Обновить

Как Let's Encrypt, только роднее: автоматическое получение бесплатного RSA DV-сертификата НУЦ

Уровень сложностиПростой
Время на прочтение3 мин
Охват и читатели11K
Всего голосов 25: ↑20 и ↓5+18
Комментарии59

Комментарии 59

Ещё больше Чебурнетии... Расщепление Certificate Authority на скрепный и все остальные.

Расщепление Certificate Authority на скрепный и все остальные.
Я так думаю - правильней на скрепный и те что могут послать в лес когда захотят, а повод всегда найдется.

Ты виноват уж тем, что хочется мне кушать.

когда захотят

А что случилось?

Сетевой нейтралитет кончился под давлением страны-агрессора.

Случилось лицемерие некоторых комментаторов. Впрочем, на них уже всем всё равно, сами справимся. А эти комментаторы будут ещё долго расплачиваться за недальновидную политическую глупость и желание стать чужим военным плацдармом.

Простите, а вот эти самые, которые "ты виноват уж тем, что мне хочется кушать", они только на той стороне, котороя в противовес "скрепной" идет? Или все же кушать хочется и тем, у кого инфраструктура гугла, телеграма и дискорда внезапно устарела? Вы точно сейчас ничего не забываете?

"ты виноват уж тем, что мне хочется кушать"
В нашем современном капиталистическом мире сильный кушает слабого.
Или слабый прячется под крыло другого сильного (И все равно слабый это обед - только запасной).
Мне не нравится такое мироустройство.
Но я не отрицаю реальность.
И когда спрашивают - А что случилось? Надо просто расставить все по своим местам. И увидеть кто с кем "дерется" и за что.

На плесень и липовый мёд.

Жду теперь, когда корневой сертификат НУЦ добавят в дистрибутивы Windows и браузеров

Удачи...

Не понимаю, почему винда в РФ еще осталась, как явление. Легально не купить, раньше пираткой массово пользовались, тк была реально удобной, а теперь нативной рекламы нет (пока еще) разве что в контекстных меню. На интересы пользователя винда плевать хотела не меньше всяких максов...

От этого винда только лучше. И пусть держится от моих пользовательский интересов подальше, а делает только то, что приказано.

Винда остаётся относительно удобной, с хорошей поддержкой железа и периферии, понятная в переходе на новые версии. на пользователей и их мнение мелкософт всегда клал болт и это не выбивало его из самых дорогих компаний мира.

На тему легально не купить - хз, можно купить для другого региона и сменить регион, язык. Ну да, нет официального магазина, но мне ехать, а не шашечки. Для обывателя Линукс сложнее и менее универсален, а покупать(!) "российский" Линукс - это боль бюджетников, простой юзер себе лучше видеокарточку обновит или проц посвежее поставит.

Не сказал бы, что винда понятнее при выходе новых версий- по аналогии с автомобилями, это бы выглядело, как поменять местами педаль газа и рычаг включения поворотников частенько. Но и не в этом основная суть претензии к винде, а в том, что потребляет чрезмерные ресурсы, не подчиняется пользователю беспрекословно и содержит в себе все больш еназойливой нативной рекламы. О русском линуксе даже и мысли не возникает, а вот дружелюбных дистрибутивов сейчас огромный выбор. Проблемы с драйверами к популярному железу остались в бсд-подобных системах и других редкостях на десктопе, но уж никак не для линукса. Не буду отрицать, что с точки зрения админов в линуксе тоже случаются непривычные перемены, но для пользователя, особенно не особо мощного компа, поведение и вид xfce практически не меняется. Да и кде тоже, в случае, если возможности компа позволяют его поставить. По поводу же легальности покупки- если винду нельзя закупать официально, то и обучать продуктам на винде законно не выйдет, и работодатели соответственно не смогут новые компы с виндой массово закупать, соответственно школьникам и студентам винда уже не нужна. Окончательно слезть лет 10 потребуется. Ну или представить себе чудо, что майкрософт повернется лицом к людям и уберет то, что бесит людей. В последнем очень сомневаюсь.

Open Shell и Windows Firewall Control творят чудеса - винда ходит строем. Хотите поскуднее набор - пользуйтесь LTSC.

Не у домашних же пользователей она строем ходит. Пока в основном бесит людей обновлениями и рекламой нативной. Да и настройки частенько слетают при обновлениях. Не разваливается, как 20+ лет назад, это конечно, плюс, но теперь прямо целенаправленно бесят.

Где искать рекламу?

Если там штатно весь цирк с конями не запихали - это не значит, что набор поскуднее. Всё не нужное можно и доставить парой команд.
Зато работает даже на 1155, но только с SSD под систему.

