Comments 43
До сих пор доверие к сертификатам Let's Encrypt обеспечивалось благодаря промежуточному сертификату, перекрестно подписанному как корневым сертификатом Let's Encrypt, так и корневым сертификатом организации IdenTrust
Мне показалось, что сначала Let's Encrypt напрасно упомянула кросс-сертификацию, а при переводе усугубилась ситуация.
Могли бы подсказать, где там кросс-сертфикация? Обычный Intermediate CA на вид у LE сейчас, с Path Length Constraint =0.
Но о факте новости, конечно, грех было не рассказать.
- А есть российские/ белорусские сертификаты платные/ бесплатные? которые признавались хотя бы яндекс. браузером ?
- На сколько тяжело создать российский аналог Let's Encrypt, я так понимаю это т проект с открытым исходным кодом ?
- можно ли на 1 домен прикрепить 2 сертификата от 2х разных центров сертификации? Если можно то как будет выбираться основной сертификат и резервный/ дополнительный?
и очередным контраргументом против приобретения сертификатов у ЦС, занимающихся выпуском DV-сертификатов за деньги
ИМХО, главным контраргументом станет то событие, когда бесплатные сертификаты Let's Encrypt будут действовать год, а не три месяца.
chrome --ignore-certificate-errors
И вне зависимости от настроек, фазы Луны, сроков действия сертификата и ошибок в системном времени всё будет открываться.- Уменьшает ущерб в случае компрометации сертификата
- Дополнительно стимулирует ленивых технарей автоматизировать перевыпуск
Как раз очень удобно, что срок короткий — потому что это заставляет автоматизировать установку сертификатов (а это настолько просто и безопасно, что странно этим не пользоваться), тем самым уменьшая число ошибок при ручном деплое.
acme.sh с его stateless режимом:
acme.sh --issue -d example.com -d www.domain.com --stateless
acme.sh --install-cert -d example.com -d www.domain.com \
--key-file /path/to/keyfile/in/nginx/key.pem \
--fullchain-file /path/to/fullchain/nginx/cert.pem \
--reloadcmd "service nginx reload"
А чем вам «раз в 3 месяца» не нравится?
rm -rf / var/lib/software/tmp
(я про пробел).
Но вы впраче не верить, хотя acme.sh — это шелл-скрипт, его проверить легко. Не верите ему 9или certbot-у, или еще десятку альтернатив), так напилите такой же, протокол-то открыт.
Или, кто мешает, платите за
В промышленных дистрах (рх, дебиан) контроля всё-таки больше, хотя и туда закладки пропихивают.
А чем плох вариант, если лично вами написанный скрипт будет делать то же, по тому же протоколу, но — без риска взлома гитхаба
Вы же ротацию логов на сервере делаете не руками?
Если что-то может изменится — оно изменится. И рано или поздно это продление сломается. Да, может пройти 20 лет, но произойдет это точно.
Вы сравниваете контролируемый результат и неконтролируемый. Даже если rm -rf пройдет в релиз то после выполнения можно сразу убедиться что что-то пошло не так, чего не скажешь о продлении.
Имхо, пол года было бы самое то.
Ручками оно всегда надёжнее. Если люди рукастые, и если дел не очень много, и если все задокументировано.
Я не сомневаюсь в ваших навыках и памяти. Но вот вы заболели или уволились, и кто-то другой будет всю ручную рутину делать — наверное, тоже хорошо, но вдруг не так, как вы?
И уж я не поверю, что, делай они серты на полгода, вы бы без оглядки, а на 3 мес — увы, нет.
Написать скрипт плюс поставить мониторинг на серты (и то, и другое — просто must have), и живите себе. Платные ЦС, вообще говоря, не устраняют необходимость в этом.
Жду появления конкурента LE. Тогда уж точно конец торговле воздухом!
Поищите, есть примеры, как на тот Микротик впихивпют серты — прямо ваша ситуация )
Или вот, github.com/Neilpang/acme.sh/wiki/DNS-alias-mode ещё интереснее, DNS alias используется.
В общем, было бы желание )
Я смысла для веба не вижу. На моей памяти никто из юзеров не сказал ничего в стиле "о, эта компаний купила серт не того уровня проверки, я ей не верю". Даже зелёные EV сертификаты есть и есть, а вот что на них написано название компании — прикол, не более, разве что узнать можно, что магазином с громким именем владеет компания ООО Пупкин.
Сертификат всего лишь показывает, кто его покупает и кто управляет доменом. Доп. проверки тут просто бюрократия, за которую юзеры даже спасибо не скажут (не поймут потому что разницы).
С названием компании в строке сомнений быть не может.
Ой ли. Сколько угодно (в т.ч. и по https) есть фишинговых (грубо) sderbanck или mikrosofl. И все механизмы уверены, что все ок.
Получаем, что самое важное — чтобы человек проверял, куда зашёл. Проблема в прокладке, так сказать, и ее OV не решает.
Не могу утверждать, но что-то подсказывает что никогда не пропустят. Почитайте ответственность за ошибки в сертефикате и что за это грозит.
Ну и второе: какие есть критерии, чтобы мой сайт (условно) hadr.com не снабдили сертификатом, ссылаясь, что уже есть в природе habr.com. Домен мой (условно говоря), никаких ошибок.
EV — ваш выбор. Вы же крупная организация, можете себе и wildcard EV купить)
Теперь все основные списки корневых сертификатов доверяют Let's Encrypt