CA/B Forum обновил методы телефонной валидации



CA/B Forum, регулятор индустрии SSL-сертификатов, принял новые изменения, касающиеся методов телефонной валидации.

Предложение Ballot SC14 устраняет некоторые потенциальные риски безопасности, связанные с методом 3 (3.2.2.4.3) базовых требований (Baseline Requirements). В частности, Ballot SC14 предлагает ужесточить телефонную валидацию, чтобы убедиться, что авторизация или управление доменом осуществляется персоной, уполномоченной это делать.

Валидация, выполненная в рамках метода 3, будет оставаться действительной до конца заданного периода сертификата, однако все новые проверки должны будут использовать обновленный метод.

Ballot SC14 основан на предложении Ballot SC13, которое позволяет владельцам доменов публиковать номера телефонов для валидации доменов в TXT-записях DNS. Поскольку эти телефонные номера специально предназначены для валидации доменов, переход на другой номер не допускается.

Изменения, предлагаемые в Ballot SC14
Ballot SC14 вносит следующие изменения в базовые требования (Baseline Requirements) по выпуску публичных сертификатов.

В секцию 1.6.1 вносится следующее дополнение:

«Телефонный номер в DNS TXT-записи: телефонный номер, определенный в секции B.2.2»

В секции 3.2.2.4.3 после второго абзаца добавляется следующий абзац: «удостоверяющий центр не должен выполнять валидацию с помощью данного метода после 31 мая 2019. Уже выполненные валидации с помощью данного метода будут оставаться действительными вплоть до последующего продления сертификата».

Вместо секции 3.2.2.4.3 в документ Baseline Requirements добавляются две новых секции: 3.2.2.4.15 и 3.2.2.4.16.

Секция 3.2.2.4.15 посвящена телефонному контакту с владельцем домена. В частности, в этом разделе говорится о подтверждении контроля домена с помощью телефонного звонка. Один телефонный звонок может подтверждать контроль нескольких доменов, если один и тот же телефонный номер приведен для каждого доменного имени, и был получен утвердительный ответ по поводу владения доменом.

Удостоверяющий центр может оставить случайное значение в голосовом сообщении для проверки заявителя. Это значение должно быть передано удостоверяющему центру для подтверждения запроса. Случайное значение будет оставаться действительным в течение максимум 30 дней с момента его создания. Удостоверяющие центры могут задавать более короткий период валидности для таких случайных значений.

Секция 3.2.2.4.16 устанавливает правила для телефонной связи через DNS TXT-запись. В данном случае контроль владения доменом проверяется путем звонка на номер, указанный в DNS TXT-записи. Как только будет получен подтверждающий ответ, полное доменное имя будет проверено. Правила проверки (по звонкам и голосовым сообщениям) здесь аналогичны секции 3.2.2.4.15.

Также добавляется аппендикс B.2.2. В нем отмечены правила задания DNS TXT-записи:

DNS TXT-запись должна быть размещена на поддомене «_validation-contactphone» того домена, который необходимо проверить. Полное значение RDATA этой TXT-записи должно представлять собой валидный глобальный номер, как определено в секции 5.1.4 RFC 3966. В противном случае его нельзя будет использовать.

CA/B Forum проголосовал за удаление валидационного метода с использованием тестового сертификата (3.2.2.4.9)



A/B Forum, регуляционный орган индустрии SSL-сертификатов, принял большинством голосов новое предложение Ballot SC15, связанное с удалением валидационного метода 3.2.2.4.9.

В методе 3.2.2.4.9 было указано следующее: контроль владения доменом со стороны заявителя может быть проверен путем выпуска бессрочного тестового сертификата для доменного имени. Этот сертификат должен быть доступен для удостоверяющего центра по TLS через авторизованный порт с целью выпуска сертификата с тем же самым публичным ключом, что и в тестовом сертификате.

Метод 3.2.2.4.9 будет удален вследствие того, что он является небезопасным – часто бывает ситуация, когда веб-хостинг использует один IP-адрес для нескольких доменных имен.

Этот метод больше не будет использоваться для валидации и выпуска сертификатов.

Вышла новая версия Chrome 72: TLS 1.0 и TLS 1.1 признаны устаревшими, поддержка HPKP удалена



Разработчики Google Chrome выпустили новую версию 72, основные изменения которой направлены на базовые Web API и протоколы браузера.

Наиболее важным из изменений является полное удаление поддержки HPKP (HTTP-Based Public Key Pinning). Мы уже писали ранее о том, что Google планировал отказаться от HPKP. Впервые стандарт был признан устаревшим в Chrome 65, который вышел в марте 2018.

Владельцам сайтов, использующим HPKP, рекомендовано отказаться от поддержки этого стандарта.

