Comments 46
Хотя ассоциация CA/Browser Forum предлагала срок в 47 дней, Let's Encrypt решили сокращать срок действия еще больше, до 45. Почему? Я нашел две причины: техническую и психологическую.
Технически срок в 45 дней не делится на 7, а, значит, не станет создавать нагрузку каждый раз в тот же день недели - инфраструктуре Let's Encrypt будет проще выдержать такое.
Интересное обоснование техническое, но не прокатит: 47 тоже не делится на 7.
Отвечу «на бегу», но — там довольно логичная математика, привязанная к тому, что при сроке в 45 суток и обращении за новым с разумным зазором до конца срока действия старого серта — так вот с 45 сутками жизни серта, как ни странно, распределение нагрузки получится чуть более ровным, чем с 47 сутками.
Кратность сроков в 90 суток (текущий срок) и 45 суток (новый срок) удобна самой LE - клиенты за обновлением продолжат приходить в те же дни, что раньше (а к этому количеству запросов они уже готовы), плюс добавятся запросы "между" старыми точками обновлений (это они ожидают выдержить).
Вариант в 47 дней (т.е. +2 дня) сильной погоды клиентам не сделает, а вот график нагрузки на инфраструктуру LE переколбасит сильно.
Внесу это в статью
В то время как платные сертификаты как выдавались на год так и выдаются, похоже просто прикрываются "уязвимостями в криптографических алгоритмах", а дело в другом.
ручное обновление сертификатов, если кто-то им и занимался до сих пор, уходит в прошлое
Однако удобного средства для обновления LE сертификатов на Windows XP или Windows 2003 до сих пор не существует.
Так это устаревшик ос которые выводить из эксплуатации надо, как и устройства где не может запуститься ws 2019 хотя бы.
Ой простите, вас забыли спросить, что и когда выводить...
К врачу сходите, раз проблемы с памятью. Возможно у вас необратимые изменения мозга.
К чему этот токсичный комментарий не понятно. Не согласны с тем, что надо отказываться от легаси? Ну дык так и скажите. Зачем хамить на ровном месте?
Вы упустили из виду, что нельзя бесплатно отказаться от легаси.
В современном мире бесплатно ничего не делается. Отказаться бесплатно нельзя. А, часто, продолжать его эксплуатировать тоже очень не бесплатно. С рисками возрастания не бесплатности во много раз.
В 9 случаях из 10 продолжать эксплуатацию можно бесплатно, не уплачивая за обновление.
Возможно просто час расплаты не настал. Аэрофлот тоже до недавних пор считал, что он среди 9 из 10 случаев, ага.
https://habr.com/ru/news/931554/
Если злоумышленники украли сертификат, то они украдут новый через 45 дней. Да и 45 дней хватит что бы банк вынести. Бесполезная вещь.
Похоже на анекдот со взломом солонки
Теперь бы Apache и nginx сделали обновление сертификатов без рестарта сервера...
nginx не нужен рестарт. только reload конфигурации
reload конфигурации череват перезапуском внутренних модулей, которые могут иметь свои форки, что приведет к их рестарту.
плюс я указывал Apache, в котором часть вещей тоже перезапускается при graceful (у меня есть случай работающих сервисов под апачем: после graceful, запускаются они порядка 15 минут, обойти ограничение нет возможности, т.к. производитель так решил сделать свой код).
Я хоть и не амбассадор Angie, но там они вкрутили свой клиент для обновления сертификатов. Как только введут возможность постоянной авторизации через DNS так должно стать лучше чем сейчас...
Сперва совместными усилиями убили http, теперь добивают https.
Есть куча сайтов, которым эти сертификаты нафиг не нужны. Но всё равно приходится прикручивать, иначе ни поисковик туда не пойдёт, ни браузер...
Да раньше было довольно много сайтов просто на IP, и их поисковики индексировали вполне себе - а сейчас на такой и зайти... Браузер взвоет, а на IP серт не выпустить.
Сам же LE чуть ранее в этом году начал выпускать сертификаты для IP. https://letsencrypt.org/2025/07/01/issuing-our-first-ip-address-certificate
Ну, доменное имя получить сегодня просто, особенно если не нужен второго уровня домен. Так что сайты на IP - проблема меньшая, чем повсеместный https.
Сейчас на некоторых браузерах ведь и кнопку "игнорировать просроченный сертификат/отсутствие" теперь не так просто найти, как-то с файрфоксом боролся.
