Let's Encrypt больше не вариант? Обзор альтернатив

[ganzmavag]

Они же уже указали, что это касается только организаций, которые непосредственно находятся под санкциями

[pae174]

Let’s Encrypt не может массово отозвать действующие сертификаты без серьёзных технических последствий

У Let's Encrypt нет технических средств именно для отзыва сертификатов. Они не предоставляют OCSP вообще. Так что серты просто будут протухать постепенно.

https://habr.com/ru/news/934898/

Существуют бесплатные замены Let’s Encrypt:

ZeroSSL — самый простой вариант. Бесплатные сертификаты, поддерживает ACME-протокол, работает с теми же certbot и acme.sh без переучивания. Зарегистрирован в Австрии.

ZeroSSL не выдает сертификаты для RU и SU с марта 2022, и для BY тоже ещё.

https://help.zerossl.com/hc/en-us/articles/360060119833-Restricted-Countries

Google Trust Services — бесплатно через ACME, нужен аккаунт Google Cloud (бесплатный уровень подходит). Американская инфраструктура.

GTS уже год назад перестал выдавать сертификаты для *.spb.ru, например, для всех доменов в этой зоне, а их там вообще-то 11 тысяч.

https://habr.com/ru/news/910042/

покупка через местных реселлеров — рабочее решение, которое убирает зависимость от прямых платежей в США и даёт локальную техподдержку

А эти вот реселлеры это чьих сертификатов реселлеры? Потому что если они завязаны на американские или европейские компании, то и зависят от них в части санкций. Головная компания решит не выдавать сертификаты для RU - реселлер просто технически не сможет выдать сертификат для RU (и никакие такие платежи с поддержкой ему в этом деле не помогут).

[atomlib]

Мне кажется, текст попросту сгенерирован. В дополнение к фактическим ошибкам, на которые вы указали, есть и характерные стилистические особенности. Типичный пример:

Российские разработчики сегодня гуглят «альтернативы Let's Encrypt» — не потому что сертификаты перестали работать, а потому что думать об этом после того, как перестанут, уже поздно.

Вот так заключать фразу в кавычки и использовать в качестве члена предложения — частый приём у больших языковых моделей. А дальше там стоит тире и противопоставление, что БЯМ тоже обожают.

Схожие примеры с кавычками:

Беларусь уже несколько лет живёт в режиме «что-то изменится — неизвестно когда и в какую сторону».

В Беларуси пока тихо. Но тихо — не значит «нас это не касается».

Кстати, повторы модели тоже любят.

Также кавычки употребляются при малейшем оттенке переносного смысла:

просто сменить «вывеску»

Также есть характерные приёмы с дефисами: «ACME-поддержкой», «ACME-сервера», «DV-сертификат». Неоднократно наблюдал подобное в машинной писанине.

Наконец, срабатывают детекторы:

Текст в целом неплохой. У меня такое впечатление, что поработала платная нейросеть с reasoning.

Но в первую очередь на машинность текста указывают именно фактические ошибки, которые человек допустить не может. К примеру, как указывали в комментах, хотя ZeroSSL рекомендован в тексте в качестве замены и альтернативы, его сайт с российского айпишника попросту не открывается.

[KonstantinTokar]

Текст бессмысленный, уже из-за этого он плохой.

Проблема не из за того что LE что то может отозвать. Проблема системная и связана с тем, что контролируется инфраструктура Интернет одной страной. И лекарство от этого хуже болезни.

[pae174]

step-ca — если нужен собственный внутренний CA с ACME-поддержкой.

Это американская компания. Они даже сидят в одном здании с Anthropic.

[goletsa]

Сейчас ещё годовой EV Wildcard до двух по 180 дней сократили. Так что еще минимум два раза выпускать.

[achekalin]

Собственно, даже дней уже не 90, а (пока добровольно, но...) , а 45, и дальше будет еще меньше.

[Lucky715]

Казалось бы, что у нас какой-нибудь Яндекс, vk или иной бигтех мог бы организовать свой УЦ и выдачу сертификатов, получив высокий уровень доверия и т.д. в том числе и в плане доходов, но нет же мы будим уже "бесплатные" услуги зажимать и пытаться выдавить последние ₽ и двигаться той аудитории, которая способна перейти на какой-нибудь self/home решения

[aik]

Проблема не в "организовать центр", вон сертификаты минцифры есть. Проблема в том, что его в доверенные никто не добавит. И браузеры все будут вас с такими "яндексовыми" сертификатами посылать нафиг. Ну, кроме яндекс.браузера

[pon007]

В общем, если для себя - то свой УЦ и совместно с товарищами делаем доверие

[JBFW]

Свой УЦ можно забабахать за пару часов, ну еще день - прикрутить ACME и половить баги.
Но для публичных сайтов оно не подходит.

[MountainGoat]

Лучше бы посмотрели, не может ли помочь Азия.

[Undel]

LiteSSL от Trustasia

[remzalp]

Хорошая рекомендация :)
https://zerossl.com/
Access Denied: Selling and offering services through our platform are restricted in your region. Thank you for your understanding.

[wilterdink]

интересно Технический директор какого г.на этот Раханов константин. zerossl на весь ru навешал санкции издавна

ну и суть переврана полностью - правильный вывод - валите на нейтральные домены, пока не поздно.

[aik]

Меня тут с моим нейтральным доменом (.ms) рег.ру послал куда подальше (перенос к другому регистратору, вроде его европейская дочка). Так что если ваш домен у российского регистратора - может иметь смысл задуматься о переносе его в другие края.