Konektivitas SSL untuk semua pengguna Central Repository sedang berlangsung

0
126

Itu hidup Dalam waktu yang sangat singkat, Tim Operasi Sonatype telah mengkoordinasikan sertifikat dan penyiapan lainnya dengan penyedia CDN yang sangat baik dengan cepat dan sekarang Anda dapat menikmati konten Repositori Pusat melalui HTTPS / SSL. Ke depan, kami mendesak semua proyek di hulu untuk mengadopsi URL aman sebagai bagian dari konfigurasi default mereka. Sementara itu kami telah memperbarui petunjuk untuk mengkonsumsi komponen dari Repositori Pusat dengan semua rincian yang diperlukan untuk pengelola repositori Anda, membangun alat atau mode akses lainnya yang Anda gunakan. Kami harap Anda menikmati fitur baru ini dan menantikan umpan balik Anda!

BEGIN PASAR ORIGINAL:

Kami sudah mendapat sedikit sorotan publik baru-baru ini mengenai bagaimana kami memilih untuk memberikan akses SSL ke Central selama dua tahun terakhir. Pada Sonatype, kita memiliki sejarah investasi di komunitas Pusat Maven, yang kesemuanya berfokus pada peningkatan kualitas isi, meningkatkan kehandalan dan kinerja pengiriman, dan ya, bahkan memperkuat keamanan yang seringkali tidak populer (berapa banyak keluhan Dapatkah Anda menemukan mengapa kami memerlukan tanda tangan PGP pada artefak?)

Pelanggan Nexus kami adalah orang pertama yang mulai meminta akses SSL beberapa tahun yang lalu. Pada saat itu, karena alasan teknis [1], kami memutuskan untuk fokus pada pengguna benar-benar berniat memanfaatkan koneksi SSL. Kami juga menyadari pentingnya akses yang aman dan memutuskan untuk menyediakannya bagi siapa saja yang menginginkannya, bukan hanya pelanggan Nexus Pro. Ini termasuk memastikan bahwa Artifactory dan Apache Archiva dapat mendukung mode baru ini dengan benar bersama pengguna Nexus OSS.

Pada tahun 2012 kami tidak yakin berapa banyak orang yang belum menjalankan pengelola repositori yang tertarik dengan akses SSL. Dengan semangat pengembangan produk ramping, alih-alih menyalakannya untuk setiap permintaan tunggal (yang memerlukan koordinasi di seluruh alat alat yang sangat besar), kami memutuskan untuk meningkatkan gesekan pendaftaran hanya sedikit untuk melihat apakah ini adalah usaha yang layak . Biaya sebesar $ 10 tampak seperti jumlah sepele dengan friksi yang cukup untuk mengatasi “Biaya Biaya Nihil” dan memberikan ukuran permintaan sebenarnya yang memadai.

Tujuan kami bukan untuk mendapatkan keuntungan dari hal ini, hanya untuk mengetahui apakah layanan semacam itu memiliki sejumlah kecil nilai yang dirasakan oleh pengguna, dan karena itu daripada menyimpan uangnya, kami memutuskan untuk menjanjikan jumlah yang setara dengan yayasan sumber terbuka.

Bergantung pada bagaimana Anda melihatnya di belakang, eksperimen itu entah kegagalan atau kesuksesan. Meskipun ada pembicaraan di Java One (direferensikan di blog asli saya mengenai topik ini) tentang cross build injection yang menyoroti potensi risiko, sampai kemarin kami memiliki jumlah keseluruhan …

12 pendaftaran untuk akses SSL dalam 2 tahun.

Itu bukan salah ketik, itu berbunyi dua belas. Sekarang saya tidak mengatakan itu berarti itu tidak penting (memang jelas) tapi ini membantu menjelaskan blind spot yang kami dapatkan dalam kasus ini.

Dalam 24 jam terakhir saja, kami memiliki 12 pendaftaran lagi.

Dengan semua perhatian dari Heartingly, Snowden dan serangan profil tinggi lainnya, tidak mengherankan jika orang-orang siap pada tahun 2014 untuk mendapatkan solusi yang lebih aman. Saya ambil: Hallelujah!

Teriakan perhatian yang telah diterima edisi ini adalah bukti dalam sekop bahwa sudah saatnya menghilangkan gesekan dan memberikan akses SSL secara default. Sekali lagi, Anda dapat membantah bahwa kita seharusnya melihat ini datang.

Secara kebetulan, kami telah bergerak ke arah ini dan telah menegosiasikan harga SSL pada skala Central ke dalam perpanjangan kontrak CDN kami yang efektif pada tanggal 1 Agustus (untuk bandwidth yang aneh, asal dan CDN untuk biaya Tengah $ 150 ribu tahun lalu dan tumbuh pada kisaran 40- 50% per tahun). Jadi, mungkin kita memang melihatnya datang, tidak tepat waktu. Beberapa hari sepertinya.

Kami berharap agar akses SSL tersedia untuk pengujian besok dan akan mengumumkannya secara lebih luas setelah kami yakin tidak ada gotchas yang bersembunyi di berbagai integrasi perkakas. Apapun, kami akan mendukung mode non-SSL lama untuk memastikan kompatibilitas saat migrasi berlangsung.

Kami akan terus berpartisipasi dalam debat publik tentang bagaimana membuat rantai pasokan perangkat lunak yang lebih aman yang tersedia untuk semua orang. Ini termasuk menekan, antara lain, masalah seperti memerlukan tanda tangan PGP yang dapat dipercaya dan praktik bagus seputar pemilihan komponen. Setelah semua, memiliki koneksi aman di mana Anda mendownload komponen rentan yang diketahui … yah, mungkin itu adalah subjek dari posting yang berbeda.

Kami juga ingin mengucapkan terima kasih kepada Max Veytsman, poster blog asli atas kesediaannya untuk menantang status quo. Kami berusaha untuk melakukan hal yang benar untuk masyarakat dengan banyak bukti anekdot untuk mendukung hal ini, dan menghargai debat sehat, walaupun kadang-kadang sangat menyakitkan.

PS Jika Anda tertarik untuk berkontribusi langsung ke Apache Software Foundation, Anda dapat melakukannya di sini .

[1] Penyedia yang digunakan pada saat itu tidak mendukung server asal (yaitu server Sonatype di belakang server caching tepi CDN) validasi sertifikat SSL. Menyebarkan SSL melalui struktur ini akan menghasilkan potensi serangan man-in-the-middle sebagai komponen yang diangkut dari asal ke penyedia CDN. Kami memilih untuk memberikan SSL langsung dari kami sehingga kami dapat memastikan keamanan end to end transport layer.