Comments 11
А кто-то реально по письмам серты менял каждые три месяца из года в год, вместо того что бы один раз крон настроить?
Когда у меня истекал срок действия сертификата и мне приходило письмо об этом (есть сертификаты, которые уже не использовались и продлевать их не было смысла) - было тотально все равно. Единственное постоянно забывал отписаться от этой рассылки.
У меня однажды отвалился то ли крон, то ли скрипт автообновления сертификата. Вот тогда письмо помогло.
Да. Например сервер ограничен по гео, поэтому чтобы обновить на нем сертификаты, нужно открывать доступ на маршрутизаторе.
А их кто-то читает? Или обновляется само, или чинят когда сайт отвалится.
Ну об этом Let's Encrypt трубил везде где можно ещё пол года назад. А вот то что он OCSP сервера втихую отрубил - я понял когда у меня поломались протоколы и пришлось всё наспех переделывать. Сразу скажу для возможно возмущающихся - протоколы были самописанные и для как раз предотвращения утечки анонимности ответ от этих серверов сразу упаковывался в дерево сертификатов и отправлялось при TLS рукопожатии.
Кстати вот тут нашёл нормальное описание:
Впрочем, основные проблемы OCSP решались его расширением Certificate Status Request, более известным как OCSP Stapling (сшивание [ответов] OCSP). Сайт, с которым агент пользователя устанавливал защищенное соединение, отправлял в дополнение к TLS-сертификату свежую «справку» от УЦ: сертификат не отозван. Справка «подшивалась» к сертификату и заверялась все тем же открытым ключом выдавшего ее и сертификат УЦ.
Об этом рассылка еще в апреле была.
OCSP в будущем, кмк, всё равно отомрёт. Например, Mozilla разрабатывает CRLite ему на замену.
Let's Encrypt прекращает рассылку уведомлений об истечении срока действия сертификатов