[12:48] <Hejkki> moro
[15:22] <Maakuth> jos jotakuta kiinnostaa let's encrypt, niin linux.fi pääsi juuri betaan mukaan
[15:22] <Maakuth> https://www.linux.fi/wiki/Etusivu sielläpä sitä voi ihmetellä
[15:55] <Mirv> Maakuth: hienoo! toi on tosi hyvä homma koko let's encrypt.
[16:05] <Maakuth> kyllä vain
[16:51] <Kehet> kiva
[16:51] <Kehet> jos vaikka vähän tiputtaisi normicerttien hintoja markkinoilla
[16:51] <Kehet> tuntuu hölmöltä maksaa toista sataa siitä ilosta että jollain palvelimella on jossain bitti toisinpäin
[16:54] <Kehet> tietty jos tarvitsee certtiä jonkun vähän tärkeämmän jutun todentamiseen niin asia erikseen
[17:20] <Maakuth> kyllä minä luulen että tuolla on edellytyksiä korvata nuo tavalliset sertit, jotka vaan varmistaa, että palvelin on se kuka sanoo olevansa. varsinaista firman identiteettiä tai sellaistahan tuo ei tarjoa
[17:20] <Maakuth> jospa nuo ca:t alkaisi tehdä jotain ansaitakseen leipänsä
[18:02] <Max^> mitä noi nykyset muka varmistaa ku niitä voi kuka vaan ostaa
[18:04] <tale> Max^: Ne varmistaa sertin ostajalla on sen sertin hinnan verran rahaa.
[18:41] <Thaurwylth> Jos sopivasta hintatasosta puhutaan, niin kyllähän tuolla pääsee jo pitkälle. Tai siis ison osan tavallisiin ihmisiin kohdistuvasta matalan tason huijaamisesta aivan perusideana on se, että sitä tehdään vain siksi, että se on halpaa.
[18:48] <Maakuth> on ne jotkut aika tarkkoja, vaativat nähdä virallisia papereita. mutta ei toki koske noita halvimpia
[19:00] <Thaurwylth> Tai siis miehän en mistään mitään tiedä, kysytäänpä ihan selvittely- ja uudenoppimismielessä tämmöinen, onko niitä sitten paljon semmoisia väärennettyihin sertifikaatteihin perustuvia siltä osin täysin toimivia hyökkäyksiä. Paljon voisi tuossa tarkoittaa vaikka sitä, että tulee web-turvallisuusalalla toimiville niin usein vastaan, että janarien pitää ihan erikseen tuumailla, että jaa, ...
[19:00] <Thaurwylth> ... tämmöisiäkin tosiaan on ja voi olla.
[19:51] <Maakuth> kyllä niitä säännönmukaisesti sattuu, että huolimaton CA sertifioi jotain mitä ei pitäisi
[19:52] <Maakuth> mutta ei se niin yleistä ole että olis "tavallisten konnien" kannalta käytännöllinen hyökkäystapa. jotkut valtion tyyppiset toimijat on sitten asia erikseen
[19:53] <Maakuth> mm. comodo, joka suuremmasta päästä näitä, antoi joskus jollekin iranin poliisille mail.google.comiin sertit
[19:55] <StockAntenna> Turktrust antoi myös Googlet v. 2011
[19:57] <Maakuth> ja nyt just google uhkaa ottaa symantecin rootin pois chromesta jos eivät korjaa touhujaan
[19:58] <Maakuth> jotain koeserttejä olivat myöntäneet vissiin satoja väärille tahoille
[20:00] <Maakuth> ei niillä kai ole muuta eroa tuotantosertteihin kuin lyhyt voimassaolo