Альтернативы Windows могут быть хоть в 100 раз лучше, но “мы так привыкли, нам так удобнее”. Массовый переход могу представить по 2 сценариям:

В РФ начинают наказывать за использование Windows, независимо от того, лицензионная копия или нет.

Microsoft применяет удалённый kill switch.

Так поколения пользователей постепенно меняются, меняются и запросы работодателей. Мало кто из людей станет заморачиваться с виндой, когда на учебе, потом на работе привыкнут к другой ос. А винда начинает бесить и тех, кто к ней привык. Вот я, например, не привыкал изначально к рекламе в меню пуск, к меняющимся не по моей воле обоям тоже не привыкал. Это резко отталкивает многих.

То что меня в Винде всегда бесило я сразу убивал. Вот вообще не задумываясь. Особенно всякую ересь, которая потребляет ресурсы мимо кассы, типа рекламы, анимированные темы, виджеты, новости, избыточная телеметрия. Сейчас в Андроиде такая же история пошла, родные приложения идут под снос (либо выключаются) и заменяются другими, мое мнение - охренели мне в моем телефоне рекламу показывать при открытии галереи.

Кстати, законных оснований признать винду вредоносным софтом хоть отбавляй. И это отнюдь не политические натянутые основания. Почему этого не сделали раньше- понимаю, а сейчас- хороший вопрос.

Так это и самому можно сделать, разве кто запрещает?

А что там такого в acme.sh изменили? Почему стандартной версией или вообще certbot нельзя пользоваться?

У них в архиве скрипта по ссылке из статьи лежит файл "acme.sh_changes.docx" где написано что они там поменяли, заодно там дали ссылку на оригинал, чтобы можно было сравнить.

Лучше бы НУЦ привевели в соответствие с RFC 8555 для использования стандартных клиентов вроде LEGO.

Я с НУЦ пока связываться не собираюсь, т.к успешно победил LE, но тем не менее, а что у них есть проблемы с этим?

8555 это как я понимаю и есть acme, все изменения скрипта, которые я увидел в описании по большей части косметические, типа обязательно чтобы страна была RU. Все это так же должно настраиваться в LEGO аналогично тому как в скрипте acme.sh.

Эта косметика ломает совместимость со всеми ACME-клиентами и Chrome не может показать CN на сайте НУЦ.

Хотя смутно припоминаю, что какой-то коммерческий CA тоже требовал страну в CSR.

Вано, погоди. Если сертификата в операционках по умолчанию нет, то ведь теряется весь смысл, особенно для статичных хомячковых сайтов. Он же все равно у подавляющего большинства будет показываться как недоверенный, т.е. что есть, что нет. А в появление его в ОСах я бы не ждал на фоне процесса отзыва забугорными конторами. Ну и в догонку, если ты там в доке копался, НУЦ wildcard сертификаты поддерживает?

Приняли 210-ФЗ, там есть и про НУЦ, так что его наличие в операционках - дело времени.
Не думаю, что Microsoft его добавит в Trusted Root, а вот установщик Диадок сможет.

Сразу расставим точки над ё: я не в коем разе не против статьи, даже наоборот, т.к. такая инфа может и пригодится когда-нибудь.

Суть моих возражений только про твой сценарий почему ты связался с НУЦ: т.е. необходимость в таком ущербном сертификате для домашней страницы (а насколько я помню там были одни фотографии). Дело ведь не в том, что ты доверяешь своему сайту :) а в том что для большинства других он таковым не будет (я то на твой сайт и без страха без сертификата зайду). Потому что этот ФЗ это про конторы, т.е. того же Диадока на личном компе вряд ли встретишь. Ну допустим банки или госуслуги будут хотеть, но в этом случае, они например у меня будут сидеть в какой-нибудь песочнице с этим сертом, и оттуда я по другим сайтам ходить не буду. Полагаю другие похожим образом рассуждают.

Яндекс.браузер я на десктопах ни у себя ни у знакомых не наблюдаю, все его вычищают нещадно. Единственное где он у меня встретился недавно это предустановленный на андроиде у мамы, кстати туда и сертификат обяжут производителей ставить, если еще не. Но ты ж про винды :)

acme.sh делает только DV-сертификаты, на портале НУЦ выпускает и OV-сертификаты.

OV-сертификаты это не про wildcard, а про организации и их проверки. Тот же Let's encrypt позволяет делать обычные wildcard сертификаты, только для их автоматического подтверждения по-моему нужно чтобы регистратор домена предоставлял API-доступ к записям своего домена а многие его не дают. Т.е. изменение TEXT записи это ручная работа и тот же certbot (полагаю и acme.sh) wildcard сертификаты от Let's encrypt автоматом не обновляют.

acme.sh умеет дёргать API разных регистраторов, и соответственно автоматически обновляет wildcard-сертификаты.