Еще одна важное изменение – Chrome больше не будет обрабатывать ресурсы, загруженные по FTP. Теперь Chrome предложит скачать файл вместо его обработки и запуска.

Третье важное изменение – признание стандартов TLS 1.0 и TLS 1.1 устаревшими. Полный отказ от поддержки этих двух стандартов будет произведен в Chrome 81, выпуск которого запланирован на 2020 год.

Теперь Chrome будет выдавать ошибку в консоли разработчика, когда пользователь запрашивает доступ к HTTPS-сайту с использованием устаревших TLS 1.0/1.1 сертификатов. При этом доступ к сайту пока не будет блокироваться. Блокировка произойдет уже с версии Chrome 81.

Помимо прочего, разработчики также исправили 58 различных ошибок безопасности в Chrome 72.

C Днем хостинг-провайдера!


Практически каждый человек сегодня пользуется интернетом и специалистам, которые неустанно следят за бесперебойной работой серверов, на которых находятся сайты, игры и многое другое, а также разрабатывают способы улучшения хранения и передачи информации, посвящен отдельный праздник — День хостинг-провайдера!

Поздравляем!

Хотя этот день и не является официальным государственным праздничным днем, это не мешает нам поздравить наших коллег и сотрудников! А пожелать в этот день хотелось бы отличного настроения, всегда своевременно обновленного программного обеспечения и бесперебойной работы оборудования! С праздником!

Подарки!

В честь праздника мы подготовили подарки ;)

При новом заказе с 01.03.2019 по 07.03.2019 используйте промокод ATLEX-HOSTING-PRO-DAY и получите в подарок к своему заказу дополнительно 1 месяц услуги абсолютно бесплатно!

Акция распространяется на заказ таких услуг, как:
  • аренда виртуального хостинга;
  • аренда виртуального сервера в России;
  • аренда виртуального сервера в Европе;
  • аренда выделенного сервера в России;
  • аренда выделенного сервера в Европе;
  • colocation серверов в России;
  • colocation серверов в Европе;
  • аренда серверной стойки в Европе;
  • аренда облачного хранилища;
  • аренда виртуального дата-центра;
  • аренда виртуального рабочего места.

Подробности акции по ссылке: https://www.atlex.ru/actions/den-hosting-provajdera/

Друзья, мы снова на связи с новой партией серверов!



Друзья, мы снова на связи с новой партией серверов!

На этот раз это серверы Xeon E3-1270v2 / 32Gb RAM, к базовой конфигурации которых можно добавить различные опции в нашем конфигураторе.

Например, можно собрать такие конфигурации:
  • Xeon E3-1270v2 / 32Gb RAM / 2 x 1Tb SATA3 / IPMI / 100Mbit Unmetered — $99/мес
  • Xeon E3-1270v2 / 32Gb RAM / 2 x 1Tb SATA3 / 512G NVMe SSD / IPMI / 100Mbit Unmetered — $118/мес

Серверы расположены на нашей площадке в Варшаве, проверить связь с площадкой можно тут.

Закажите свой сервер на 3 месяца с промокодом SRV50OFF и получите 50% скидки на первые 2 месяца пользования услугой!

Внимание: количество акционных серверов ограничено!

Заказать свой сервер
host4.biz/ru/servers/dedicated/poland/ds-pl-1
Приятной вам работы!

Последствия закрытия CloudTree

Во второй половине февраля Петербург попал под очередную волну массовых эвакуаций. В больницы, школы, университеты, торговые центры и другие места больших скоплений людей регулярно поступают сообщения о минировании, на которые владельцы этих локаций и силы правопорядка вынуждены реагировать.

По данным «Фонтанки», следователи на текущий момент проверяют версию о причастности к атакам 19-летнего гражданина Украины по имени Дмитрий, известного под псевдонимом Смычок, а также жителя Петербурга 2002 года рождения, известного под псевдонимом Окост.

В «Фонтанке» считают, что массовые эвакуации — результат раздела бизнеса, который произошёл в 2018 году, когда Окост и Смычок, владельцы трёх серверов Minecraft с совокупным доходом 900 тысяч рублей в месяц, поссорились с программистом из Минска и неким Ed_Jo (предположительно, 28-летний житель Латвии) — создателями лаунчера TLauncher, привязанного к этим серверам.

dtf.ru/gameindustry/41329-fontanka-obyasnila-massovye-evakuacii-v-peterburge-konfliktom-vladelcev-piratskih-serverov-minecraft

//
новость написана редакцией, случайно попалась

Выделенный сервер «с вишенкой на торте»


Выделенный сервер «с вишенкой на торте»
Готовимся к весне! Акция от Keyweb!

