Let's Encrypt больше не вариант? Обзор альтернатив
4 июня 2026 года Let's Encrypt тихо обновил пользовательское соглашение до версии 1.7. Новый пункт обязывает получателя сертификата подтвердить, что он не находится под полными санкциями США. В России это вызвало волну обсуждений — и не без причины. В Беларуси пока тихо. Но тихо — не значит «нас это не касается».
https://habr.com/ru/articles/1046618/
#SSL #HTTPS #сертификаты #ACME #certbot #санкции #ZeroSSL #PKI #Беларусь #letsencrypt
🐛 Media tego tematu nie podjęły, następuje coś w stylu "ciszej nad tą trumną". O co chodzi?
Przez lata w ZUS, krócej w innych instytucjach, można było zalogować się do systemu niemal każdej (z małymi wyjątkami) instytucji państwowej, odpowiednio preparując dokument do "Logowania podpisem kwalifikowanym".
Wystarczyło znać imię, nazwisko i pesel.
Na czym polegał błąd?
Na złej interpretacji struktury zwracanej przez SDK.
W skrócie: ignorowano pole zawierające informację, czy przesłany podpis jest zaufany, ograniczając się do sprawdzenia, czy proces przetwarzania zakończył się bez błędów.
Tak, przy spreparowanych kluczach i dokumencie proces przetwarzania kończył się bez błędów...
Wnioski? Państwo nie dowozi w software. Nie dowozi w audyty (jeśli były?).
Dodatkowy smaczek?
Od zgłoszenia, naprawa potrafiła trwać miesiące!
Co by się stało, gdyby kod był otwarty?
Poddany audytowi społeczności, która jest bardzo zainteresowana systemami udostępnianymi przez państwo? Zapewne problem zostałby wyłapany, bo to jakby podstawa podstaw...
No ale systemy są zamknięte, bo wg decydentów tak jest bezpieczniej... To błąd i myślenie "odwrotne".
CVE-2026-9058
Prezentacja Michała Leszczyńskiego, który odkrył, odpowiedzialnie zgłosił i PRZYPILNOWAŁ naprawienia podatności (44 minuty):
https://www.youtube.com/watch?v=pMdnS8I18Ts
Invidious:
https://inv.nadeko.net/watch?v=pMdnS8I18Ts
#bezpieczeństwo #zaufanie #KluczPubliczny #CERT #PKI #MinisterstwoCyfryzacji #Państwo #systemy
Hello,
Comme je sais qu'il y a ici pas mal de gens qui bossent dans la sécurité informatique, j'ai une question : je suis tombé sur les CGU de Let's Encrypt (https://letsencrypt.org/documents/LE-SA-v1.7-June-04-2026-diff.pdf). Est-ce que cela veut dire que Let's Encrypt devient un pouvoir politique malgré lui, plutôt qu'un service universel ? Doit-on se poser la question de trouver une alternative à Let's Encrypt ?
Si je comprends bien, on a un problème de gouvernance problématique.
Pour qu'une autorité de certification soit reconnue, il faut qu'elle soit validée au sein des navigateurs par les organismes qui gèrent les "Root Stores" (magasins de certificats). Ces organismes se résument à un quatuor d'entreprises privées : Microsoft, Alphabet (Google), Apple et Mozilla.
Ces entreprises privées, ainsi que les autorités de certification, se coordonnent au sein du CABF (CA/Browser Forum). Le problème, ces acteurs dominants sont tous américains. L'organisme qui édite les certificats (Let's Encrypt) et ceux qui les valident (les navigateurs) sont donc juridiquement dépendants des lois américaines (comme les sanctions de l'OFAC). L'Internet mondial est donc une extension du droit américain. Si l'État américain décide de mettre sous embargo n'importe quel pays ou entité, toute cette chaîne doit s'y plier. Il y a donc un déséquilibre énorme des pouvoirs, centralisés sur un seul gouvernement.
Et nous avons un autre souci. Imaginons que demain, on crée un organisme supranational qui chapeaute au niveau mondial les certifications. Son but serait d'éviter qu'un pays puisse s'approprier une certification (comme un régime autoritaire créant un MiTM), avec pour seule mission la sauvegarde et la sécurité des utilisateurs du réseau, au-delà du droit d'un pays.
Dans les faits, cet organisme ne verrait jamais le jour. Car pour fonctionner, il lui faudrait l'accord technique des entreprises qui contrôlent les navigateurs pour inclure sa certification racine. Si ces entreprises américaines décident de ne pas l'inclure, il n'y a plus aucune possibilité d'avoir une alternative viable. Aujourd'hui, par l'entremise de ces entreprises technologiques, les États-Unis ont un droit de veto technique sur le monde entier.
#Infosec #CyberSecurite #MastoSec #LetsEncrypt #PKI #SouveraineteNumerique #GouvernanceInternet #Geopolitique #Decentralisation
PKI has a term for the leaf-to-root trust chain. It has no term for the series of certs you've been renewing for years.
Certbot calls it a lineage. Nobody else picked it up. At 47-day lifetimes, naming this correctly starts to matter.
PKI has precise terminology for almost everything. The one thing it never named is the series of certificates you've been renewing for years. Here's what it is, why it matters now, and why your tools already know about it.
salute to the wikipedian who wrote a new English language article for this Indonesian artist S. Sudjojono in the last few days and already nominated themselves for Good Article status. I need that kind of work ethic 🥸
https://en.wikipedia.org/wiki/S._Sudjojono
Apple's 398-day limit exempts private CAs. Most people stopped reading there.
There's a second Apple requirement: all TLS certs, 825 days max. Safari silently rejects anything longer. No bypass, no details.
https://www.certkit.io/blog/apple-doesnt-care-who-signed-your-certificate
Are we self-sovereign PKI yet?
Are we self-sovereign PKI yet?
PSA: You don't need a private CA for internal SSL certificates.
The CA doesn't connect to your server. It checks a DNS record. Your server can be completely unreachable from the internet.
https://www.certkit.io/blog/private-pki-internal-infrastructure
Habr
m0bi ⁂
sebastien
CertKit
🍃Carkner🥺
gary
Lobsters
Hacker News