Comments 31
Они же уже указали, что это касается только организаций, которые непосредственно находятся под санкциями
Let’s Encrypt не может массово отозвать действующие сертификаты без серьёзных технических последствий
У Let's Encrypt нет технических средств именно для отзыва сертификатов. Они не предоставляют OCSP вообще. Так что серты просто будут протухать постепенно.
https://habr.com/ru/news/934898/
Существуют бесплатные замены Let’s Encrypt:
ZeroSSL — самый простой вариант. Бесплатные сертификаты, поддерживает ACME-протокол, работает с теми же certbot и acme.sh без переучивания. Зарегистрирован в Австрии.
ZeroSSL не выдает сертификаты для RU и SU с марта 2022, и для BY тоже ещё.
https://help.zerossl.com/hc/en-us/articles/360060119833-Restricted-Countries
Google Trust Services — бесплатно через ACME, нужен аккаунт Google Cloud (бесплатный уровень подходит). Американская инфраструктура.
GTS уже год назад перестал выдавать сертификаты для *.spb.ru, например, для всех доменов в этой зоне, а их там вообще-то 11 тысяч.
https://habr.com/ru/news/910042/
покупка через местных реселлеров — рабочее решение, которое убирает зависимость от прямых платежей в США и даёт локальную техподдержку
А эти вот реселлеры это чьих сертификатов реселлеры? Потому что если они завязаны на американские или европейские компании, то и зависят от них в части санкций. Головная компания решит не выдавать сертификаты для RU - реселлер просто технически не сможет выдать сертификат для RU (и никакие такие платежи с поддержкой ему в этом деле не помогут).
Мне кажется, текст попросту сгенерирован. В дополнение к фактическим ошибкам, на которые вы указали, есть и характерные стилистические особенности. Типичный пример:
Российские разработчики сегодня гуглят «альтернативы Let's Encrypt» — не потому что сертификаты перестали работать, а потому что думать об этом после того, как перестанут, уже поздно.
Вот так заключать фразу в кавычки и использовать в качестве члена предложения — частый приём у больших языковых моделей. А дальше там стоит тире и противопоставление, что БЯМ тоже обожают.
Схожие примеры с кавычками:
Беларусь уже несколько лет живёт в режиме «что-то изменится — неизвестно когда и в какую сторону».
В Беларуси пока тихо. Но тихо — не значит «нас это не касается».
Кстати, повторы модели тоже любят.
Также кавычки употребляются при малейшем оттенке переносного смысла:
просто сменить «вывеску»
Также есть характерные приёмы с дефисами: «ACME-поддержкой», «ACME-сервера», «DV-сертификат». Неоднократно наблюдал подобное в машинной писанине.
Наконец, срабатывают детекторы:
Текст в целом неплохой. У меня такое впечатление, что поработала платная нейросеть с reasoning.
Но в первую очередь на машинность текста указывают именно фактические ошибки, которые человек допустить не может. К примеру, как указывали в комментах, хотя ZeroSSL рекомендован в тексте в качестве замены и альтернативы, его сайт с российского айпишника попросту не открывается.
Текст бессмысленный, уже из-за этого он плохой.
Проблема не из за того что LE что то может отозвать. Проблема системная и связана с тем, что контролируется инфраструктура Интернет одной страной. И лекарство от этого хуже болезни.
его сайт с российского айпишника попросту не открывается
У меня, кстати, открывается, хотя я свой адрес никакими средствами не подменяю. http://ip-api.com и https://whatismyipaddress.com/ верно меня задетектировали в СПб, включая имя ISP и номер AS.
Вот с тире обидно - похоже модель обучали на моих комментах
У Let's Encrypt нет технических средств именно для отзыва сертификатов. Они не предоставляют OCSP вообще. Так что серты просто будут протухать постепенно.
Сейчас общая позиция - миграция с OCSP на CRL. А их они предоставляют
step-ca — если нужен собственный внутренний CA с ACME-поддержкой.
Это американская компания. Они даже сидят в одном здании с Anthropic.
