.cz přišel tento usměvný email, LE očividně začíná vadit i tady v ČR...
Bude hůř?
Pro mě osobně je to důvěryhodnější autorita než většina těch komerčních.

Jakej máte názor na LE? Používáte?

Vážený zákazníku,

dovolte, abychom Vás upozornili na nedostatečné zabezpečení (HTTPS) Vaší domény:

www.xy.com

Aktuálně máte na serveru nainstalován SSL certifikát Let's Encrypt, který je sice zdarma, ovšem za cenu celé řady vážných nedostatků, mj. absenci finanční záruky, pečetě, diskutabilní podpoře prohlížeči a v neposlední řadě nulové prestiži a důvěryhodnosti v očích Vašich zákazníků.

Důležité je mít na paměti i skutečnost, že jsou certifikáty Let's Encrypt hojně zneužívané na nebezpečných stránkách, které se snaží šířit škodlivý kód nebo získat přístupové informace do internetového bankovnictví či konají jinou trestnou činnost. Hrozba pro běžného uživatele v souvislosti s Let's Encrypt je proto velmi aktuální téma (článek).

Aby toho nebylo málo, v zákulisí se navíc pomalu začínají objevovat hlasy volající po nedůvěřování certifikátům Let's encrypt podobně, jako se tomu chystá u certifikátů StartCom a WoSign (více zde). Webové stránky se přestanou zobrazovat. Namísto toho prohlížeč zobrazí varování o nedůvěryhodném certifikátu.

[Reklama]

[Fantomas]

Hur nebude, jenom budes dostavat vice a vice techto mailu. Kazdej chce proste vydelat, tak se snazi :-)

[Sten]

Jde o normální spam na úrovni "registrace do vyhledávačů" nebo "zrovna se někdo chystá koupit stejnou doménu, jako máte, na jiné TLD".

Jejich článek o Let's Encrypt je velmi zavádějící, třeba tam mají "nemají podpora wildcard certifikátů" a hned pod tím mají "pořiďte si multidomain certifikát", u kterého "zapomněli" uvést, že jej Let's Encrypt umí, nebo že Let's Encrypt má problémovou podporu v prohlížečích (vzhledem ke křížovému podpisu od IdenTrust opět velmi zavádějící) či že "není vhodný pro komerční web" a "nemá prestižní značku" (podle čeho rozhodli, že Comodo, proslavené vydáváním podvržených certifikátů, je oproti Let's Encrypt vhodné pro komerční web a má prestižní značku?).

[Lol Phirae]

Podobná hovna od českých subjektů přeposílám z hlavičkami na ÚOOÚ.

[hawran diskuse]

Podobná hovna od českých subjektů přeposílám z hlavičkami na ÚOOÚ.

No, snad to k něčemu bude...

[Reklama]

[Ondrej]

Podobná hovna od českých subjektů přeposílám z hlavičkami na ÚOOÚ.

Děkuji, přepošlu.
Fakt mě ta jejich drzost vytočila, ale zároveň pobavila ta zakulisní informace, tak určitě :-)

[Lol Phirae]

Podobná hovna od českých subjektů přeposílám z hlavičkami na ÚOOÚ.

No, snad to k něčemu bude...

Občas i motyka spustí, když se těch stížností sejde víc. (Jinak je tenhle úřad naprostá katastrofa.)

[hugochavez]

....dnes mě od ssls.cz přišel tento usměvný email, LE očividně začíná vadit i tady v ČR...

Vážený zákazníku,
dovolte, abychom Vás upozornili na nedostatečné zabezpečení (HTTPS) Vaší domény:
www.xy.com
Aktuálně máte na serveru nainstalován SSL certifikát Let's Encrypt....blablabla.....sracky sracky sracky sracky.....blablabla.....lez...lez....a znovulez.....blablabla................ a v neposlední řadě nulové prestiži a důvěryhodnosti v očích Vašich zákazníků.                  (mily zakazniku sam vidis ze to s tebou myslime uprimne a neuhybame pohledem! na druhou stranu te ale nechcem zatezovat informacemi o vsech tech "duveryhodnych a vysoceprestiznich" CA ktere vydavaly falesne certy jak na bezicim pasu a pokazde jim to proslo a tim si ziskaly NULOVOU PRESTIZ A NENULOVOU TEDY ZAPORNOU DUVERYHODNOST v očích Vašich zákazníků. Ba co vice nekteri Vasi zakaznici uz oznacuji nas =CA a vlastne cely koncept PKI jako "steaming pile of crap" aneb "kourici hromadu sracek" )
Důležité je mít na paměti i skutečnost, že jsou certifikáty Let's Encrypt hojně zneužívané......(samozrejme ze to plati i u hromady ostatnich, ale to my tady mili zakazniku z duvodu objektivity zminovat radsi nebudem protoze by sme si srali do vlastniho hnizda)          ..........na nebezpečných stránkách, které se snaží šířit škodlivý kód nebo získat přístupové informace do internetového bankovnictví BU BU BU BU zakazniku!! či konají jinou trestnou činnost (a ty prece mily zakazniku nechces mit s JEJICH trestnou cinnosti nic spolecneho ze ne? toz pridej se k nam na co cekas?! LA LA LA LA! Hrozba pro běžného uživatele v souvislosti s Let's Encrypt je proto velmi aktuální téma (článek). (a jeste aktualnejsi je nase poloprazdne prasatko protoze nam vetsina hajzlu- pardon milych zakazniku jako ty- zdrhla ke gratis konkurenci a my ted nemame komu poustet zilou)

