Comments 186
Продление доменов из той же оперы, маржа космическая, себестоимость околонулевая.
Это вообще классика, кстати!
Очень частая практика с доменом за доллар на год, а при продлении 24 (тип реальный кейс, недавний =D)
А у кого не так, вон, провайдеры домашнего интернета тоже предлагают первые месяцы за копейки, а дальше в разы дороже.
Тактика компании на r и дальше еще две буквы. Домен за спасибо 1 рубль, продление за тысячу рублей с копейками.
+++, но решается попыткой у них выбить AuthCode, чтобы перенести домен в тот же Beget. В таком случае рег.ру даст скидочку до более-менее удобоворимой рыночной цены.
А если не прокатит - Beget с радостью примет ваш домен по адекватному прайсу, и предоставит лучший сервис на рынке российского хостинга :)
Тоже сразу о них подумал, и это не лишено смысла, потому как тебе дали околопремиальную доменную зону за три копейки, что бы ты год попробовал раскрутить свой ресурс, а потом что бы не потерять своё детище - будь добр заплати теперь 33 копейки или даже более того)
А почему не называете имя? Не засудят же
Да и в целом домены в обычном интернете (.onion домены продлять вроде бы не надо, хе-хе).
Увы, из-за недобросовестных пользователей доверие к бесплатным доменам ниже, если вообще имеется, я думаю с таких рассылку почтовую не разошлёшь, это сразу спам будет.
Надеюсь, в следующей версии интернета (?) это как-то решится by design (ipv4 обязывает нас иметь домены для удобного пользования широкими массами, а ipv6 ещё хуже в этом плане).
Плата за домен больше заградительная. Если сделать цент за регистрацию, завтра же спекулянты отрегают все возможные слова и просто короткие комбинациии, и начнут продавать их за миллиончики, заблокировав полностью возможность регистрации осмысленных доменов. Даже сейчас, при дорогой цене и продлении, проблема спекуляции доменами довольно серьезная...
Кстати, да!
Так же, многие регистраторы - указывают цену при продлении, никаких притензий к ним нет.
Но встречаются кейсы, когда регистратор скрывает цену продления, ставя в самые невыгодные условия своих пользователей.
Из недавних примеров, с которыми я сталкивался - это отзывы на GoDaddy с трастпилота, где пользователи жаловались на космические иксы при продлении домена
а те кто указывает цену продления не указывает детальнее тк можно и на десять лет продлить а вот там начинается + .name с 00ых вообще одноразовый и если не продлил то всё в reserved и регистратору на это букакэ тк не его дело сообщать клиенту о рисках
Ну так-то и nic-ru сейчас что-то совсем как-то цены задрал. Монополистами себя почуяли, что ли, при отсутствии зарубежных регистраторов?
Да и фиг на них.
только .tel стоит своих денег
Вся доменная индустрия это один большой налог на воздух
Как-то купил домен в зоне .online за копейки, меньше 100 рублей была цена, через год автопродление -3800 с карты)
Блин, учитывая количество реакций под этой темой - я начинаю задумываться о том, чтобы раскрыть эту тему...
Она на самом деле очень объемная, ведь далеко не все сервисы являются официальными регистраторами домена, как минимум.
Они буквально выдают ресейлинг с конской наценкой - за официального регистратора
У платы за домены есть ограничительная функция. Дело в том, что осмысленные домены адекватной длины - конечный ресурс. И если сделать их бесплатными или по себестоимости, то ушлые люди просто приобретут себе все комбинации слов разумной длины и будут перепродавать. И остальным придётся либо платить, либо использовать домены выглядящие как пароли, что убивает идею доменного имени как более удобного идентификатора ресурса, чем IP адрес.
Платность доменов хоть как-то ограничивает киберсквоттеров.
Можно придумать, конечно, всякие другие ограничения типа "забираем домены, на которых ничего нет", но отдавать страницу заглушку ничего не стоит, а если требуем что-то осмысленное, то появляется риск злоупотреблений "кажется, вы недостаточно активно пользуютесь доменом, дайте денег, иначе заберём за неиспользование". Прецеденты есть в зоне .tk.
SSL сертификаты же в отличии от доменов не делятся на красивые и некрасивые, удобные и неудобные. Можно выпустить неограниченное количество сертификатов и все они будут выглядеть как одинаковый зелёный замочек в адресной строке.
если сделать их бесплатными или по себестоимости, то ушлые люди просто приобретут себе все комбинации слов разумной длины и будут перепродавать
То есть это ничем не отличается от текущей ситуации, где реселлеры продают премиум домены за миллионы.
Сейчас только премиум, а тогда будет весь словарь, этим отличается.
А в чем конкретная разница ? Ну набегут спекулянты, выкупят весь словарь, начнут продавать, организуют (уже есть) рынок, в итоге им придется мусорные домены продавать по мусорной цене (спрос устанавливает цену а не предложение вообще то, особенно на виртуальные товары)- для покупателя всё тоже самое минус искусственная монополия.
А зачем продавать по мусорной цене уникальные товары, если можно подождать год другой, пока не придёт кто-то, кому нужно именно это имя по нормальной цене?
Потому что тех кто может платить немусорную цену ограниченное количество, а деньги нужны сейчас, как минимум сторэдж на это амортизируется, а как макс ещё и обязательное телодвижение в сторону каких то сервисов, типа keep alive. Я только в такой системе не понимаю кто будет на рут сервера донэйтить.
А чем обосновано тогда более дорогое продление?
Ну в целом это не так уж и плохо, можно будучи стартапом взять нормальный относительно "красивый" домен, а если ты взлетел, то такая плата уже копейки, а если не взлетел - не будешь это красивое место занимать, опять же.