Сейчас ещё годовой EV Wildcard до двух по 180 дней сократили. Так что еще минимум два раза выпускать.
Собственно, даже дней уже не 90, а (пока добровольно, но...) , а 45, и дальше будет еще меньше.
Казалось бы, что у нас какой-нибудь Яндекс, vk или иной бигтех мог бы организовать свой УЦ и выдачу сертификатов, получив высокий уровень доверия и т.д. в том числе и в плане доходов, но нет же мы будим уже "бесплатные" услуги зажимать и пытаться выдавить последние ₽ и двигаться той аудитории, которая способна перейти на какой-нибудь self/home решения
В общем, если для себя - то свой УЦ и совместно с товарищами делаем доверие
Лучше бы посмотрели, не может ли помочь Азия.
Хорошая рекомендация :)
https://zerossl.com/
Access Denied: Selling and offering services through our platform are restricted in your region. Thank you for your understanding.
интересно Технический директор какого г.на этот Раханов константин. zerossl на весь ru навешал санкции издавна
ну и суть переврана полностью - правильный вывод - валите на нейтральные домены, пока не поздно.
Меня тут с моим нейтральным доменом (.ms) рег.ру послал куда подальше (перенос к другому регистратору, вроде его европейская дочка). Так что если ваш домен у российского регистратора - может иметь смысл задуматься о переносе его в другие края.
Я тут, внезапно, обнаружил, что за мой нейтральный домен (.me) российский регистратор драл с меня в 5 (пять) раз больше, чем Cloudflare, хоть перенести дали, не создавая проблем. А еще они в 2.5 раза молча цену повысили за треш-сервак (1 Core CPU / 1 GB Memory / 10 GB), который теперь стоит в 2 раза дороже, чем 4 Core CPU / 8 GB Memory / 150 GB сервер в США. Российский наебизнес, бессмысленный и беспощадный. Импортозаместили…
Чтобы молча цены повышали - я даже у вдсины такого не видел.
>российский регистратор
не защищаю, не агитирую, но разброс цен и внутри подмножества "российский регистратор" достигал 10Х. Много лет регал и ПРОДЛЯЛ ru домены по 99рупь, потом по 199. в том месте только недавно только 300 стало.
Ну я лопух просто, я чет уверовал, что на нероссийские домены наши реселлеры процентов 30 своей маржи накидывают и всё, с чем я был согласен даже, хотел поддержать. Но в 5 раз обдирать, это просто за гранью добра и зла. Я от этих бизнесменов сам ушёл и пару друзей утащил. У меня пригцип: не платить мудакам.
Очень по разному бывает. Я не помню, у кого раньше мой домен был, но их кто-то приобрёл и они цену задрали в три раза. Сложилось очень "удачно" - у меня как раз продление было на носу, потому перенос был невозможен. Пришлось заплатить, но потом ушел в рег.ру
Те за домен .ms деньги берут средние по больнице, у буржуев я видел продление от 50 до 150, сам плачу около 100$
Потому пока не дёргаюсь. Плюс всё же российский регистратор по санкционным причинам на мороз не выкинет, в отличие от зарубежных.
Я тут под привязку доменов к госуслугам решил домен .рф передать, который на меня зарегистрирован. У меня рег.ру, у реципиента р01 - вроде как партнёр ник.ру
Я получил код переноса, глянул в ник.ру - там 300 рублей берут за перенос домена. Пошли к реципиенту - ник.ру зайти позволяет, но говорит "вы не клиент, идите в р01". А р01 говорит "15 тысяч за перенос домена".
В итоге решили домен убить.
Ситуация накалилась уже давно, когда Let's Encrypt стал по сути монополистом в мире бесплатных сертификатов. Но как я вижу, все идет к тому, что наши сайты не смогут открываться без ручной установки корневых сертификатов от МинЦифры.
и не проживает на территории под полными санкциями США
Да разве ж это жизнь? А значит, и не проживаю!
Let's Encrypt больше не вариант? Обзор альтернатив