Сертификат, выпущенный для IP-адреса, не будет автоматически работать для всех доменов, привязанных к этому IP.
Но ты сможешь (я так думаю) выпустить один мультидоменный сертификат, содержащий как домены, так и IP-адрес, перечислив все нужные варианты в своем acme-клиенте, как и всегда это и делалось, допустим acme.sh --issue -d example.com -d *.example.com -d 11.33.33.77 (разве что с указанием различных методов валидации)
Да, для IPv4 варианты есть условно-бесплатные или дешевые, кому надо было для "домашних кейсов" те пользовались. Но при детальном рассмотрении никто из них не поддерживает(л) IPv6, даже если это явно не указаывалось, и где оператор на чат боте хлопая глазками сообщал что все тип-топ (в нескольких местах приходилось делать рефанд). Для IPv6 нашел только рабочий вариант от ssl.com тот что ucc/san за $177 в год без скидки.
Не вижу большого смысла в single-vpn (когда entry и exit ip одинаковые) с точки зрения анонимности (не мне вам рассказывать как работает этот threat). Но у вас оно именно так, когда я тестил. Впринципе, даже не обязательно делать мультихоп в другую страну, достаточно выдавать на выходе ip из другой подсети / as уже будет шоколадно.
Нет большого смысла прописывать accounturi вместе с validationmethods=dns-01, т.к если вражина умеет редактировать DNS, то и аккаунт он сменит. Разве что ваш провайдер умеет выдвать API-ключи на редактирование конкретно TXT (или конкретно _acme-challenge.example.com), или же запрещает изменять CAA по апи, но я такого не встречал.
P.S. С точки зрения "плохого хостера", HTTP-способ получается даже безопасней (при наличие CAA записи с аккаунтом, именно так, как вам показали выше). На сервере не хранится dns api key, и при физическом доступе к нему, CAA изменить не смогут.
Что касается первого названного вами дела (это про Rambler против Nginx), мне кажется, что исторически была совершена ошибка. Оказывается, что была конфликтная ситуация, когда мы приобретали долю в компании „Рамблер“. И эта ситуация не была задекларирована как конфликтная, хотя по условиям „due diligence“ в компании „Рамблер“ обязаны были задекларировать все подобного рода вещи. Поэтому Сбербанк не знал даже о существовании этого конфликта, и мы узнали только по факту его обнародования
Собственно, все и оказалось так, как рассказала госпожа Латынина уже черз 2 дня после случившегося, пока АйТишники перебирали версии и пытались ссылаться на законы, защиту опенсорса, аналогии с SCO, и прочую туфту.
Все бы хорошо, если бы не реклама кардерского форума
Сертификат, выпущенный для IP-адреса, не будет автоматически работать для всех доменов, привязанных к этому IP.
Но ты сможешь (я так думаю) выпустить один мультидоменный сертификат, содержащий как домены, так и IP-адрес, перечислив все нужные варианты в своем acme-клиенте, как и всегда это и делалось, допустим
acme.sh --issue -d example.com -d *.example.com -d 11.33.33.77(разве что с указанием различных методов валидации)Живой пример:
Да, для IPv4 варианты есть условно-бесплатные или дешевые, кому надо было для "домашних кейсов" те пользовались. Но при детальном рассмотрении никто из них не поддерживает(л) IPv6, даже если это явно не указаывалось, и где оператор на чат боте хлопая глазками сообщал что все тип-топ (в нескольких местах приходилось делать рефанд). Для IPv6 нашел только рабочий вариант от ssl.com тот что ucc/san за $177 в год без скидки.
Не все крупные сайты включили ECH. Например, vimeo.com и w3.org без него (предположу, что они отключили это вручную).
Вот накатал небольшой чекер, может кому пригодится:
Ну или так:
https://dns.google/resolve?name=radio-t.com&type=HTTPS
Приглашен сегодня в 18:11 по приглашению от НЛОВсе НАСТОЛЬКО беспалевно?
Не вижу большого смысла в single-vpn (когда entry и exit ip одинаковые) с точки зрения анонимности (не мне вам рассказывать как работает этот threat). Но у вас оно именно так, когда я тестил. Впринципе, даже не обязательно делать мультихоп в другую страну, достаточно выдавать на выходе ip из другой подсети / as уже будет шоколадно.
А как же QUIC
[передумал]
Нет большого смысла прописывать accounturi вместе с validationmethods=dns-01, т.к если вражина умеет редактировать DNS, то и аккаунт он сменит. Разве что ваш провайдер умеет выдвать API-ключи на редактирование конкретно TXT (или конкретно _acme-challenge.example.com), или же запрещает изменять CAA по апи, но я такого не встречал.
P.S. С точки зрения "плохого хостера", HTTP-способ получается даже безопасней (при наличие CAA записи с аккаунтом, именно так, как вам показали выше). На сервере не хранится dns api key, и при физическом доступе к нему, CAA изменить не смогут.
У них нет приложения (https://www.ghacks.net/2023/02/16/psa-dont-download-chatgpt-apps-from-google-play-or-the-app-store/)
Интересно, кто поставил минус…