惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

V
V2EX
C
Check Point Blog
博客园 - Franky
月光博客
月光博客
T
Tenable Blog
博客园 - 聂微东
Cyberwarzone
Cyberwarzone
The GitHub Blog
The GitHub Blog
C
CERT Recently Published Vulnerability Notes
Scott Helme
Scott Helme
IT之家
IT之家
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
C
CXSECURITY Database RSS Feed - CXSecurity.com
F
Full Disclosure
博客园 - 司徒正美
Project Zero
Project Zero
Y
Y Combinator Blog
A
Arctic Wolf
美团技术团队
博客园 - 叶小钗
S
Securelist
F
Fortinet All Blogs
T
Threatpost
T
Threat Research - Cisco Blogs
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
酷 壳 – CoolShell
酷 壳 – CoolShell
MyScale Blog
MyScale Blog
大猫的无限游戏
大猫的无限游戏
Recorded Future
Recorded Future
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
S
Schneier on Security
Apple Machine Learning Research
Apple Machine Learning Research
L
LangChain Blog
P
Privacy International News Feed
博客园_首页
S
SegmentFault 最新的问题
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
腾讯CDC
P
Proofpoint News Feed
Cisco Talos Blog
Cisco Talos Blog
AWS News Blog
AWS News Blog
阮一峰的网络日志
阮一峰的网络日志
G
Google Developers Blog
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
Simon Willison's Weblog
Simon Willison's Weblog
雷峰网
雷峰网
P
Proofpoint News Feed
Latest news
Latest news
G
GRAHAM CLULEY

Henri Sivonen’s pages

Parin vuoden tutkimattomuus crates.io: Rust Package Registry Asiakirjatonta toimintaa It’s not wrong that "🤦🏼‍♂️".length == 7 Koulutartuntojen tilastointimenettely Perusteasiakirjoja hallussapitämättä ikärajoitettu Asiantuntijat ja nukkuva vallan vahtikoira Koronapassilausunto Suppealla tietopohjalla ohimeneväksi väitetty Text Encoding Menu in 2021 The Text Encoding Submenu Is Gone An HTML5 Conformance Checker Not Part of the Technology Stack Browser Technology Stack Bogo-XML Declaration Returns to Gecko A Look at Encoding Detection and Encoding Menu Telemetry from Firefox 86 Why Supporting Unlabeled UTF-8 in HTML on the Web Would Be Problematic Rust Target Names Aren’t Passed to LLVM Toimintamalli Activating Browser Modes with Doctype Johtopäätöksiä mallin rakenteesta Tehtävänmäärittelyä kirjoittamatta ja kuolemia laskematta laumasuojamallinnettu Character Encoding Menu in 2014 Erillissuosituksen tarpeettomuudesta yleissuosituksen poikkeukseksi? STM:n maskiaikajana Rust 2021 Oma-aloitteisesti mallinnettu Kokopinovaatimuksin kilpailutettu chardetng: A More Compact Character Encoding Detector for the Legacy Web Varauksia paisutellen tiedotettu Perusteasiakirjoitta tiedotettu Always Use UTF-8 & Always Label Your HTML Saying So IME Smoke Testing The Validator.nu HTML Parser About the Hiragino Fonts with CSS It’s Time to Stop Adding New Features for Non-Unicode Execution Encodings in C++ Rust 2020 The Last of the Parsing Quirks About about:blank Rust 2019 a Web-Compatible Character Encoding Library in Rust How I Wrote a Modern C++ Library in Rust Using cargo-fuzz to Transfer Code Review of Simple Safe Code to Complex Code that Uses unsafe A Rust Crate that Also Quacks Like a Modern C++ Library #Rust2018 No Namespaces in JSON, Please A Lecture about HTML5 -webkit-HTML5 Lists in Attribute Values The Sad Story of PNG Gamma “Correction” If You Want Software Freedom on Phones, You Should Work on Firefox OS, Custom Hardware and Web App Self-Hostablility HTML5 Parser Improvements ARIA in HTML5 Integration: Document Conformance (Draft, Take Two) Schema.org and Pre-Existing Communities Lowering memory requirements by replacing Schematron HTML5 Parsing in Gecko: A Build Introducing SAX Tree NVDL Support in Validator.nu HOWTO Avoid Being Called a Bozo When Producing XML An Unofficial Q&A about the Discontinuation of the XHTML2 WG Thoughts on HTML5 Becoming a W3C Recommendation Four Finnish Banks Training Users to Give Banking Credentials to Another Site Unimpressed by Leopard Sergeant Semantics The Content Sink Inheritance Diagram – 2006-06-30 What is EME? About Points and Pixels as Units The Performance Cost of the HTML Tree Builder Social Media Impression Management The spacer Element Is Gone Openmind 2006 Performance Mistake XHTML and Mobile Devices WebM-Enabled Browser Usage Share Exceeds H.264-Enabled Browser Usage Share on Desktop (in StatCounter Numbers) HTML5 Parser-Based View Source Syntax Highlighting Vendor Prefixes Are Hurting the Web Accept-Charset Is No More Dualroids Writing Structural Stylable Document in Mozilla Editor ISO-8859-15 on haitallinen Hourglass The Scientific Method According to Hixie Maemo Source Code Karpelan lukkovertaus ontuu Digitaalisesta arkistoinnista ARIA in HTML5 Integration: Document Conformance (Draft) XHTML—What’s the Point? (Draft, incomplete) Mac OS X Browser Comparison HOWTO Spot a Wannabe Web Standards Advocate An Idea About Intermediate Language Trees and Web UI Generation Thoughts on Using SSL/TLS Certificates as the Solution to Phishing Bureaucracy Meets the Web Europe Day HOWTO Establish a 100% Literacy Rate What to Do with All These Photos? Charmod Norm Checking Validator Web Service Interface Ideas DTDs Don’t Work on the Web EFFI’s Day in Court Speaking at XTech
Julkisesti luotettu varmenne ikidomainille TLS:ää (SSL:ää) varten
Henri Sivonen · 2016-04-02 · via Henri Sivonen’s pages