Я работал во множестве компаний, с самыми разными IT продуктами и подходами к бизнесу, от геймдева до хостинга, могу с уверенностью в 100% сказать, что более высокая цена при продлении - строго для "окупа" клиента и заработке на нем.
Приведу примеры, с которыми сталкивался лично я:
Не имея достаточное количество клиентов или желание заработать больше денег - приводит к "гнидской системе маркетинга", где моя ex компания (в моем случае хостинг-провайдер) - предлагает цену в условные 2 доллара в месяц на год НЕ УПОМИНАЯ о том, что следующий год ему обойдется в 5-10 баксов за месяц (Привет GoDaddy, SiteGround, HostGator, InMotion и вообще практически ВСЕ).
Могу отметить, что сейчас большинство провайдеров мелким шрифтом пишут цену при продлении, хотя год-два назад все было сильно хуже.
Проблема в том, что эти компании не только являются чуть ли не монополистами на рынке более 20 лет, они практически не меняют свою инфраструктуру и вкладывают огромные деньги в маркетинг. Но с приходом новых хостинг-провайдеров, с ахуительно инфраструктурой, поддержкой, прозрачным ценообразованием - они вынуждены прибегать к маркетинговым уловкам, предлагая лоу прайс, надеясь, что потом это окупить при продлении...
Я понимаю, что на ХАБРе, условно, все знают, насколько легко мигрировать свой проект на другой хостинг за бесплатно, но Дядя Петя с соседнего двора об этом не думает, ему еще его дед в 2000 подсказал взять план у какого GoDaddy.
Маркетинговые уловки можно победить огромным бюджетом и более выгодными условиями, что мы и пытаемся сделать.
Отсюда вытекает следующий пример НАШЕГО ценообразования:
1. Мы не повышаем цены при продлении НИКОГДА, хоть через два года - цена будет такой же, если ты "продлеваешь", а не берешь новый сервис план.
2. Мы компенсируем все неиспользованные месяца на старом хостинге клиента (Кстати, к нам очень часто бегут именно с GoDaddy и SiteGround =D).
3. Предлагаем из коробки то, что ни один провайдер в мире не сможет предложить, в силу "не такой пиздатой" инфраструктуры, по типу защиты SecurityHeaders A+ даже на бесплатном плане.
4. Бесплатный хостинг, единственным ограничением которого является - 125 метров.
Но никакой рекламы на сайте, такая же, топовая скорость загрузки сайта (до 1.5 секунды в среднем) и защиту уровня А+
Такой подход к бизнесу, через клиента, а не мимолетный заработок - зарабатывает самое дорогое, что есть на рынке - лояльность клиента.
А еще - рождает конкуренцию, где остальные провайдеры в страхе потерять доход - вынуждены создавать максимально профитные условия для клиентов, чтобы их не потерять.
А вы правда думаете, что если не будете следить за своим языком, то пользователи поверят, что вы держите своё слово? Кто ваша ЦА? Гопота из Купчино?
А ну да, продление по такой же цене всю жизнь. НДС вам тут воткнули 22% - тоже понимать не будете?
При продлении - цена не увеличивается даже в том случае, если цены на новые тарифы возрастут, в этом вся фишка
Мы можем позволить себе и 40% скидку, работая в ноль или минус, поток новых клиентов - покрывает все расходы. Ну и опять же, стоит ли говорить, что изначально все делалось и делается для людей, а не с целью заработать?
Можно выпустить неограниченное количество сертификатов и все они будут выглядеть как одинаковый зелёный замочек в адресной строке.
и это проблема. Смотри мое сообщение. Отличить фейк сайт однодневку со скамом от настоящего сайта становится по замочку невозможно. А че такого - зато все соединение шифровано и скрыто от товарища майора и провайдера (это, кстати, добро, потому что всякие Мегафоны оборзели инжектить рекламные джаваскрипты в плоский хттп трафик)
Для решения проблемы сквоттеров не обязательно использовать плату. Достаточно брать залог. Технически. На практике это может оказаться сложно.
В залог твою жизнь, почку и ребенка. Оказался сквоттером - все обнуляется. Беспроигрышный бизнес для регистратора ) больше власти )
В целом это же все контролируется отчасти регистраторами доменов. Именно они отвечают, но учитывая, что регистраторы в разных странах, то и к доменам разные требования. Где-то паспорт требуют и верификацию, а где-то просто можно купить доменов пачку вообще без ничего. Вот УЦ отчасти должны были решить эту проблему верификации владельца ресурса, но как видим - нет. И судя по всему ничего в ближайшие 20 лет не поменяется на этом рынке…
Для кого это? Васяны и так давно и плотно в LE. А банкам эта статья мало интересна. Проверил два случайных - jpm и citi, оба в DigiCert.
Я поставлю на то, что автор креатива таки не в курсе каких-то кровавоынтырпрайзных нюансов, а не "в банке дурачки сидят".
Попал в точку про банки.
Статья для 95% сайтов, которые переплачивают за SSL ради "зеленого замочка". Банки - другая история, у них compliance из 2015 года, обязательные списки CA от регуляторов, SLA с живой техподдержкой.
JPM и Citi платят DigiCert не потому что он лучше, а потому что так написано в их security policy. Менять эти политики - реально геморрой на годы.
Но даже там стоило бы пересмотреть - многие требования просто устарели.
Я считаю проблемой то, что многие не разбираясь (и не пытаясь) в вопросе - просто ведутся на маркетинговый скам.
Мы - знаем за LE, но я тебя уверяю, многие в целом никогда с SSL не сталкивались, хотя блоги и простенькие сайты у них есть.
Покупал в древних годах мегафон сим карту за 135 условных енотов. Потом акция, мегафон лайт всего за 45 у.е. Кто не в курсе, это цена за саму сим карту, на счету 0. Не ведитесь на этот развод больше, сим карты почти бесплатны. Пользуйтесь бесплатно. Перестаньте платить за то, что должно быть бесплатным. На дворе 2025 год.
Интересно, что Let's Encrypt — фактический монополист рынка сертификатов с долей, которая упомянутым злодеям и не снилась. Чем мы защищены от потенциальных злоупотреблений с его стороны во времена, когда работа только по HTTP губительным образом влияет на выдачу сайта в поисковиках?
Да, Let's Encrypt монополист, но ЭТО ДРУГОЕ =D
Если раньше были взвинченные цены и барьеры для входа, то Let's Encrypt некоммерческий, открытый код, бесплатные сертификаты по определению. Если завтра "даст ебу", то есть ZeroSSL, Google Trust Services, плюс любой может поднять ACME-CA.
Суть в том, что он не создал дефицит, а решил проблему. Это монополия эффективности, а не жадности, как по мне.
многие сайты этой монополии не открываются именно из-за ssl
Простите, я не очень копенгаген в энтих ихних чейн-оф-трастах.
Если я подниму ACME-CA, насколько я могу быть уверен, что любой хром на планете будет без вопросов принимать выданный им сертификат, а не пугать Джона Доу воплями про доверие к этому шлаку на его собственный, Джона Доу, риск?
Не он решил проблему, а те, кто впустил его на рынок (добавил корневой сертификат в браузеры). Google, Mozilla, Apple, Microsoft.
ACME-CA поднимать мало пользы за пределами своей организации, потому что мало публичный CA поднять, надо ещё добавить его во все популярные браузеры, либо добиться подписи от кого-то из существующих игроков.
По сути нужно будет проходить весь путь, который прошёл LE, кроме разработки софта.
Нет, не другое. Повальный HTTPS и Let's Encrypt как следствие - это рак современного Интернета. Это неслыханные возможности отключать неугодных по щелчку пальцев.
Если бы только в поисовиках. Многие новые JS API без SSL просто не доступны. Например, нативная криптография. Приходится извращаться через sslip.io
zerossl
buypass
sslcom
google
Дык вся система доверенных сертификатов утопична. Есть какая-то компания, сертам которой мы безоговорочно доверяем.
Мы надеемся, что она бесконечно честна и не будет использовать наш трафик в своих целях. Так же мы надеемся, что компания максимально безопасна. И её приватный ключ от корневого сертификата хранится в бункере глубоко под землёй и не будет скомпрометирован никогда.
А как без этого быть?
Не шифровать - так появятся желающие добавить свою очень важную информацию в трафик (тех же мегафон и билайн - на этом - ловили).
Не используйте nginx, используйте caddy. В caddy lets encrypt из коробки.
В nginx встраивают
https://blog.nginx.org/blog/native-support-for-acme-protocol
Caddy для отладки – просто кайф. И конфиг простой (привет апачу), и создание сертификата для отладки и подключение его в систему – из коробки.
Nginx Proxy Manager
Я однажды пару лет назад поел говна с caddy на хабраэффекте, когда на сайт люди тысячами перли — он тупо намертво зависал без каких-либо сообщений в логи и не оживал до перезагрузки. Тогда это было связано с потерей денег, поэтому caddy — больше никогда. Nginx на том же сетапе доработал без подобных проблем с трафиком X10 от того, на котором caddy умирал.
А в чем бизнес-модель Let's Encrypt? Халява при капитализме всегда означает мышеловку, там, где тебе дают что-то бесплатно - там ты товар. Не будет ли так, что с "темной стороны" Let's Encrypt тупо продают ключи от чужих сертов спецслужбам и прочим богатым клиентам? Тем более, что сейчас по всему миру работают DPI как от полиции, так и от коммерческих структур, и всем ооочень интересно в шифрованный траф залезть...
Let's Encrypt живет на донатах от Mozilla, Google, Facebook.
Их бюджет $7 млн в год, по сути - копейки для спонсоров. Им выгоден безопасный интернет = больше пользователей онлайн-сервисов.
А продаха ключей - технически невозможна. Let's Encrypt не видит ваши приватные ключи, они генерируются на вашем сервере. CA видит только публичные ключи.
DPI и прослушка... Ну тут уже проблема не Let's Encrypt, а TLS в целом. Если спецслужбы лазят в трафик - это касается всех провайдеров SSL, не только бесплатных.
>А продаха ключей - технически невозможна.
Вы, сударь, как будто не в курсе про прикольчик с jabber.ru и хетцнером.
Просто выпишут на то же имя другой, а пиннинг никто не делает.
Ахахаха, про jabber.ru - прям зачет =D
Но тут фишка в том, что выпустить левый сертификат и заставить всех ему поверить - это две большие разницы. Нужно еще DNS угнать или MitM делать.
А после того как Symantec в 2017-м палился на левых сертификатах, доверие к "премиальным" CA вообще упало. Let's Encrypt тут не хуже проверяет.
Так что проблема не в том, бесплатный сертификат или платный, а в общей архитектуре PKI. Но это уже отдельная большая тема)
Просто выпишут на то же имя другой, а пиннинг никто не делает.
Расскажите по-подробнее. Я помню, что некоторое время назад браузеры стали проверять отзыв сертификата запросом в удостоверяющий центр.
Но тут владелец серта должен явным образом серт отозвать. Чтобы мошенник оказался с невалидным сертом и браузер увидел это.
Я не в курсе. (И думаю не только). А можно подробнее?
Им выгоден безопасный интернет
установка ssl серта на веб (например) не делает интернет безопасней. ботнет так же регает скриптами под ключ доменное имя для СС и серт.
Повсеместный SSL мешает школьнику подключившемуся к бесплатному WiFi увидеть все пароли всех остальных клиентов, инжектить им в веб-страницы вредоносные скрипты и т д.
Также SSL ограничивает возможности операторов связи вмешиваться в трафик, например, врезая в страницы рекламу (прецеденты были).
Наконец, немного осложняется работа РКН.
да, все так. но сильно лучше от этого не стало. начались приключения с шифросьютами на разных ОС, CRL и прочие приседания.
так-то раньше до форсирования https гуглом (который владеет приличной частью LE, емнип около 50+%) вменяемые люди все логины-карточки-пароли и так по https передавали.
а вот то что теперь котики по https стали, что повысило мировой выхлоп на декодинг ssl (гусары молчим про ossl3) на 30% (условно) CO2 все молчат.
Почти всё это прекрасно решалось во времена до повального HTTPS и только там, где реально нужно. Единственная полезная побочка в усложнении для РКН, но это опять же не та вещь, которую следовало бы рассматривать в "правильном" мире, бгг (а рассуждения "интернет безопасней" из этой оперы как раз).
А в чем бизнес-модель Let's Encrypt?
Писали что цель - устранить провайдеров из пищевой цепочки по продаже данных. Когда 99% сайтов было по HTTP, провайдеры так же могли участвовать в продаже больших (типа обезличенных) данных, сейчас же их отключили от пирога.
Т.е. грубо говоря - собрались большие дяди, которые живут за счет торговли данными (все знают что Chrome это Spyware по сути) - и решили устранить конкурентов.
Всяким гуглам и мордокнигам надо было быстро перевести весь инет на SSL. ибо операторы (в основном крупняк/опсосы) вырезали одной только гугловой рекламы на миллиарды денег и вообще массово дискредитировали интернет и приватность убивая онлайн бизнес.
Бизнес-модель у Гугла, который хочет стать синонимом Интернета. А для этого неизбежно нужно и полностью неокупаемые (неочевидно окупаемые? не сразу окупаемые?) решения выкладывать. Безопасность пользователей тут так, красивые слова, иначе они бы не убивали OCSP Must Staple в угоду древнему CRL.
А зачем владельцы "чужих" сертов отправляют LE свои закрытые ключи, чтобы у последнего была возможность их продавать?
Или если не отправляют, то откуда они берутся у LE?
"что делают claims практически невозможными". Мне так китайский чатик часто отвечает - то слово на английском вставит, то иероглиф на китайском
Балдежный нейм =D
Я понимаю, просто общаясь с людьми, читая и создавая контент на английском, 24/7, буквально - границы между языками "смазываются". Надеясь на понимание я все чаще прибегаю к англицизмам, сорян.
Но я не стану врать, с переводом моего же материала мне иногда помогает как мой коллектив, так и всевозможные нейросети
Ну тогда у меня видео есть :)
По поводу стоимости серта в 200$
Стоимость должна быть такая, чтобы у условного владельца (или владельцев) центра сертификации не появлялось желание сделать фейковый сертификат банка, за раз поднять несколько сотен миллионов баксов и свалить в закат в страну без экстрадиции. И чтобы денег хватало обеспечить безопасность процессов и инфраструктуры так, чтобы рандомные сотрудники не могли такое провернуть. И тут стоимость сертификата получится наверное уже не 1$ за штуку.
Добавлю, что сертификат LE ничего толком не удостоверяет.
Только то, что в какой-то момент времени доменное имя указывало на IP адрес, при обращении к которому со стороны сервера LE кто-то отдал верный код.
То есть вы можете даже владеть доменом, но где-то по дороге трафик могут отвернуть (осознанно, или из-за ошибки в bgp) и кто-то другой получит сертификат на ваш домен.
Сертификат LE конечно лучше, чем ничего, но это не очень серьезная гарантия.
Простите, а что удостоверяет тот же GlobalSign DomainSSL? Разве не то, что вы описали, но только за деньги. К тому же сейчас получение сертификата зачастую связано не с какой-то защитой сайта, сколько с пессимизацией сайта без https со стороны поисковых систем.
К тому же сейчас получение сертификата зачастую связано не с какой-то защитой сайта, сколько с пессимизацией сайта без https со стороны поисковых систем.
Будем честны - нет, не только поэтому, а еще и потому что владелец сайта (ресурса) желает, чтобы пользователь ресурса видел его именно так, как владелец задумал. А еще чтобы никто не мог вмешаться в трафик по дороге.
Обычные платные SSL сертификаты без EV удостоверяли примерно то же самое. А EV стоил ещё дороже.
чтобы у условного владельца (или владельцев) центра сертификации не появлялось желание сделать фейковый сертификат банка
Это для всех нотариусов так. И кроме того не так то просто внести свой серт. в список рутовых для всех ОС по умолчанию (с завода, скажем так). Каждый год нужно проходить аудит, пишут стоимость около $150 тыс. Т.е. отбить стоимость аудита - нужно продать хотя бы 10 тыс. сертификатов, а ведь могут и не купить столько...
Про Let's Encrypt уже писал в чем их выгода.
Важным драйвером покупки платных сертификатов является тот факт, что сертификат Let's Encrypt действует 3 месяца, а коммерческий - целый год. Да-да, есть certbot, однако с ним частенько бывает тот или иной геморрой.
Да и, что и говорить, $15 в год это не та сумма, из-за которой среднестатистический бизнес будет переживать. Вот решит сейчас какой-нибудь гугль, что нефиг сертификаты действующие дольше 3х месяцев выдавать - а то иначе и сесурити не сесурити, вот тогда-то AlphaSSL-капец и наступит.
решит сейчас какой-нибудь гугль, что нефиг сертификаты действующие дольше 3х месяцев выдавать
Гугл - вряд ли. Они же это все и придумали - чтобы не делиться данными с интернет-провайдерами.
Вы не поверите.. https://servernews.ru/1121360
За последние лет наверно 5 использование сертификатов LE стало сильно удобнее. Кроме cerbot, сейчас появилось достаточно много скриптов для получения и обновления сертификатов, которые сильно проще и легче, тот же getssl К тому же достаточно много хостеров берут заботу о перевыпуске на себя и владелец сайта вобще не лезет в эту "кухню" и вся настройка с его стороны заключается в установке флажка "сделать безопасно" в панели управления.
>флажка "сделать безопасно"
правда по факту нифига не безопасно ) пиннинг конечно-то никто вам не сделает.
дядя никогда напрягаться не будет. тут у Селектелов на днях рассылка была - обосрамс эпичнейший - в образ proxmox примерно полгода был зашит ssh ключ, а как известно у проксмоксов он же в authorized_keys добавлен.
после такого харакири надо делать, а они сидят втихушку с покерфэйсом )
Плюсую за getssl, очень удобный скрипт (а certbot я до сих пор побаиваюсь, наверно из-за bot в названии — пускать такое на сервер неохота).
Именно так! В сложных системах переустановка сертификата может означать даунтайм в минуты, что вроде и немного, но напрягает. Когда-то я покупал сертификат на ТРИ года, сейчас максимум год (оплачивать можно больший период, но раз в год перевыпускать надо); и собираются ещё уменьшать, шкодники.
Ну, вот тогда исчезнет последний резон платить $15 в год.
коммерческий - целый го
Коммерческие УЦ будут только рады снизить этот интервал.
$199 за файл.
В мире десктопа сейчас такая же срань, только на максималках. Не 200, а 400, не файл, а ещё будь бобр 200 за железку (с 2023 года сертификаты выдаются только на носителях) и 120 за отправку. Итого 720 - получите и распишитесь. В год, да.
А ещё надо для OV/EV сертификатов иметь офис компании, просто для того, чтобы тебе этот сертификат сделали. Здорово, правда?
А, да. Если делаешь кросс-платформ, то надо ещё эппл отдельно. Ещё 100.
А, да. Если делаешь кросс-платформ, то надо ещё эппл отдельно. Ещё 100.
Но если делаете через маркеты (Microsoft Store, Apple Store) - то сертификат отдельный не нужен же. Это если exe/dmg-свой по старинке как бы...
Ровно наоборот. Для публикации на маркетах подпись приложения обязательна. И если на своём сайте я могу бинарь подписать личной подписью или вообще на подпись забить - то с маркетами такая схема не прокатит.
В маркете платите за регистрацию:
Microsoft Store - бесплатно.
Google Play Store - $25 разово.
Apple App Store - $99 ежегодно.
Т.е. можно легально распространять софт с минимумом затрат.
своём сайте я могу бинарь подписать личной подписью или вообще на подпись забить
А вы попробуйте сделать .exe файл без подписи, скачать с сайта и запустить на Windows. Просто так запустить не даст.
А вы попробуйте сделать .exe файл без подписи, скачать с сайта и запустить на Windows. Просто так запустить не даст.
Пробовал. Просто так не даёт. Надо ткнуть кнопочку "всё равно продолжить". Это, конечно, сложно, но ни в какое сравнение с запуском на маках не идёт.
ткнуть кнопочку "всё равно продолжить"
SmartScreen передает привет. Нажми, что доверяешь. Нажми ещё раз, что все равно запускаешь. Ой, нет, вы запускаете exe'шник, требующий админ. прав, из-под Program Files? Сорян, ничем не могу помочь. Есть команда: sudo pwsh Unblock-File *.exe - но я вам её не подскажу.
ещё надо для OV/EV сертификатов иметь офис компании, просто для того, чтобы тебе этот сертификат сделали
Конечно, здорово - можно любого разработчика найти и дать ему в морду. Конечно, некоторым разработчикам это не нужно. Тогда и вопрос зачем их поделия ставить.
доброго всем. скажу за LE - по роду работы иногда приходиться обслуживать сайты организаций, и с удивлением обнаружил (неоднократно) выдачу сертификатов LE за денешку, порядка 6000₽ в год. звонки к хостерам ситуацию прояснил - они, все без исключения, выдают и продлевают сертификаты LE абсолютно бесплатно и автоматом, обращение к создателям сайтов рассмешило - да, берём денешку за серт, но без него сайт будет незащищённым :))) но только давал понять, что я в курсе происхождения сертификата сайта, то поборы сразу прекращались.
Я wildcard сертификат для домена организации за 34000 руб. покупаю на 1 год. Хотя знаю, что сейчас и на Госуслугах можно бесплатно для ЮР лиц получить, но это остаётся пока как запасной вариант. Всё-таки, пока ещё не у всех корневой от минцифры в доверенных.
И тут выходит такой минцифровый, весь в белом, бесплатный
Всё так и есть, но всегда есть ньюанс. Например куча старого оборудования и софта никак не предназначена для автоматического обновления сертификатов, и не прикрутишь это никак нативно. Можно конечно вешать прокси перед системой, но это уже костыль. А что делать с не-веб системами с сертификатами? В итоге, все ещё приходится покупать что то на год, потому что делать это все мануально раз в 3 месяца напряжно. Благо, как заявили, все сертификаты к 27-му году будут выдавать не более чем на 40 дней. Вот именно это окончательно убьет индустрию продаж. Когда не будет выбора ,и все равно придется обновлять раз в месяц+, покупать уж точно никто не будет. Сейчас некоторые крупные финансовые компании до сих пор грешат тем, что заставляют чтоб при интерконнекте у контрагента были дорогие сертификаты с доп проверкой и т.д., думаю это скоро останется в прошлом.
Вы не поверите - для обновления сертификатов LE собственно работающий сайт с каким-то "старым софтом или оборудованием" вообще не нужен.
Вернее, нужно чтобы при обращению к site.where.it оно отдавало некую последовательность байт одним из способов - а сам сертификат потом вы можете куда угодно применять, хоть к этому веб-сайту, хоть не к веб-сайту, хоть на старинном оборудовании.
Не говоря уже о том, что если это совсем не веб - существуют самоподписанные сертификаты, которые нормально работают с ssl библиотеками.
Да что вы говорите? А я вот хотел верить (сарказм). Самоподписные сертификаты это геморой с деплойментом root-сертификата на клиенты. Я вам сейчас открою секрет(наверное), но для получения LE сертификата, вообще не нужно чтоб он обращался к сайту, достаточно проверки по DNS. Еще раз - не всё так просто. Не всё поддерживает автообновление сертификатов. Делать костыли можно, но точно не нужно, если оплата 15-20$ в год. Поэтому я и написал, что при грядущем сокращении сроков, смысл в покупке отпадет. Но никто не будет менять оборудование за которое заплатили кучу $$$ и которое не поддерживает автообновление, а тупо придется ручками заливать или делать костыльные скрипты.
Самоподписные сертификаты это геморой с деплойментом root-сертификата на клиенты.
Будто пакет ca-certificates не надо обновлять. Или может попробуете зайти с ХР в интернет сейчас ? Или со старого андроида. Очень удивитесь. Просто в ОС массового назначения корни попадают через обновления, а жизненный цикл ОС - лет 5. Так что - шило на мыло, можно и со своими корнями поколдовать. С ними другая проблема - что у каждого вонючего приложения может быть свое хранилище, при чем обоснованность этого не очень высокая. Безопасность ? Ну, смешно.
Будто пакет ca-certificates не надо обновлять.
Рассуждая о 'сферической ситуации в вакууме'
Вообще говоря, для 'оборудования' имеет некий смысл не только корни обновлять но еще и mTLS включать и клиентский сертификат в клиента вливать. Чтобы в это самое оборудование кто попало не ходил.
А если оно именно публичный доступ имеет - то хотелось бы примера этого самого 'Устаревшего и публичного', чтобы ситуация стала менее сферической.
Можно конечно вешать прокси перед системой, но это уже костыль
Не костыль ни разу.
некоторые всем известные регистраторы продают даже возможность отредактировать DNS. казалось бы я домен купил, - а нет, купи еще его редактирование.
Арендовать (а не купить - кто вам сказал, что вы покупаете?) и обслуживать домен это немного разные понятия.
хорошо, если вам нужна правильная формулировка, пожалуйста: я купил аренду домена на год.
но непонятно другое, причем тут разница в этих словах и то, что я сказал.. и то, что вы сказали? если я купил домен, я должен иметь возможность делать с dns-записями что хочу, а не платить за некое дополнительное обслуживание. иначе, зачем мне вообще домен? тоже самое, если бы вы заселились в гостиницу и вам бы продавали услугу использования туалета в номере отдельно.
а туалет тоже обслуживать надо, че
" я должен иметь возможность делать с dns-записями что хочу, " - а кто Вам это мешает? Делаете это без проблем на своем ns сервере.
Но регистратор может включить в стоимость аренды так-же и обслуживание домена, но видимо не всем это нужно.
Кажется, вы не совсем понимаете техническое устройство DNS. Любой регистратор даст вам управление NS-записями вашего домена. Большинство также готовы предоставить вам бесплатное обслуживание зоны для вашего домена, но это не обязательное условие для обслуживания. Хотите управлять зоной - направляйте NS на свой DNS сервер. Регистратор может не поддерживать все возможные типы записей современного DNS (а их достаточно много, особенно с учётом DNSSEC)
Так что, у нас один Let's Encrypt из бесплатных? Звучит как очередная монополия.
Себестоимость выдачи одного сертификата:
Серверные мощности: $0.01
Электричество: $0.001
Время персонала (автоматизировано): $0.50
Инфраструктура центра сертификации: $0.10
Итого: $0.611
браузеры не доверяли бы их сертификатам без прохождения длительного и дорогого процесса
Не оспариваю саму суть статьи - у меня нет достаточных данных, чтобы делать выводы. Но уровень фактов в статье низкий, а эмоциональность избыточна. Как будто с трендс перепостили.
они буквально обоссали всю их бизнес-модель.
в оригинале
it made their entire business model obsolete.
уровень перевода я вам скажу...
Все бы ничего, но статья не про все рассказывает. Где история про StartCom и WoSign?
На старой работе когда нужно было обновить или установить сертификат у хостера nic.ru, просили 6к, забавно. Спустя 2 года я подрос как разраб и делаю это бесплатно через certbot. Недавно вспоминал как хостеры на копеечку нагревали. Единственный нормальный хостер в этом плане, это Джино, у них бесплатно по клику на кнопку он выдавался.
На самом деле - сейчас все больше хостеров переходят на бесплатные сертификаты и перестают нагревать пользователей на бабки, правда, в основном - это новые хостинг компании с другим подходам, которым важен клиент "в долгую", нежели "мимолетная прибыль".
Мы, кстати, гонимся за клиентами, а не прибылью, например
Главный вывод - индустрия безопасности, как и любая другая, построена не на реальной безопасности, а на продаже чувства безопасности, и пока люди готовы платить за "зеленый замочек" и "гарантию в миллион долларов", этот развод будет продолжаться
Да, все верно. Далеко не только "индустрия безопасности".
Глотком свежего воздуха являются компании, которые "из коробки" предоставляют и топовую защиту и скорость, найти такого провайдера - просто имба.
Вот только в сфере VPS и Dedicated - всегда будут предоставлять "доп опции" за оверпрайс (как мне кажется)
"буквально обоссали всю их бизнес-модель"... пытаюсь подобрать глагол, в котором сделана описка, чтобы получилось "обоссали" Не получается.
Можно сюда же добавить ещё сертификаты для подписи кода и скам-конторы типа SSL.com, которые, взявши несколько сотен долларов за сертификат, ещё потом и продолжают списывать деньги с карточки, не давая её удалить корректно.
Всё хорошо, но не помешала-бы инструкция или ссылка, как самому настроить/продлить сертификат для домена.
С командами и пояснениями.
Иначе, для кого эта статья, если человеку платящему 100$ не сказали, как их сэкономить, но намекнули, что их нужно сэкономить.
Make sense...
Изначально - статья является переводом, где я упустил эти моменты, но это ПИЗДЕЦ, какое грамотное замечание, грац
getssl тут же на хабре про него писали, ну и само руководство на гитхабе вполне подробно
ИМХО, тогда надо не "тут же на Хабре" и где-то на "гитхабе" , а хотя-бы ссылки на Хабр и гитхаб.
Интернет на то и интернет, чтобы на страничках были ссылки по теме, если лень писать самому то, что "известно всем".
для тех, кто не умеет пользоваться поиском
getssl:
Проект на гитхаб
Быстрый старт
Вот с хабром, да моя ошибка, исправляю:
Русскоязычная инструкция
Для разнообразия, помимо упомянутых, вот есть инструкция для acme.sh. Из интересного, описано использование DNS alias для получения сертификата на домен под контролем регистратора без API (соответственно, через alias-домен у регистратора с API). Бонусом приводится (топорный) вариант распространия сертификата по внутренним серверам.
Автор оригинального текста, ты идиот.
Почему? Потому что LE это способ Гугла убить все и подмять под себя. Сам по себе "прекрасный" LE использует уродами вроде всяких скамеров для создания бесплатных сайтов с фишингом, казино и прочими прелестями жизни, так как проверка идет только по http. Был бы фильтр в виде "покажи документы" - уже было бы попроще жить. А, кстати, мы только что описали вот те самые дорогие OV сертификаты. С ручной верификацией, угу. А ничего - что поддержка структуры УЦ и правильного списка отзыва сертификатов денег стоит? Бесплатный сыр только в мышеловке бывает, правда? Другой вопрос, что даже платные и коммерческие УЦ не всегда играют по правилам. Был же уже скандал и не один - вроде такого https://www.opennet.ru/opennews/art.shtml?num=48166
Но значит ли это, что секретики нужно доверять открытым проектам вроде Let's Encrypt? Ну, вряд ли.
С точки зрения эксплуатационщика у меня есть претензии и к платным вручную распределяемым сертификатам и к LE.
LE: низкие рейт лимиты, так что если ты был недостаточно умен, что бы делать DNS проверку (а не HTTP) и выписывать вайлдкард на все сервисы, то в случае переезда с хостинга на хостинг, ты можешь просто встрять. Сертификат не выписать (!) А если спросите где старый - ну, предположите, что прошлый хостинг вас кинул и выкинул на мороз. С концами. Такие дела. Что делать? Ну, приплыли.
Платные сертификаты: ручной процесс выпуска и деплоя со всеми вытекающими последствиями. Очень высокий риск человеческого фактора (забыли обновить). Зато надежно ))))
Let's Encrypt сломал эту модель, доказав, что SSL‑сертификаты могут быть бесплатными, автоматизированными и более безопасными, чем дорогие альтернативы.
да, в частности, в момент, когда ты понимаешь, что у тебя сертификат не продлился потому что
cert-manager сломался
а cloudflare (dns challenge через который ты сделал) обновил API
it's genial. Закрывается мониторингом. Но будем честны - на горизонте 3 месяца до выпуска нового сертификата - кто будет этим морочиться?
Вступление - гениальное, считай, что байт сработал.
Ну погнали...
По поводу фишинга и скамеров: проблема не в том, что сертификаты бесплатные, а в том, что вся система DV-валидации (включая платную) проверяет только контроль домена. Скамеры и с платными сертификатами прекрасно работали и будут работать, если возникнет такая необходимость, KYC даже если внедрят - найдут дропов или купят доки.
По OV-сертификатам: да, они показывают название компании в деталях сертификата. Но практическая польза близка к нулю - 99% пользователей этого не проверяют. А EV-сертификаты даже браузеры перестали выделять.
По рейт-лимитам: это действительно может быть неудобно для девелопмента, но зато защищает от злоупотреблений. Лимиты для прода вполне адекватные - 50 сертификатов на домен в неделю.
А касаемо надежность, после скандала Symantec в 2017 доверие к "премиальным" CA только упало.
LE не идеален, но для 95% задач он решает проблему безопасности бесплатно и автоматически. А оставшиеся 5% случаев можно решать более точечно
Это все охуенно, до момента когда crl / ocsp letsencrypt отрубится и половина интернетов ляжет. Такие вещи должны быть диверстфицированы, и, конечно, есть системы в которых не прикрутишь замену сертификата через консоль. Дохера закрытых систем, где нужен публичный серт, но производителя не ебет как ты будешь его туда пихать, он предусмотрел только вэб интерейс где генерится реквест и загружается ответ. Делать это каждые три месяца - пиздец. Если сотку стоит делать это раз в год - нет проблем.
Ну и в летсенкрипт я не могу заказать вайлдкард, по-моему
Окстись, бро, в LE очень даже можно вайлдкард. Но… как я выше писал. Только через dns challenge.
Ладно если веб. Например есть Эксч. Есть ПРТГ. Есть всякие xWallы. И всякие мелкие вендоры. Куда принимается только опред формата. С выровненным правильным чейном. Загружаются только через отдельную приложуху только с гуем. В красный день. По праздникам. И загружают это индуские девственницы в полнолуние.
При ценнике админа в стиле 20-100 евро час, проще раз в год вайлдкард обновить во всех системах ручками :)
ЭТО РЕАЛЬНО АБСОЛЮТНЫЙ контроль: они устанавливали цены (всегда высокие), контролировали стандарты проверки (всегда медленные) и решали, кто может войти на рынок (почти никто).
Проект назывался Let's Encrypt, и он уничтожил бизнес‑модель индустрии SSL‑сертификатов за одну ночь.
Интересно получается, с одной стороны "абсолютный контроль" (с), а с другой - " обоссали всю их бизнес‑модель" (с) за одну ночь.
Интересно почитать историю ISRG в целом и проекта Let's Encrypt в частности: кто эти слоняры, как, зачем и почему они это сделали.
Выше уже в общем-то несколько раз сказали, но я тоже подчеркну.
Знаете, в чем проблема этих рассуждений? В том, что это не оправдание: пользователей нужно обучать, а браузеры делает кто? Правильно, Гугл, который и спонсирует LE (и Мозиллу кстати), желая убить конкурентов. Нормально было бы, чтобы браузеры и показывали это, и предупреждение давали. Причем более того, показывали сертификаты разного уровня разным цветом.
Потому что суть НОРМАЛЬНОГО центра сертификации с НОРМАЛЬНЫМ сертификатом - именно в том, что он проведёт ЮРИДИЧЕСКИЕ процедуры по установлению того, что ж там реально за контора находится на том домене. И да, это реально денег стоит. Причем их должно быть несколько на рынке, чтобы была конкуренция - монополия плохо для всех, в том числе монополия LE.
Собственно, то, что делает LE, к реальной безопасности имеет отношение примерно никакое (а проблем в комментариях уже наперечисляли), потому что их всё это не заботит, и точно решалось в куче протоколов (привет SSH), да и в самом вебе, уже давно и на столько же бесплатном уровне с тем же качеством - да хоть самоподписанными сертификатами. Вот чем, скажите, реально LE лучше самоподписанных сертификатов? Нет, бгыгыг, "замочек зелёный" и "предупреждения не выскакивают" сюда не относится, абсолютно.
Вывод - автор делает платную пропаганду в интересах Гугла.
Можно согласиться с тем что безопасность добросовестных сайтов с LE и с платным сертификатом одинаковая.
Но нельзя из расчета безопасности исключать и негативные случаи - вредоносных сайтов.
Если мы говорим о например фишинге, то пропорция LE vs платный сертификат там практически 100% в пользу первых.
Именно поэтому когда пользователь видит платный серт, это повышает доверие к ресурсу. Сам по себе факт оплаты, не имеет значения кому, вносит ограничения на возможности мошенничать с помощью такого сертификата.
Я для интереса посмотрел сайты крупных компаний\новостных сайтов\сервисов в РФ, почти нигде не увидел серты от LE. За исключением следующих - smart-lab.ru, vc.ru, rbc.ru, wikipedia. У остальных стоят платные.
И вот, в какой-то момент, замечательный(без кавычек и иронии) Летс-анд-Крипт, говорит: ребята из России, а теперь для домена ру мы перестаём выдавать и продлять сертификаты. И... Всё...
Тогда это будет летс енд крип и придется умолять минцифры сделать acme подобное. Кстати, это уже случилось? Или вы только будущее предсказываете ? )
Странная позиция, ждать катастрофы, и не принимать усилий для её предотвращения. Есть такое заумное словосочетание: риск-менеджмент. Если это моя домашняя страничка, простой которой не принесёт мне убытков, летскрипт более чем достаточно, но если это магазин, и его оборот не сравним с ценой сертификата, то вывод более чем очевиден. Лично я сталкивался с ограничениями от летскрипт, были моменты когда сертификат не продлялся, особенно в 23 году, мне более чем достаточно...
Информирую. Не было никаких проблем с выписыванием ру сертификатов от LE. Ни в 23, ни в 24, ни в 25. Могут ли появиться? Ну, теоретически - да, тут правы. Но это будет означать масштабную войну в интернете и уже нарушение сетевого нейтралитета. Не только ведь российские фирмы имеют ру домены.
Касательно ошибки. Если процесс правильно настроен - ты узнаешь о невыпуске сертификата не в последний момент, а за неделю. Что дает шанс на реакцию. По платным - они не страхуют от «забыли», «не оплатили» итп.
Да-да, гугл специально вложил кучу средств, чтобы вы могли пользоваться этим бесплатно, и про "информирую", очень смешно звучит. Я говорю, что лично я столкнулся, а вы мне: "нет, этого не было". Выбор ваш, честно, мне всё равно, я пишу лишь своё мнение, принимать его или нет - исключительно ваш выбор. Я стараюсь не складывать все свои яйца в одну корзину и всегда исключать единую точку отказа. Возможно, такая стратегия, вам, почему-то не подходит...
Вы сейчас подобны человеку, который кричал «волки! Волки!». Я верю, что проблема была. Но не разобравшись в причинах - глупо делать далеко идущие выводы. У меня проблема была с ру, но там надо было правильно пуникод написать - после этого все полетело. По поводу гугла - э, у него другая задача была. И она была успешно выполнена. Обсуждено выше - контроль над трафиком сместился со стороны провайдеров на поставщиков контента. Ну, и все эти шпионские js, которые грузятся с cdn. Сейчас их можно только через адблок вырезать. На стороне клиента уже. И слава богу, что ЛЕ не принадлежит Гуглу. По крайней мере не напрямую.
SSL-сертификаты в 2025: самый прибыльный развод в истории интернета