Я вспоминаю своё удивление, когда увидел в первый раз, как хром перешел от политики "если юзер проигнорил ошибку серта, то ок" к политике "несколько дней ок, потом снова спросим".
Т.е. они решили, что, если у меня self-signed, и я нажал в Хроме "простить и пустить", то это решение нужно помнить этак с неделю, а потом снова спросить. Ну да, вдруг я тогда погорячился? В итоге, висит на стене пара 50" телевизоров, на них сводные экраны заббикса выводятся (там один nettop подключен к ним, на неттопе какая-то завалявшаяся винда, и хром; потому что встроенные браузеры на телеках просто очень неадекватно занимают часть экрана своим оформлением), и вдруг, при очередном обновлении экрана - БАЦ - вопрос о сертификате. Чудесно!
Хорошо, если несколько дней, а не 1 минута. А то сталкивался и с таким.
В порядке бреда.
Можно попробовать хром запускать с помощью selenium webdriver из питона или из явы какой-нибудь.
Там же и обновлять можно раз в какое-то время, чтоб ахтунг словить, в нерабочее время например...
Что-нибудь вроде
from selenium import webdriver
from selenium.webdriver.common.desired_capabilities import DesiredCapabilities
capabilities = DesiredCapabilities.CHROME.copy()
capabilities['acceptInsecureCerts'] = True
driver = webdriver.Chrome(desired_capabilities=capabilities)
driver.get('https://blabla.bla')
А почему не создать корневой сертификат, положить его в хранилище системы и им же подписывать сертификаты для Заббикса?
Хотя ассоциация CA/Browser Forum предлагала срок в 47 дней, Let's Encrypt решили сокращать срок действия еще больше, до 45. Почему?
Технически срок в 45 дней не делится на 7, а, значит, не станет создавать нагрузку каждый раз в тот же день недели - инфраструктуре Let's Encrypt будет проще выдержать такое.
Отличный повод поменять с 47 на 45! Ведь всем давным-давно известно, что 47 делится на 7 без остатка.
Бред.
1. Добавляют массовую точку отказа, которая если чихнёт - весь мир заметит и быстро
2. Удобное место для приложения шантажа "а теперь сделаем серты платными или у вас всё отвалится". LetsEncrypt постепенно становится незаменимым для очень большого числа сайтов
3. Злоумышленник и на самом сервере вполне неплохо может сидеть и причинять добро, но с полноценным сертом, так что не довод про владение доменом.
4. Настала пора забэкапить нормальный браузер, потому что к куче железяк и так уже сложно подцепиться (activex для настройки камеры видеонаблюдения, купленной год назад например, или скада системы, которые должны работать в глубокой локалке, но с вебмордой)
Точки отказа в этом не особо видно. По сути, серты всегда были за деньги, тут появилась компания, которая их выдает бесплатно, на своих условиях - но она свою способность выдержать нагрузку доказала (причем, штат у них небольшой). Но понятно, что они работают небесплатно, и что за работу им платят спонсоры (тот же Гугл). Они, большие эти ребята, тоже и хотели бы контроля, но единую точку отказа устраивать не в их целях (реклама встанет, минимум!).
Сдохнет LE - купите платный, не так они дорого стоят. В России выбор регистраторов широкий, из одного, в "мире", конечно, куда шире.
А вот браузер старый хранить на отдельной ВМ - прямо неглупо. Вместе с ОС того времени, и, лучше всего, не ставя обновления, от греха. И молясь. А то, вот, CentOS 6 сегодня не обновить, потому что openssl либы в её поставке старые, а репы, как на зло, уже все по 1.1 и 1.2 минимум работают - и yum просто обламывается на такие репы зайти.
Если сдохнет до обновления старый серт сейчас - большая вероятность, что будет время купить - обычно настраивают ежемесячное обновление. При сроке действия в 7 часов? Под вечер? Утром сайт превращается в тыкву.
Простите, о каких 7 часах Вы говорите? Снижение будет с 90 до 45 дней.
Если бы (уже) сегодня LE серты были бы на 45 дней (или даже на 30), то наши с вами переживания уперлись бы в мониторинг.
Я не очень много видел бесплатных сервисов, в которые можно закинуть список доменов и сертов, и чтобы они присылали (в телегу, скажем) алерты, что домен истекатает через 23 дня, или что серту меньше 19 дней жить осталось.