Выделенный сервер в нашем собственном сертифицированном немецком дата-центре. Производительный сервер с новейшим процессором Intel Core I7 последнего поколения — идеальное решение для станет прекрасной основой для реализации некритических интернет-приложений, веб проектов, требующих повышенной производительности, интернет телефонии и стрим серверов, трейдинга, игровых и образовательных сервисов, а также широкого круга других задач…

KEYMACHINE SERVER i7 | 32 GB
  • 2x250 GB SATA3 SSD
  • Лицензионная Windows 2012
  • Сеть 1 Gbit/s
  • Стоимость установки по промокоду: 0
  • 110,9 евро в месяц
  • промокод: 5YSGU6AU92

В цену аренды сервера включена поддержка и услуга администрирования.
Количество серверов по акции ограничено.

www.keyweb.ru/products/server/dedicated/keymachine-server

Object Storage - What Is It? (1/3)



С сегодняшнего дня мы публикуем серию статей об объектном хранилище.
В этой серии статей мы начнем с широкого описания технологии хранения объектов, которая в настоящее время используется в Scaleway.
В следующие недели появятся две другие статьи о внутреннем управлении хранилищем объектов и инфраструктурой хранилищ объектов. Оставайтесь в курсе!

Проблемы с традиционным хранением
Предполагая, что вы хотите хранить большое количество статических файлов, таких как видео, фотографии и документы, на локальном NAS. С традиционными технологиями хранения вы столкнетесь со следующими проблемами:

1. Ограниченное дисковое пространство: все диски имеют ограниченное пространство. Как только ваши диски заполнятся, вам нужно добавить новый и перенастроить вашу систему. Вы можете распределить между несколькими дисками на нескольких машинах, но ваши расходы на управление в вашей инфраструктуре возрастают.

2. Аппаратный сбой. Предположим, у вас есть несколько дисков, на которых хранятся ваши данные. Поскольку ваши диски имеют ограниченный срок службы, они будут случайным образом выходить из строя через определенное время. В качестве контрмеры вы можете использовать такие системы, как RAID, чтобы ограничить потерю данных. Однако этот параметр ограничен вашей машиной. Если ваша машина станет недоступной, все данные, расположенные на ней, также будут недоступны. Отключение будет продолжаться до тех пор, пока вы не сможете восстановить эту машину в нужном состоянии.

3. Затраты. Итак, теперь давайте предположим, что у вас есть работающий RAID-массив с реплицированными настройками. При такой конфигурации вы платите как за использованное, так и за неиспользуемое пространство. Кроме того, вам придется потратить значительное количество времени на администрирование, обновление и устранение нарушений безопасности.

4. Проблемы масштабируемости: ваши настройки популярны среди ваших друзей и родственников, и в результате они хотели бы сохранить свои данные в вашем решении. То, что работало для вас в определенный момент, может не сработать, так как ваши требования растут. Технический выбор, который вы сделали для хранения 3 ТБ в неделю, определенно не такой, как если бы вы хотели хранить 3 ТБ в день или час. Значительное увеличение использования может стать реальной проблемой с решениями для хранения данных, а затраты времени и энергии на изменение вашей архитектуры мучительны. Кроме того, IOPS ограничены на носителе. Большие нагрузки операций ввода / вывода могут привести к отказу оборудования, так как компоненты не поспевают за скоростью.

5. Интеграция в ваше приложение. Такие интерфейсы, как файловые системы или промежуточное программное обеспечение хранилища, могут сталкиваться с множеством проблем при работе на большом кластере машин с большим объемом хранимых данных. Такие технологии также могут страдать от снижения производительности при увеличении объема хранимых данных.

Решения для хранения объектов
Традиционные архитектуры становятся менее подходящими для удовлетворения потребностей современных приложений. Хранение объектов в Scaleway предоставляет реальное решение для решения задач современной инфраструктуры.

Масштабируемое хранилище по требованию
Технологии Object Storage предназначены для хранения больших объемов данных (например, сотен петабайт).
Для этого объектное хранилище полагается не на одну машину, а на несколько взаимосвязанных машин. По мере роста спроса на мощность, стандартизированные машины добавляются регулярно.

Встроенная устойчивость
Чтобы обеспечить доступность ваших данных, мы обладаем достаточной квалификацией для обеспечения отказоустойчивости оборудования и безопасности данных.

Мы гарантируем лучшую долговечность ваших данных, сохраняя объекты на нескольких дисках на разных машинах. Это позволяет нам предотвратить потерю данных в случае аппаратных сбоев.
Эти копии распространяются, чтобы мы были лучше доступны. Например, если одна часть вашего файла повреждена или отсутствует, мы можем легко восстановить ее из исправной части кластера.
У нас также есть эффективные процессы вмешательства в отношении физической инфраструктуры, в случае аппаратного сбоя или недоступности. Мы обеспечиваем надежную связь со специальными командами для быстрого решения проблемы.
Кроме того, мы тратим много времени и усилий на наше решение для мониторинга, которое позволяет нам более активно работать над состоянием работоспособности кластера.

