На Хабре уже есть несколько хороших статей и про distroless (не только от гугла), и про image layers в целом. В данном экземпляре даже dive не упомянут, не говоря уже о strip/objcopy/билдфлагах go и тп.
Более того, как вы себе представляете "блокировку ECH"?
Учитывая, что и внешний SNI и публичный ключ браузер получает из HTTPS RR через DoH (провайдер ничего не видит), а из хендшейка ClientHello ничего не понятно, т.к расширение encrypted_client_hello отсылается браузерами независимо от того, получен ли был EchConfigList для домена или нет (режим GREASE).
Забавная штука ECH, получается любой example.com без вашего ведома может подделать SNI таким образом, чтобы ваш провайдер увидел заход на пдф-файлы-без-смс-и-экстримизма.рф.
Он конечно и так может загрузить внешний ресурс с любого сайта через HTML, но в случае с ECH вы этого никак не увидите (без Wireshark), и к тому же весь трафик сайта "будет идти" на поддельный outer sni домен.
Сертификат, выпущенный для IP-адреса, не будет автоматически работать для всех доменов, привязанных к этому IP.
Но ты сможешь (я так думаю) выпустить один мультидоменный сертификат, содержащий как домены, так и IP-адрес, перечислив все нужные варианты в своем acme-клиенте, как и всегда это и делалось, допустим acme.sh --issue -d example.com -d *.example.com -d 11.33.33.77 (разве что с указанием различных методов валидации)
Да, для IPv4 варианты есть условно-бесплатные или дешевые, кому надо было для "домашних кейсов" те пользовались. Но при детальном рассмотрении никто из них не поддерживает(л) IPv6, даже если это явно не указаывалось, и где оператор на чат боте хлопая глазками сообщал что все тип-топ (в нескольких местах приходилось делать рефанд). Для IPv6 нашел только рабочий вариант от ssl.com тот что ucc/san за $177 в год без скидки.
Не вижу большого смысла в single-vpn (когда entry и exit ip одинаковые) с точки зрения анонимности (не мне вам рассказывать как работает этот threat). Но у вас оно именно так, когда я тестил. Впринципе, даже не обязательно делать мультихоп в другую страну, достаточно выдавать на выходе ip из другой подсети / as уже будет шоколадно.
Нет большого смысла прописывать accounturi вместе с validationmethods=dns-01, т.к если вражина умеет редактировать DNS, то и аккаунт он сменит. Разве что ваш провайдер умеет выдвать API-ключи на редактирование конкретно TXT (или конкретно _acme-challenge.example.com), или же запрещает изменять CAA по апи, но я такого не встречал.
P.S. С точки зрения "плохого хостера", HTTP-способ получается даже безопасней (при наличие CAA записи с аккаунтом, именно так, как вам показали выше). На сервере не хранится dns api key, и при физическом доступе к нему, CAA изменить не смогут.
На Хабре уже есть несколько хороших статей и про distroless (не только от гугла), и про image layers в целом.
В данном экземпляре даже dive не упомянут, не говоря уже о strip/objcopy/билдфлагах go и тп.
Кто вам такое сказал? В России заблокирован cloudflare-ech.com.
Более того, как вы себе представляете "блокировку ECH"?
Учитывая, что и внешний SNI и публичный ключ браузер получает из HTTPS RR через DoH (провайдер ничего не видит), а из хендшейка ClientHello ничего не понятно, т.к расширение encrypted_client_hello отсылается браузерами независимо от того, получен ли был EchConfigList для домена или нет (режим GREASE).
Забавная штука ECH, получается любой example.com без вашего ведома может подделать SNI таким образом, чтобы ваш провайдер увидел заход на пдф-файлы-без-смс-и-экстримизма.рф.
Он конечно и так может загрузить внешний ресурс с любого сайта через HTML, но в случае с ECH вы этого никак не увидите (без Wireshark), и к тому же весь трафик сайта "будет идти" на поддельный outer sni домен.
Главное что исправлено и почему этот релиз состоялся, это уязвимость в 7zip:
https://www.opennet.me/opennews/art.shtml?num=63740
https://www.openwall.com/lists/oss-security/2025/08/09/1
(ну и уязвимый unrar закрыли между делом)
Сертификат, выпущенный для IP-адреса, не будет автоматически работать для всех доменов, привязанных к этому IP.
Но ты сможешь (я так думаю) выпустить один мультидоменный сертификат, содержащий как домены, так и IP-адрес, перечислив все нужные варианты в своем acme-клиенте, как и всегда это и делалось, допустим
acme.sh --issue -d example.com -d *.example.com -d 11.33.33.77(разве что с указанием различных методов валидации)Живой пример:
Да, для IPv4 варианты есть условно-бесплатные или дешевые, кому надо было для "домашних кейсов" те пользовались. Но при детальном рассмотрении никто из них не поддерживает(л) IPv6, даже если это явно не указаывалось, и где оператор на чат боте хлопая глазками сообщал что все тип-топ (в нескольких местах приходилось делать рефанд). Для IPv6 нашел только рабочий вариант от ssl.com тот что ucc/san за $177 в год без скидки.
Не все крупные сайты включили ECH. Например, vimeo.com и w3.org без него (предположу, что они отключили это вручную).
Вот накатал небольшой чекер, может кому пригодится:
Ну или так:
https://dns.google/resolve?name=radio-t.com&type=HTTPS
Приглашен сегодня в 18:11 по приглашению от НЛОВсе НАСТОЛЬКО беспалевно?
Не вижу большого смысла в single-vpn (когда entry и exit ip одинаковые) с точки зрения анонимности (не мне вам рассказывать как работает этот threat). Но у вас оно именно так, когда я тестил. Впринципе, даже не обязательно делать мультихоп в другую страну, достаточно выдавать на выходе ip из другой подсети / as уже будет шоколадно.
А как же QUIC
[передумал]
Нет большого смысла прописывать accounturi вместе с validationmethods=dns-01, т.к если вражина умеет редактировать DNS, то и аккаунт он сменит. Разве что ваш провайдер умеет выдвать API-ключи на редактирование конкретно TXT (или конкретно _acme-challenge.example.com), или же запрещает изменять CAA по апи, но я такого не встречал.
P.S. С точки зрения "плохого хостера", HTTP-способ получается даже безопасней (при наличие CAA записи с аккаунтом, именно так, как вам показали выше). На сервере не хранится dns api key, и при физическом доступе к нему, CAA изменить не смогут.
У них нет приложения (https://www.ghacks.net/2023/02/16/psa-dont-download-chatgpt-apps-from-google-play-or-the-app-store/)
Интересно, кто поставил минус…