Комментарии 25
А, то есть теперь с клиента можно брать деньги не раз в три года, а раз в два. И акция "успейте купить трехлетний сертификат". Всё целях безопасности, конечно (и то, и другое). :)
LetsEncrypt шагнул дальше.
CA то денег побольше срубят. А как это поможет безопасности?
Вроде ж сертификаты прекрасно отзываются в случае компроментации. В чем смысл снижать срок действия сертификатов? Даже наоборот — чаще меняем сертификаты, нужно больше телодвижений, больше вероятность ошибки.
Вроде ж сертификаты прекрасно отзываются в случае компроментации. В чем смысл снижать срок действия сертификатов? Даже наоборот — чаще меняем сертификаты, нужно больше телодвижений, больше вероятность ошибки.
Надо делать раз в 3 месяца, как в LetsEncrypt :)
и бесплатно.
Все остальное глупый маркетинг.
и бесплатно.
Все остальное глупый маркетинг.
Для DV сертификатов (которые бесплатно дает LE) достаточно и раз в 10-20 лет. Остальное и правда маркетинг.
Если сертификат будет 20ти летний — то кто там через 20 лет вспомнит поменять его?
в случае 3х месяцев — это должно быть обязательно автоматизировано.
в случае 3х месяцев — это должно быть обязательно автоматизировано.
Ответственный вспомнит.
Что до 3х месяцев, я не понимаю кто в здравом уме будет автоматизировать такую операцию как перевыпуск сертификатов, замена их на серверах. Какие-то технические накладки и полетят головы.
Итого при наличии десятков (а то и сотен, у кого как) сертификатов получаем ежетрехмесячный лютый головняк. Удовольствие на любителя.
Что до 3х месяцев, я не понимаю кто в здравом уме будет автоматизировать такую операцию как перевыпуск сертификатов, замена их на серверах. Какие-то технические накладки и полетят головы.
Итого при наличии десятков (а то и сотен, у кого как) сертификатов получаем ежетрехмесячный лютый головняк. Удовольствие на любителя.
Тогда выход — вообще без срока годности. 1М лет.
Вот реально, я только за. Пусть клиент сам решает на какой сроки, какой именно сертификат ему нужен, и пусть только его беспокоит насколько он надежен.
Но увы большие парни затеяли какие-то большие игры и на конечных пользователей просто кладут болт словами «мы лучше вас знаем что вам нужно».
Но увы большие парни затеяли какие-то большие игры и на конечных пользователей просто кладут болт словами «мы лучше вас знаем что вам нужно».
Тау selfsign же?
Если вы про самоподписанный то с некоторых пор у клиента в броузере больно много шума от этого. Возня с исключениями и тд. Ну и в целом, с точки зрения клиента ситуация непонятная «некий поц с горы клянется что сайт тот за кого себя выдает» это неубедительно.
А внести свой СА в список корневых стоит негуманно дорого.
Для сервиса VPN, к примеру, самоподписанные то что доктор прописал.
А внести свой СА в список корневых стоит негуманно дорого.
Для сервиса VPN, к примеру, самоподписанные то что доктор прописал.
Какие-то технические накладки — и крон вовсю вопит на почту всем админам, что всё нахрен сломалось. Я так вообще сделал себе еженедельные уведомления, даже если сегодня ничего не произошло сертификаты на этой неделе не обновлялись. Если вы не умеете в автоматизацию и мониторинг — это ваши личные проблемы :) А letsencrypt молодец.
Какие-то технические накладки — и крон вовсю вопит на почту всем админам, что всё нахрен сломалось.
Вот уже и фсё. Спасибо не надо.
Что фсё? У меня за два года автоматический перевыпуск ни разу не сломался, а даже если сломается, то чинить раз в два года руки не отвалятся, ничем не хуже ручного перевыпуска
Что фсё?
Фсё это означает лишение премии. А с большой долей вероятности и увольнение.
Если у вас подобные факапы считается нормальным и терпимым — что ж вам повезло.
Во-первых, подобных факапов просто не существует, всё работает нормально, вы это сами выдумали в своих комментариях.
Во-вторых, что плохого в проблеме, которую никто не заметит? Сертификаты обновляются за месяц до их истечения (то есть каждые два месяца, реже не рекомендуют) — если админ за ЦЕЛЫЙ БЛИН МЕСЯЦ!!! не сможет починить проблему с автоматическим обновлением, то его действительно нужно уволить как можно скорее и взять кого-то более ответственного. Если же админ ответственный, то о том, что автообновление вообще когда-то ломалось, не узнает никто, кроме него и, может, ещё нескольких ответственных за сайт/сервер админов, пока они сами кому-нибудь не расскажут.
Во-вторых, что плохого в проблеме, которую никто не заметит? Сертификаты обновляются за месяц до их истечения (то есть каждые два месяца, реже не рекомендуют) — если админ за ЦЕЛЫЙ БЛИН МЕСЯЦ!!! не сможет починить проблему с автоматическим обновлением, то его действительно нужно уволить как можно скорее и взять кого-то более ответственного. Если же админ ответственный, то о том, что автообновление вообще когда-то ломалось, не узнает никто, кроме него и, может, ещё нескольких ответственных за сайт/сервер админов, пока они сами кому-нибудь не расскажут.
Проблема в навязывании и отсутствии выбора. Допустим, к примеру, я хочу массово внедрить ssl в своей инфраструктуре. Я точно знаю, что 20 лет она попросту не проживет — все несколько раз сапгрейдится за этот срок. И мне нафиг не нужна головная боль с частой сменой сертификатов, потому что автоматизации "из коробки" нет практически нигде, автоматизация, требующая лишь небольшой доработки имеющихся решений, годится только для относительно узкого круга сценариев, а для большинства сервисов смена сертификата является достаточно нетривиальным занятием. И это все притом, что осмысленного ответа на вопрос "ЗАЧЕМ менять сертификат раз в два месяца" не существует.
Хабр стал превращаться в магазин на диване
Интересно, а аргументы сторонников уменьшения срока никак на GlobalSign не действуют: ведь украденный 3-летний серт. можно дольше использовать, например, для MITM, чем 2-летный, или 1-месячный.
LE об этом постоянно говорит, и советует автоматический перевыпуск и обновление файлов сертификатов. Они ребята вдумчивые, им тоже гемор раз в 2 месяца (как сейчас оказывается) обновлять то же самое, им-то как раз можно было и год, и два запилить с рождения сериса — видимо, аргумент про срок жизни все же важный?
LE об этом постоянно говорит, и советует автоматический перевыпуск и обновление файлов сертификатов. Они ребята вдумчивые, им тоже гемор раз в 2 месяца (как сейчас оказывается) обновлять то же самое, им-то как раз можно было и год, и два запилить с рождения сериса — видимо, аргумент про срок жизни все же важный?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Новые отраслевые требования: Удостоверяющие Центры прекращают выпускать 3-летние SSL-сертификаты с 1 марта 2018 года