Aby toho nebylo málo, v zákulisí se navíc pomalu začínají objevovat hlasy volající po nedůvěřování certifikátům Let's encrypt podobně, jako se tomu chystá u certifikátů StartCom a WoSign (více zde).......
 
(A aby toho nebylo vubec malo tak zakulisni hlasy rikaji ze nejlepsi by bylo celej tenhle PKI spolek rozpustit a tuhle novodobou cirkev co za poplatek prodava ovcim iluzi "bezpeci" rozprasit..........coz pro nas mily zakazniku bude znamenat ze uz nebudeme moci dale prodavat lidem teplej vzduch a budem' muset delat neco rukama, coz bude dost problem protoze nic nez ohlupovat lidi neumime a  hlavou nam to taky nikdy moc neslo)

Chcipajici kobyla kolem sebe kope- nic hlubsiho v tom nehledej 

[uoou]

Při spojení s www.uoou.cz nastala chyba, protože je používán neplatný bezpečnostní certifikát. Certifikát není důvěryhodný, protože jeho vydavatel je neznámý. Server patrně neposílá patřičné certifikáty mezilehlých CA. Může být potřeba naimportovat dodatečný kořenový certifikát. Kód chyby: SEC_ERROR_UNKNOWN_ISSUER

Co za certifikat pouziva uoou.cz ?

[Petr Krčmář]

Používají Thawte, což je obecně důvěryhodná autorita. Ale mají to špatně nakonfigurované, neposílají správně mezilehlý certifikát, takže jejich koncový je vydaný jinou autoritou, kterou prohlížeč nezná (pokud ji nepotkal někde dřív a nenaučil se ji). Klasická chyba.

[sads]

no k le, zle certifikaty to nejsou, ale taky ne nejlepsi (jako zadara ok).
nejsou vubec pri vyssich nastaveni secure a taky to sifrovani nemaj 2048bit.
vono napriklad ten comodo wildcard certifikat za 60 usd je vsade green - full valid a taky bezpecnej.
le nie je zle, jen nie je 100 procent ok jelikoz trpi neduhami free certifikatu, to radsi bych si vygeneroval vlastnej 2048 bit nez le osobne a dostanu ten jistej effekt v prohledavacich (to jest security warning). v necem ty maily maj pravdu. ovsem je to nespravnej spusob marketingu jelikoz ohovara konkurenci ktera je zdarma, cize neco na spusob microsoft (kterej je v nekterejch produktech dobrej) a linux.

[Ondřej Caletka]

nejsou vubec pri vyssich nastaveni secure a taky to sifrovani nemaj 2048bit.

Můžeš tohle trochu rozvést? Certifikáty samozřejmě používají 2048bitové RSA a umějí i větší, případně ECDSA. Nastavení síly šifry nezáleží na certifikátu, ale na nastavení serveru.

vono napriklad ten comodo wildcard certifikat za 60 usd je vsade green - full valid a taky bezpecnej.

Tím jako myslíš, že je v něm EVIL bit nastavený na nulu a proto nejde zneužít?

[sads]

nejsou vubec pri vyssich nastaveni secure a taky to sifrovani nemaj 2048bit.

Můžeš tohle trochu rozvést? Certifikáty samozřejmě používají 2048bitové RSA a umějí i větší, případně ECDSA. Nastavení síly šifry nezáleží na certifikátu, ale na nastavení serveru.

vono napriklad ten comodo wildcard certifikat za 60 usd je vsade green - full valid a taky bezpecnej.

Tím jako myslíš, že je v něm EVIL bit nastavený na nulu a proto nejde zneužít?

jako admin sluzbe bych neresil zneuziti zas az tak, kdyz je tam 2048 bit rsa sifrovani, a je validnej vsade - green tak secure bude samozrejme (staci se pozriet na routing pri nem). nejsem zas bezpecnostnej fanatik abych misto funckneho a dostatecneho reseni daval omezovani funkcnosti.

[Lol Phirae]

nejsou vubec pri vyssich nastaveni secure a taky to sifrovani nemaj 2048bit.

Můžeš tohle trochu rozvést?

Ne, už mu skončily vycházky, prášky a do hajan.