English summary for my usual audience: Previously it was impractical to get a publicly trusted TLS certificate for an iki domain (e.g. hsivonen.iki.fi). Thanks to Let’s Encrypt performing validation on a per-hostname basis, it’s now practical to get a publicly trusted certificate for an iki domain.

Aiemmin ikidomainille, kuten hsivonen.iki.fi, on ollut vaikeaa saada julkisesti luotettua TLS-varmennetta (SSL-sertifikaattia) esim. https-palvelinta varten. (Julkisesti luotettu varmenne on varmenne, joka ketjuuntuu Mozillan, Microsoftin, Applen ja Androidin juuritaltioissa mukana olevaan juureen tai juuriin.) Tämä johtui siitä, että varmentajat (engl. certificate authority eli CA) ovat tyypillisesti halunneet tarkistaa verkkotunnuksen iki.fi hallinnan edellytyksenä varmenteen saamiseksi .iki.fi-loppuiselle nimelle.

Uusi voittoa tavoittelematon varmentaja Let’s Encrypt toimii toisin ja tarkistaa isäntänimen (hostname) hallinnan. Siispä ikidomainille hsivonen.iki.fi saa varmenteen (ilmaiseksi!) osoittamalla kontrolloivansa isäntää hsivonen.iki.fi eikä iki.fi:n hallinnalla ole väliä.

Rajallisen allekirjoittamiskapasiteetin vuoksi Let’s Encrypt rajoittaa, kuinka monta varmennetta per verkkotunnus saa hakea tietyssä aikaikkunassa. Tukifoorumin mukaan verkkotunnuksen määritelmä aikarajoitusta varten on julkinen suffiksi plus yksi pisteellä erotettu nimen osa. Koska iki.fi on julkinen suffiksi ei ikidomainien pitäisi haitata toisiaan aikaperusteisten määrärajoitusten vuoksi.

Koska varmenteiden voimassaolon peruminen (eli sulkeminen, engl. revocation) ei oikeasti toimi, Let’s Encrypt rajoittaa varmenteiden voimassaoloaikaa, jotta paljastuneesta salaisesta avaimesta johtuva haitta-aika lyhenisi. Tämän vuoksi Let’s Encryptiä käytettäessä pitää varmenteiden uusiminen käytännössä automatisoida. Itse olen ollut hyvin tyytyväinen Hugo Landaun acmetooliin.

Tässä on tietenkin se riski, että kun ikidomaineille saa varmenteita vain yhdestä paikasta, ei ole mihin vaihtaa, jos se yksi paikka menee jotenkin rikki. Toivottavasti ei mene rikki. Lisäys 2016-04-02: Certificate Transparency paljastaa, että pari jäsentä on saanut ikidomaineilleen varmenteet GeoTrustin RapidSSL-brändiltä. Näyttäisi siltä, että homma onnistuu SSLMaten kautta, jos on määritellyt ikidomainilleen MX-tietueen avulla ylläpitopostilaatikon.

Toinen teoreettinen riski on se, että IKI ry voisi kieltää Let’s Encryptin käytön julkaisemalla iki.fi:n DNS:ssä CAA-tietueen, joka ei sallisi Let’s Encryptin käyttöä. En tosin tiedä, pelastaisiko julkinen suffiksi tässä. Toivon, että IKI ry päättää olla julkaisematta Let’s Encryptin kieltävää (eli sallimatta jättävää) CAA-tietuetta. Lisäys 2016-04-02: Asia on nyt kirjattu yhdistyksen vuoden 2016 toimintasuunnitelmaan.