GlobalSign_admin Aug 30 2021 at 23:48

Excel — не лучший способ управления сертификатами

3 min

5.6K

GlobalSign corporate blogDevOps*Information Security*Server Administration*

Comments 16

ifap Aug 30 2021 at 23:55

На самом деле «цифровая подпись» означает процесс криптографической верификации документа с цифровым сертификатом и меткой времени, а под электронной подписью часто подразумевают просто скан автографа от руки, копию мокрой подписи.

Сами выдумываем проблему, сами ее героически «решаем».

unsignedchar Aug 31 2021 at 08:37

Надо понимать, что кто-то пытался подписать .csr электронной подписью :D

ifap Aug 31 2021 at 10:25

Треть опрошенных специалистов в США и Великобритании используют для учёта сертификатов электронные таблицы Excel, а многие не понимают разницы между цифровой и электронной подписью.

Кто-то из специалистов (в некоей неназванной области), которые занимаются учетом сертификатов, но не различают цифровую подпись и скан собственноручной? Или это два разных набора, и во втором случае шла речь о специалистах по уборке офисов? ;)

mc2 Aug 31 2021 at 01:45

Только мне кажется что данный пост оказался слишком длинным?

Denis_Andreevich Aug 31 2021 at 09:49

Просто так, для поддержания для разговора: почему люди для хранения структурированной информации любят использовать Excel, а не Access? Который, кстати, больше подходит.

Akuma Aug 31 2021 at 10:02

Потому что эксель-файл можно открыть практически где угодно. А чем открыть access кроме него самого?

Denis_Andreevich Aug 31 2021 at 12:49

Доля использования других продуктов по отношению к Office?

Akuma Aug 31 2021 at 19:24

А доля Access в продуктах Office?

Вордовский документ можно худо-бедно открыть чем угодно на любой системе или мобильнике. Access я даже не знаю чем можно открыть кроме оригинального ПО.

paulmann Aug 31 2021 at 10:59

Написал себе в свое время скрипт на Perl, который по Cron проверяет статусы доменов (сколько времени осталось до перерегистрации домена, до окончания SSL сертификата, статус ответа на GET запрос). Скрипт шлет оповещения на почту в случае просрочки домена/сертификата или изменения статуса ответа. Все собираюсь вывалить на github, да руки не доходят.

unsignedchar Aug 31 2021 at 13:23

Но список доменов уже есть. Время протухания известно в момент покупки сертификата. Забить в календарь. Можно с поправкой на выходные и праздники. GET не нужен ;)

UFO landed and left these words here

unsignedchar Aug 31 2021 at 14:32

Ну, по срабатыванию календаря можно уведомление в телегу, если сертификат за деньги покупается.

paulmann Aug 31 2021 at 15:12

Удобно все проблемы с доменом видеть в одном месте.
Сертификаты Let's Encrypt - бывают с ними проблемы при перевыпуске (хоть и редко). Так что известное время протухания не панацея. Собственно из-за временного отвала перевыпуска и накидал данный скрипт.
GET - удобно видеть, если проблемы возникли на одном из доменов. Ну и редиректы сразу видно все в одном месте.

А по факту - делал, просто, для того чтоб в одном месте видеть любую инфу по нужному домену и вовремя получать оповещения о проблемах.

Akuma Aug 31 2021 at 19:26

Именно так и сделал. При этом еще и хостеры присылают уведомления за месяц где-то.

SvoboniiLogin Aug 31 2021 at 15:41

Проще всего поставить сертификаты на мониторинг - ском, заббикс , да кто угодно это умеют

uanet Oct 27 2021 at 13:11

По-моему - главная проблема в отсутствии автоматизации и работе бизнеса с платежами, особенно гос. структур (вообще не понимаю, почему сертификаты для гос учереждений должны покупаться у коммерческих структур других государств - нужны свои CA, только для гос доменов).

Вот есть один крупный ВУЗ из трёх букв. Сертификат *.ВУЗ протухает 1 ноября. Деньги проплатили вчера (осталось меньше недели до конца). Сертификат вытаскивается из веб-интерфейса руками (и хз, для каждого сервера отдельно или "один на всех"). Поскольку это для * - то и серверов, куда его надо установить - Н штук, все с разным подчинением, ПО и т.п., соответственно будет удивительно, если ничего не ляжет.

Так что эксел - не самое страшное. Он обеспечивает наглядность, особенно в случае с сертификатами от разных провайдеров и т.д. - можно внести информацию о том, куда/как заходить, чем платить и т.д. Аналогичная ситуация и с доменами, хостингом и т.д.

А виноваты во всём этом - "проклятые капиталисты", сделавшие из выдачи этих сертификатов самостоятельный бизнес (ладно бы, вместе с доменом было). SSL-сертификат в большинстве случаев давно "ни о чём", он просто обеспечивает защиту от "человека посредине", а кто реально "с той стороны" - магазин, компания, или пионер Вася с веб-сайтом "продам пол-страны за 1000 баксов" и бизнес-планом "получить 990 или N*1000+990 и слинять" - вы всё равно не узнаете (я в курсе о "навороченных сертификатах с проверкой реального покупателя сертификата" и "зелёной фигне в браузере", но это капля в море).

Очевидно, нужна открытая и распределённая система с публичными сертификатами, функционирование которой будет обеспечивать всё сообщество - "блокчейн подойдёт" :), а не отдельные игроки по "рыночным" ценам и без всяких стандартов взаимодействия.

"Электронная подпись" - это само по себе, безусловно, перл. Додуматься до правомерности использования такого для юридически значимых действий, а не сувенирных целей - это уровень "каменного века", ведь её гораздо легче скопировать-воспроизвести, чем подделать обычную на бумаге. Так что да, "голова в банку не пролезает" во многих странах и у многих людей, нередко занимающих высокие посты и принимающих реально важные решения.