Что касается программного обеспечения, мы разработали распределенное и надежное решение, которое гарантирует, что клиент не сможет создать полную недоступность платформы. Действительно, разные промежуточные программы отвечают за аутентификацию каждого из запросов. Каждый из запросов создает связанные подпроцессы (такие как проверка учетных данных или операторы выставления счетов), которые должны поддерживать 100% нагрузки в любой момент времени (для нагрузки, значительно превышающей 100 миллионов запросов в день).

Модель с оплатой за использование
Вам выставлен счет только за то хранилище, которое вы фактически используете. Цена, которую вы платите, может быть легко рассчитана в зависимости от ваших потребностей хранения. Вам не нужно беспокоиться о настройке и настройке (конфигурация RAID, требования к файловой системе).
Избавьтесь от необходимости администрировать свои машины и устранять нарушения безопасности, запуск производства и так далее. Все эти знания и расходы полностью делегируются вашему поставщику.

Стандартный интерфейс
Интерфейс прикладного программирования (API)
Несколько протоколов позволяют взаимодействовать с хранилищем объектов.

Два протокола, которые доминируют на рынке, это S3 и SWIFT.
Мы выбрали протокол S3, потому что он широко интегрирован в сторонние приложения. Кроме того, это позволяет нам занимать стратегическую позицию на этом рынке, сводя к минимуму модификации, необходимые для использования нашего облака.

На практике в конфигурации нужно внести всего несколько изменений, чтобы сэкономить половину затрат на хранение. Обязательно проверьте функции, необходимые для запуска вашего приложения. Большая часть нашей работы заключается в реализации всех функций, предлагаемых конкурентами (AWS S3, облачное хранилище GCP, хранилище BLOB-объектов Azure и т. Д.).

Хранение объекта через S3 — это протокол HTTP, т. Е. Вы можете напрямую взаимодействовать с ним с помощью команды curl, которая возвращает формат XML. Общаться с необработанными HTTP-вызовами может быть очень утомительно, поэтому наши клиенты в основном используют SDK или CLI-клиенты (например, rclone), а также потому, что в них интегрировано множество механизмов, которые упростят вашу жизнь (повтор, синхронизация и другие).

Управление файлами
Хранилище объектов превращает файлы в объекты. Содержимое вашего файла не имеет никакого отношения к тому, как оно хранится. Будь то видео, фотографии, текстовые или двоичные данные, они будут сохранены одинаково.
Данные не размещаются в иерархии каталогов. Они живут в плоском адресном пространстве.
Приложения идентифицируют дискретные объекты данных по их уникальному адресу.

Объекты собраны в ведра, которые представляют пространство, где объекты расположены вместе.
Имя сегмента должно быть уникальным идентификатором, который позволяет нам предоставлять такие функции, как местоположение сегмента или гео-репликация.

В вашем ведре все объекты называются первого уровня. Это одно из самых больших различий по сравнению с традиционными системами, такими как файловая система. Давайте посмотрим на это на примере:
Filesystem    V S  Object storage
- dir1/       |    - dir1/
    - file1   |    - dir1/file1
    - file2   |    - dir1/file2
    - file3   |    - dir1/file3


В этом примере мы видим, что каталог dir1 заменяется префиксом dir1, все объекты (file1, file2 и file3) затем совместно используют префикс dir1, но больше не содержатся в каталоге с именем dir1.
Хранение объектов принципиально отличается от файловой системы в этом отношении.
Такие проекты, как s3fs, существуют, чтобы помочь вам перейти от традиционной файловой системы к объектному хранилищу.

Другое ключевое отличие состоит в том, что вы не можете частично обновить содержимое объекта. Объект является неизменным, и если вы хотите изменить его, весь объект должен быть возвращен.

Это влияет на программное обеспечение, которому необходимо регулярно обновлять файлы, такие как базы данных. В случае базы данных ее основными характеристиками являются мгновенное время доступа и возможность поиска в файле (переход к определенному байту, чтение или частичное манипулирование файлом).

Если ваша файловая система действительно подключена к хранилищу объектов, время доступа увеличится с нескольких наносекунд до нескольких миллисекунд, что значительно замедлит работу вашей базы данных. Кроме того, если вы измените только два байта в файле, который составляет даже несколько МБ, вам придется отправить весь файл обратно по сети, чтобы обновить объект.

Заключение
В следующих статьях мы увидим, как Object Storage работает внутри и как строилась инфраструктура.
Создайте свое первое ведро сейчас!
console.scaleway.com/object-storage/