Но, положа руку на сердце, даже годичные сроки без мониторинга не спасут, банально можно забыть продлить (если руками) и — ой!
а с 2028 — до 7 часов
Это срок действия подтверждения владения доменом, а не срок сертификата.
Т.е. Вам дается 7 часов на подтверждение вашего права на выпуск/перевыпуск серта. Т.е. даже если вручную проводить выпуск серта, то за 7 часов Вы точно успеете завести в DNS проверочную запись (это если Вы по DNS-01 подтверждаете; если перейти на DNS‑PERSIST-01 — то нужную запись заведёте в ДНС один раз, и всё) или на веб‑сервере в нужном каталоге файлик проверочный создадите.
Успеете — выдастся серт на 45 суток.
Кстати, есть про веб‑сервер и файлик — просто делаете отдельный location в том же nginx, и всё, «само работает»:
напр.
server {
...
location ~ ^/\.well-known/acme-challenge/([-_a-zA-Z0-9]+)$ {
default_type text/plain;
return 200 "$1.6fXAG9VyG0IahirPEU2ZerUtItW2DHzDzD9wZaEKpqd";
...
}
}
Потенциальная проблема - они уязвимое место.
С антироссийскими санкциями вроде бы более менее нормально работали. Вроде бы. Но кто мешает прижать? Кто мешает потом копирастам и прочим защитникам детей бороться не с хостинг-провайдерами а прожать Let's Encrypt (в том числе и на фильтры по не полному совпадению)?
прошу прощения, невнимательно прочитал планы - прочитал, что срок SSL сертификата к 2028 году снизят до 7 часов. Перечитал - только подтверждение владения доменом, а это при обычном сценарии уже и так быстро отрабатывает
47 дней — иррациональное число
Не согласен. 47 — простое число.
47 дней — иррациональное число, которое сложнее запомнить и планировать
(Я так понимаю, про «47 и 45 дней» – это, не иначе, результат «работы» LLM; потому что – ну как ещё может 47 стать «иррациональным числом»?)
Справедливости ради: с точки зрения балансировки нагрузки – нет разницы в том, какой срок действия у сертификатов. Всё зависит от того, в какой день УЦ выпустил много сертификатов (с одинаковым сроком действия, понятно). Много выпустили – можно ожидать, что много клиентов придёт за новыми почти одновременно.
То есть, если клиенты строго отсчитывают время похода за обновлением от начала действия имеющегося сертификата (пусть это будет N дней ровно), то, выпустив в какой-то день D много сертификатов, УЦ получит прирост запросов в момент D + N. Нет разницы, делится ли срок действия сертификата на 7. Ну и в последний день обновлять сертификаты – не очень хорошая идея, нужно это делать заранее.
Всё это давно обдумано без LLM и SMS, поэтому для ACME-УЦ есть специальный механизм: ACME Renewal Information (ARI) Extension называется. Вот через ARI ACME-клиент может узнать, когда лучше (по мнению систем УЦ) прийти за обновлением, ну а УЦ - может управлять нагрузкой, не используя, так сказать, мнимых «иррациональных» чисел.
Про горбики нагрузки я писал, да, и про ARI указано - главное, чтобы и клиенты "умели ARI". Так понимаю, что certbot уже научен, а вот всякие сопутствующие клиенты (скажем, закостыленный dehydrated, замурованный в bitrix-env, или клиенты в веб-серверах, которые сами умеют серты получать, тот же angie, а также множество докер-образов "мама, я прокси на все случаи жизни") - вот там могут быть и курьёзы.
В любом случае, переход на кратное 90 дням (я про 45) срок обновления вроде бы не должен сильно поменять картину числа запросов (точнее, должен бы кратно её масштабировать), посмотрим (точнее, LE посмотрит)!
Если бы срок действия был короче, злоумышленники не смогли бы использовать их месяцы.
Ну да CRL/OCSP же не существовало тогда /sarcasm А OCSP теперь не будет существовать, хотя OCSP Must Staple как раз решал проблему клмпрометации сертификата/сервера и его можно было обновлять хоть раз в час.
Инцидент 2022 года: крупный банк потерял 200 доменов из‑за непродленных сертификатов после слияния компаний.
Я в недоумении. Об'ясните недогадливому. Как непродление сертификатов приводит к потере доменов? Ну браузер будет ругаться. Владение доменов тут каким боком? Какая связь?
45 дней вместо 90: новые правила Let's Encrypt