Делать или пользоваться? Это как бы разные вещи. Если у моего регистратора timeweb нет API для изменения DNS записей, только через вебморду. То как acme.sh это обойдет. Я смотрел сорцы кого-то из списка этих автоботов, там были API известных автору регистраторов, и чтобы добавить своего регистратора нужно чтобы этот рег предоставлял API.

Уточнение: у timeweb вроде есть API, но по-моему это если ты у них хостишься, а за просто услугу DNS я увидел только индейское жилище.

у моего регистратора timeweb нет API

Сочувствую, я пользуюсь reg.ru, для него у acme.sh есть модуль так что всё работает, и выпуск и авто-продление wildcard-сертификатов.

Ну это как раз не беда, ровно сегодня пришло уведомление что через месяц домен заканчивается и надо продлить, может и перенесу куда. Я разбирался впервые с этим соответственно почти год тому назад, но каша в голове небольшая осталась и я могу заблуждаться: проблема больше не из-за регистратора, первую скрипку играет как раз УЦ.

Сам УЦ должен давать возможность выпускать wildcard сертификаты (например Let’s Encrypt начал выдавать бесплатные wildcard-сертификаты в с 2018).

Далее, чтобы выпустить сертификат, УЦ проверяет что ты являешься владельцем домена. Let's Encrypt это делает двумя способами: изменением записи TEXT в DNS или покладанием файла в определенную папку на сервере. Но вот беда, оба способа он использует только для полного домена, а для домена со звездочкой, только через TEXT. Отсюда и появляется требование в наличии программного доступа (API) к редактированию DNS записей для автоапдейта. А наличие такого API это уже воля или не воля регистратора. Поэтому если тот же НУЦ умеет выпускать wildcard с выкладыванием файла на сервер, то необходимость в API у рега отпадает.

Т.е. домен вида example.com я у timeweb успешно автоматом обновляю, а вот *.example.com не могу, только руками.

Но, что-то мне подсказывает, что эти способы проверки у всех УЦ примерно одинаковые т.к. используют какой-нибудь единый стандартный протокол. И поэтому с этой точки зрения НУЦ вряд ли имеет преимущество перед LE по этому вопросу.

Вилдкард насколько мне известно только через днс можно продлить, а простой домен и файлом может обойтись.

Ха, статья для меня полезна уже тем, что в процессе обсуждения я таки поднял зад и с помощью гуглежа в AI режиме перевел свой домен в timeweb с одного акка (hosting) на другой (cloud) на тех же условиях, благополучно получил API токен и настроил выпуск и автообновление сертификата LE

Документация не причем, проблема была не в том как автоматизировать через API. Эта дока вполне понятно описывает как автоматизировать обвновление вилдкард сертификатов, если бы не одно но: у timeweb есть несколько типов сервисов и они используют разные акки. И знать бы об этом заранее. Я изначально зарегистрировал себе домен через них из-за отзывов и цены, только потом мне понадобились серты для нескольких поддоменов и я тогда узнал про вилдкакрд и что так секурнее, чтобы не палить внутренние сервисы. Так вот, мой изначальный акк оказался на их сервисе с hosting в урл, а API доступен на другом с cloud в урл (и это так же видно что дока только про клауд). И это разные акки!!! И для меня совершенно не было очевидно, как перенести (и вообще возможно ли это) уже оплаченный домен. И собственно я не торопясь дожидался окончание этого года и через месяц бы попробовал перекупить его на новом акке с API.
Собственно гуглеж в режиме AI меня уверил, что это возможно, что цены не изменятся, что нужно использовать процедуру переноса как это делается когда ты переходишь от другого рега, что API появится. Ну и учитывая что осталось всего месяц до конца оплаченного периода, я не сильно рискуя все это проделал.

А уже когда я перевел домен на нужный акк, настройку по ней я бы сделал за 5 минут, дольше пришлось вспоминать что и где лежит, как я настраивал веб-сервер и как вычистить мусор от старых проб с сертификатов. В итоге она мне не понадобилась, потому что я в какой-то момент слез с nginx на caddy, а там свои настройки и yb certbot ни acme.sh мне нужны. Опять же все решилось с помощью ИИ в течении этих самых 5-10 минут, он и подсказал где и что у меня должно лежать, и что в настройках поменять и где это сверить с оф.доками самого caddy.

PS: собственно именно благодаря этой самой доке я и узнал что у моего рега есть таки API

Ну и я бы проверил как он обновляется на самом деле. Поставь своему сервису вместо трех недель день-три (если у них есть ограничение на частоту обновления). Я когда год тому назад разбирался с Let's Encrypt например с первой попытки в чем-то элементарном накосячил.

Интересно, сайт такой во всех браузерах в РФ будет открываться с зеленым замочком? В противном случае это те еще грабли.

С чего бы? Для этого в системе должен быть уже корневой сертификат, той цепочки сертификатов авторизующих центров, которые участвуют в подписи выпущенного. Об этом и была хотелка в статье:

Жду теперь, когда корневой сертификат НУЦ добавят в дистрибутивы Windows и браузеров

Долго ждать придётся:( так значит и остается let's encrypt..

Я уверен, что проблемы с отзывом сертификатов исчезнут до того момента как сертификат НУЦ появится в ОСах по умолчанию. Хотяяяя..., кто-то же пользуется яндекс.браузером, у них наверное уже сейчас показывается как доверенный. Собсвенно можешь проверить и зайти на сам сайт Национальный удостоверяющий центр, у меня театр уже с вешалки показывает что "Not secure" красным.

Написано так, как будто все в России знают что такое НУЦ, ЕПГУ и DV.

И самое главное: с каких пор сертификат от НУЦ признается международным и доверенным?

Если курсор подвести к непонятной аббревиатуре, отмеченной серым, то можно щёлкнуть на ней мышкой и непонятная аббревиатура раскроется пояснением.
Я старался, чтобы текст был приятен на вид и тем, кто знает про ЕПГУ, и тем, кто называет их просто "Госуслуги".

Так как сертификат с криптографией стандарт RSA используется во многих странах, то да, сертификат RSA от НУЦ является международным.
Сертификат является доверенным для тех, кто ему доверяет. Я установил корневой сертификат НУЦ себе в ОС и теперь программы, использующие системное хранилище корневых сертификатов, ему доверяют.

Вы же знаете, что такое ЕПХХ?

Это Единый портал ХабраХабра.

Ну вообще-то ЕПГУ уже давно и все чаще встречается много где, хотя справедливости ради термин госуслуги гораздо большему народу понятны.

А еще можно поднять свой корневой УЦ, тогда проблем с выпуском сертификата вообще никаких не будет.
А поскольку ждать, пока его сертификат добавят в хранилище доверенных корневых УЦ винды, примерно столько же, сколько и сертификат НУЦ, свой УЦ определенно прагматичнее ))

Пользователей с установленным сертификатом НУЦ уже больше 0% (или в систему поставлено, или яндекс-браузер используют - не суть). А вот количество пользователей с вашим собственным СА стремится к нулю.

Чорт!!

Пользователей с установленным сертификатом любого центра — больше 0%.

  1. Вас собственными руками заставляют строить сеть внутри чебурнкта. Сами себе тюрьму строите.

  2. Ваши пароли и сетевой траффик уже виден товарищу майору. Ибо ключи шифрования у них уже есть

Что характерно, сертификат для сайта НИИ Восход, который этот самый НУЦ поддерживает, выпущен УЦ GlobalSign

Ага добавят в Винду и браузеры и мак уже в очереди вымаливает дайте нам тоже добавить)))) судя по тенденции скорей корневой забанят на западе.

Вы реально думаете, что можно вот так вот просто и по хамски блочить западные сервисы продавливать свои причем, что блоки, что сами наши сервисы да 99% работают на западном же оборудовании и софте))). И после этого не получить ответку?:))

Всё доверие на сертификаты от западных (и восточных) компаний держалось на уверенности что у них совести не хватит подсматривать. Эта уверенность оставалась даже после слухов о раздаче некоторыми УЦ программно-аппаратных устройств для генерации поддельных сертификатов, выдачи сертификатов кому угодно и т.д. Сейчас же нет никакой надежды что, например, организация в зоне действия законов США не предоставит что угодно спецслужбам США, то же про Россию и про любую страну. То есть цепочка доверия к системе сертификатов разорвана во многих местах. И именно это настоящая проблема, интернет распался на Неуловимых Джо и тех кого уже ловят. Закладки в браузерах, контролируемых правительствами, телефоны с Андроид, контролируемые правительствами, приложения с излишними правами - это всё есть уже, и есть везде.

Пора признать что Интернет в том виде каким он был десять лет назад больше не существует. А мы тут обсуждаем что сертификат "минцифры" не стоит по умолчанию в браузере.

Повторяется история раннего Интернет - см. вирус Морриса. Все всем доверяли, пока студент не решил пошутить.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации