Если вы ищете новую сумочку и хотите что-то шикарное, что также будет надёжным отвлечением во время неловких свиданий за ужином, то радиоуправляемая гоночная сумочка RC Car Bag от дизайнера Nik Bentel Studio — именно то, что вам нужно. /s
Разработчики пояснили. что сумочка имеет полный привод, управление для дрифта и скорость до 14 км\ч. Беспроводной пульт (2,4 ГГц) работает до 9 метров.
🗓 25.02.1725 — Родился Никола Жозеф Кюньо [вехи_истории]
Французский инженер и изобретатель, создавший первый в мире самоходный транспорт. В 1769 году он представил свою паровую повозку, известную как «фардье Кюньо» (Fardier à vapeur). Машина могла двигаться со скоростью около 4 км/ч, но была громоздкой и трудноуправляемой. Кстати, про эту машину пост был на канале.
Его изобретение предвосхитило появление паровых автомобилей в XIX веке, а затем и современных автомобилей. Сегодня Кюньо считается одним из пионеров автомобилестроения, а его паровая повозка хранится в Национальном музее техники в Париже как один из символов ранней инженерной мысли.
📝 Прошу написать в комментарии, а делали(изобретали) ли вы что‑то материальное своими руками? Табуретку, сложную схему управления с пайкой и вот этим всем? Если есть фото — кидайте в комментарии)
Задача об утечке паролей
Задача будет полезна начинающим и опытным специалистам по информационной безопасности, а также всем, кто хочет защитить свои данные.
Условие
В компании «ТехноБезопасность» недавно всплыла неприятная ситуация: один из сотрудников каким-то образом заходит под аккаунтами других пользователей.
Специалист по безопасности Дин Завров начал расследование. Изначально он предполагал, что утечка вызвана атаками XSS или CSRF, но лид фронтенд-разработки заверил: подобные уязвимости исключены. Тогда Дин пошел к бэкенд-разработчикам и девопсам, но и они не смогли помочь. Пришлось ему самостоятельно перебирать все популярные варианты утечки паролей.
Задача
Определите, какими способами внутри компании мог произойти несанкционированный доступ к чужим аккаунтам. Предположения о фронтенд-уязвимостях (XSS/CSRF) исключены.
Важно учесть все варианты, связанные с неправильным хранением паролей, секретов, бэкапов и логов.
Делитесь своими ответами в комментариях. А проверить себя можно в Академии Selectel →
Подключайтесь к вебинару «Практикум Cloud.ru Evolution: новые сервисы платформы».
📅 Когда: 4 марта в 11:00 мск
📍 Где: онлайн
Узнайте, какие облачные сервисы теперь доступны в личном кабинете и как их использовать. На вебинаре проведем обзор платформы Cloud.ru Evolution: расскажем про нюансы, сетевые и вспомогательные сервисы, работу с виртуальными машинами.
Cloud.ru Evolution — публичное облако, построенное на собственных разработках и свободно распространяемых компонентах. Оно подходит для разработки и тестирования на виртуальных машинах, создания cloud native приложений и безопасной публикации в интернете.
Программа встречи:
обзор основных облачных сервисов Cloud.ru Evolution;
как развернуть базовую инфраструктуру в облаке;
обзор облачных сервисов, которые скоро появятся на платформе;
ответы на вопросы участников.
Посетить вебинар будет полезно тем, кто только задумывается о переезде в облако и планирует узнать о нем больше. А также тем, кто уже использует облачные технологии и хочет задать вопросы эксперту или получить совет по работе с платформой.
Если у вас есть вопросы по теме, их можно оставить в комментариях под этим постом или задать на самом вебинаре — спикер ответит на них в прямом эфире.
Обойдемся и без Terraform: внедряем GitOps-подход для виртуальных машин
Для работы с OpenStack удобно использовать Terraform. Хотя компания Hashicorp прекратила свою деятельность на территории России, нам все еще доступен open source-форк под говорящим названием OpenTofu. Он позволяет автоматизировать создание виртуальных машин на основе текстовых файлов конфигурации. Схема его работы примерно такая:
В GitOps-репозитории находятся terraform-файлы с описанием параметров виртуальных машин и DNS.
На основе этих файлов формируются конфигурации для новых ВМ.
Все изменения вносятся через pull request, а их корректность проверяется автоматическими запусками тестов в CI.
После слияния изменений CI запускает процесс приведения нового желаемого состояния репозитория к действительному.
Этот подход отлично масштабируется, позволяет быстро создавать новые кластеры. Достаточно лишь скопировать все файлы в новые директории и поменять нужные переменные. В итоге с OpenTofu вы сможете описывать инфраструктуру в декларативном формате и автоматически применять изменения.
В своей статье Кирилл Яшин рассказывает, как с нуля реализовать такой подход к виртуальным машинам, используя провайдеры для работы с OpenStack и DNS.
Добавили новую версию Kubernetes v1.32.1
Все актуальное в нашем managed Kubernetes. Обновили прошлые версии и добавили две новые — v1.32.1+k0s.0 и v1.31.5+k0s.0. Главное:
Kubernetes v1.32.1
Эта версия значительно апгрейднула управление ресурсами на уровне подов. Теперь там можно отправлять запросы и задавать лимиты ресурсов, что помогает динамически балансировать нагрузку во всем пуле. Полезно для проектов, где запросы мощностей постоянно меняются.
Также теперь в статусе подов можно отслеживать состояние аппаратных ресурсов. Мониторинг на раз-два + быстрое устранение неполадок.
Kubernetes v1.31.5
А тут у нас полезный патч-релиз, — с фиксом ошибок и улучшением стабильности.
Бонус-трек
Доработали Куб и выкатили еще несколько прикольных релизов. Во-первых, в список кластеров вшили ссылки на доку, а на виджет в дашборде вывели отображение лимита воркер-нод.
А еще — теперь можно скачивать файл с конфигом прямо со страницы со списком кластеров.
Поиск команд в консоли с помощью ctrl+r
Стрелочки вверх-вниз помогут найти в консоли команду, которая использовалась раньше. Это удобно для недавних команд, но не поможет со старыми.
Нажмите в linux-консоли ctrl+r и введите любую часть искомой команды. Будет предложен вариант команды из истории. Если он не подходит, нажмите ещё раз ctrl+r для поиска дальше в истории. Добавьте букв для уточнения поиска. Если пропустили нужную команду, итерируйтесь в обратную сторону с помощью ctrl+shift+r (но этот хоткей работает не везде, иногда надо настроить).
Обратите внимание, что курсор будет стоять на начале найденной подстроки. Прервать поиск можно с помощью ctrl-c. Когда нашли нужную команду, нажмите enter для выполнения, esc или стрелочку в сторону для модификации.
Больше хаков в терминале в нашем бесплатном курсе cli-for-dev на степике или в видео forkbomb в docker.
Создать Telegram-бота и получить за это подарок от Selectel?
Да, это возможно, если вписаться в наш интерактив. Вот что нужно сделать:
Создайте бота и опубликуйте репозиторий на GitHub.
Пришлите ссылку на репозиторий в Telegram-канал SelectelFeedbackBot, чтобы получить бонусные рубли для панели управления.
Задеплойте бота в облаке Selectel, оплатив услуги полученными баллами.
Отправьте ссылку на бота в Telegram-канал SelectelFeedbackBot.
Мы будем ждать ваших сообщений до 2 марта 2025 года, после чего подведем итоги. 10 счастливчиков получат комплект мерча Selectel: картхолдер, кружку и плюшевого Тирекса 🦖
Если готового бота у вас еще нет и вы вообще таким не занимались, то у нас в Академии Selectel есть пример для вдохновения — пошаговый гайд по созданию бота для прогноза погоды. На всякий случай есть еще инструкция, как задеплоить бота на сервер (мало ли).
Полные правила конкурса доступны по ссылке. Узнать обо всем чуть подробнее можно в нашем Telegram-канале.
Инструкция по эксплуатации
Вышел девятый выпуск видеоподкаста «Теория большого IT».
ИТ-инфраструктурам и сервисам необходимо тщательное обслуживание. Чем выше требования к их надежности и доступности, тем сложнее эксплуатация, модернизация и внедрение новых решений. Каждое изменение в проектах РТК-ЦОД требует хирургической точности, ведь на кону стоит стабильная работа многих важных для России сервисов.
Как выстроить процессы для поддержки бесперебойной работы крупных и сложных систем и приложений, и что вообще кроется за словом «эксплуатация» в ИТ-индустрии — рассказал Евгений Симонин, операционный директор по эксплуатации РТК-ЦОД.
Ведущий — Александр Соколов.
Подкаст можно посмотреть:
🗓 21.02.1804 — Сocтoялocь пepвoe в миpe иcпытaниe пapoвoзa [вехи_истории]
В Южном Уэльсе (Великобритания) состоялось первое в мире испытание паровоза с паросиловой установкой, сконструированного английским инженером Ричардом Тревитиком. Его первый паровоз проехал по рельсам на железнодорожной линии Пенидаррен, перевозя груз весом около 10 тонн и несколько пассажиров.
Хотя конструкция Тревитика была несовершенной — его паровоз оказался слишком тяжелым для чугунных рельсов того времени, — именно он заложил основу для последующих разработок в сфере железнодорожного транспорта. Спустя несколько десятилетий идеи Тревитика были усовершенствованы такими инженерами, как Джордж Стефенсон, что привело к появлению полноценной железнодорожной сети, революционизировавшей транспорт и промышленность XIX века.
📝 Сегодня попрошу вас написать — А каким транспортом вы предпочитаете пользоваться?)
Из Let's Encrypt сообщают, что выпустили первый TLS-сертификат сроком действия шесть дней. Сделать такие TLS-сертификаты доступными для всех планируют к концу 2025 года. Короткоживущие сертификаты не будут содержать ни ссылки на OCSP-респондер, ни ссылки на точку раздачи CRL. То есть, никаких механизмов проверки статуса (отзыва) в сертификате не предусмотрено. Такой вариант допускается для короткоживущих сертификатов требованиям CA/B-форума (организация, через которую определяются требования к УЦ, корневые ключи которых включаются в дистрибутивы браузеров).
Для подключения шестидневных сертификатов нужна поддержка соответствующих профилей в ACME-клиенте. Очевидно, заказ короткоживущих сертификатов для легитимных, - долгоживущих, - сайтов имеет смысл выполнять только полностью автоматически. Зато такие сертификаты обещают и для IP-адресов, что удобно в ряде сценариев использования. DNS для подтверждения управления IP-адресами не подходит. Поэтому проверяется только факт управления узлом под заданным IP-адресом, а не доменной зоной. И такая проверка будет происходить не только по HTTP, но и довольно экзотическим методом TLS-ALPN, который целиком работает на уровне TLS и вообще не виден для веб-сервера, работающего выше TLS.
Что касается перехода к короткоживущим сертификатам. В современном вебе отзыв сертификатов, фактически, не работает. Это хорошо известно. Считается, что коротоживущие сертификаты, в основном, решают эту проблему, так как, в случае компрометации ключа, всё равно быстро заканчивают действовать. Тут, впрочем, нужно учитывать, что это касается только отзыва, а атаки с подменой сертификата вполне могут быть достаточно "быстрыми", чтобы короткоживущий сертификат не оказался самой большой помехой. Но, конечно, подменный сертификат, действующий год, лучше подменного сертификата, валидного только до пятницы - тут не поспорить.
Поскольку проблема отзыва сертификатов и компрометации ключей - одна из центральных в этой области, можно предположить, что скоро короткоживущие сертификаты получат приоритет и в браузерах. Последует постепенный, - но достаточно быстрый, - отказ от доверия "долгим" сертификатам только на основании периода валидности, даже без проверки подписей и доверия к УЦ. Технически, ограничение срока действия может применяться и к оконечным сертификатам от УЦ, корневые ключи которых были добавлены в браузер вручную.
Эта строгая тенденция к снижению срока действия сертификатов, которым браузеры соглашаются верить, достаточно давняя - ей около десяти лет. А хорошим подтверждением курса на "сверхкороткие" сертификаты является то, что в рекомендациях CA/B-форума для таких сертификатов уже закреплено отсутствие требования ссылки на CRL (OCSP сейчас не является обязательным для любых оконечных сертификатов).
ITFB Group совместно с партнерами приглашает руководителей и владельцев контакт-центров, ИТ-директоров и директоров по цифровой трансформации на вебинар-круглый стол. Обсудим ключевые тренды развития контакт-центров, инструменты автоматизации и ИТ-стратегии будущего.
Темы дискуссии:
Различные подходы к формированию ИТ-ландшафта:
CRM-центричный – от НОТА МОДУС
Телефония-центричный – от Sigurd IT
AI-центричный – от Rubytech
Тренды трансформации ИТ-ландшафта - импортозамещение и повсеместное применение ИИ
Базовый и расширенный набор ИТ-инструментов для контакт-центров
Монолитные системы vs. специализированные решения
Современные реалии применения ИИ в контакт-центрах
Как меняется рынок контакт-центров и какие технологии будут ключевыми в ближайшие годы?
Присоединяйтесь к экспертной дискуссии и узнайте о передовых решениях из первых уст!
Дата и время: 25 февраля в 11:00
Подключайтесь к воркшопу по Kubernetes
Через 10 минут, в 16:00 мск, начинаем воркшоп «Как развернуть приложение в кластере Managed Kubernetes на выделенном сервере». Узнайте, как повысить производительность сервиса и сократить расходы на IT-инфраструктуру до 40%.
На эфире дадим пошаговый план действий, который позволит сделать выделенные серверы частью экосистемы облачной платформы.
Создадим кластер Managed Kubernetes на выделенных серверах через личный кабинет.
Настроим кластер и ресурсы, выберем подходящую конфигурацию выделенного сервера.
Покажем, как управлять кластером через панель управления.
Развернем в кластере тестовое приложение.
Опубликуем его и посмотрим, как облачный балансировщик будет работать вместе с выделенными серверами.
Создадим облачную базу данных DBaaS и покажем, как она связана с приложением, которое работает на выделенных серверах.
Ежемесячный дайджест: новое за январь 🌨️
🧊 Заморозили цены на облачные услуги для новых клиентов на три года. Вы можете выбрать виртуальные машины, GPU-ресурсы, объектные хранилища, базы данных и другие облачные сервисы — тарифы останутся неизменными в течение трех лет. Предложение действует до 31 марта 2025 для юрлиц и индивидуальных предпринимателей. Оставить заявку.
☁️ Открыли регистрацию на главную конференцию про облачные технологии и искусственный интеллект — GoCloud 2025. Хотите узнать про глобальные тренды в AI, пополнить список инструментов и сценариев работы в облаке, обменяться опытом с коллегами-экспертами, а также увидеть, какой простор открывают облачные и AI-технологии для ваших IT-проектов? Тогда мы ждем вас 10 апреля онлайн и офлайн в Москве в Цифровом деловом пространстве (ЦДП). Зарегистрироваться.
🚀 Запустили новую зону доступности ru.AZ-3 в облаке Cloud.ru Evolution — сейчас в ней можно размещать ресурсы IaaS-сервисов. А благодаря сетевой связности с уже существующими AZ, созданные в AZ-3 ресурсы могут обмениваться данными по сети со всеми другими вашими IaaS-ресурсами.
📺 Провели вебинары и их можно посмотреть в записи:
K8s от теории к практике: быстрое погружение в основы Kubernetes,
K8s от теории к практике: как развернуть кластер Kubernetes за несколько кликов.
А также 27 февраля в 11:00 мск приглашаем на вебинар Evolution Bare Metal: как мы решили строить Bare Metal и что у нас получилось. На нем вы узнаете, как эффективно использовать выделенные серверы для разработки и тестирования, обработки больших данных, а также виртуализации и контейнеризации.
🦾 Обновили наши облачные платформы. Например, добавили новые асинхронные методы для удаления и остановки Jupyter Servers. А еще в документации платформы Cloud.ru ML Space рассказали, как собрать Docker-образ для задачи обучения на основе любого пользовательского образа. Про остальные обновления подробно рассказали в дайджесте на сайте.
⚙️ Расширили возможности в облаке Cloud.ru Evolution — теперь аренда виртуальной машины с GPU NVIDIA® Tesla® V100 доступна и физическим лицам. Для этого достаточно расширить квоту через техническую поддержку.
💸 Предлагаем зарабатывать вместе с Cloud.ru: присоединяйтесь к реферальной программе, рекомендуйте наши облачные сервисы клиентам, коллегам или друзьям и получайте вознаграждение 15%. Участвовать могут не только юридические лица и ИП, но и физические лица, а также самозанятые.
До встречи в следующем выпуске!
1 год DBaaS в облаке Рег.ру
Привет, Хабр! На связи команда Облака Рег.ру. Сегодня нашему сервису DBaaS исполняется год с момента его выхода из статуса βeta. Давайте вместе посмотрим, чего мы достигли за это время. Начнем с видимых изменений в панели управления:
Обновили версии PostgreSQL, добавив текущие ветки 16 и 17.
Добавили возможность для пользователей кастомизировать настройки кластеров под их собственную нагрузку для PostgreSQL и MySQL.
Добавили возможность для пользователей выбирать локали в PostgreSQL.
Расширили возможности управления доступом для пользователей кластеров баз данных.
Обновили список доступных расширений в PostgreSQL.
Но это, конечно же, далеко не всё! Кроме того, что пользователи могут увидеть напрямую через личный кабинет, у нас есть огромное количество новшеств «под капотом» DBaaS, среди них:
Изменения способа хождения трафика клиента к кластерам баз данных, чтобы увеличить стабильность сетевых соединений.
Добавили поддержку SSL/TLS для DBaaS.
Оптимизировали работу autovacuuma'а по умолчанию в кластерах PostgreSQL.
Оптимизировали работу с WAL в PostgreSQL, чтобы меньше влиять на распределение доступного места между данными пользовательской БД и служебными данными.
Увеличили общую надежность операций над кластерами PostgreSQL и MySQL, требующих переключение активного мастера.
И еще, на самом деле, много всего, включая новые фичи, которые проходят внутреннее тестирование. Stay tuned!
Ни единого разрыва: как ваш смартфон переходит из 4G в 3G или 2G
Сотовые операторы в России обслуживают более 260 миллионов абонентов (активных SIM-карт), а их сети работают с тремя поколениями технологий мобильной связи. Разберемся, как почти незаметно для нас смартфон переходит из LTE (4G) в 3G. А если базовой станции третьего поколения в зоне доступа не оказалось, то устройство подключается к 2G-сети.
Большинство операторов для взаимодействия между технологиями мобильной связи в части сервисов передачи данных используют архитектуру с Gn/Gp SGSN:
Мобильный трафик идет от абонента до базовой станции по радиоинтерфейсу и далее по транспортной сети оператора связи до шлюзов SGW и PGW — только потом выходит в интернет. Трафик на радиоинтерфейсе между устройством и базовой станцией, как правило, зашифрован, например, широко распространенным протоколом AES.
Трафик между базовой станцией и шлюзом SGW может быть зашифрован с помощью IPsec. Оператор анализирует трафик с помощью системы глубокого инспектирования трафика DPI. Эту систему реализуют на шлюзе PGW или на отдельном сетевом элементе — это так называемый standalone DPI.
Обычно для передачи мобильного трафика служит несущая по умолчанию (default bearer), которая позволяет подключиться к пакетным услугам. Несущая по умолчанию всегда является non-GBR, то есть не гарантирует скорость передачи данных. Поэтому при увеличении количества пользователей, которые подключены к одной базовой станции, скорость мобильного интернета снижается для каждого устройства.
Для голосовых вызовов по сети LTE (VoLTE) используются две несущие. Первая — несущая по умолчанию с QCI5 для сигнальных сообщений. Вторая — выделенная несущая с гарантированной полосой пропускания (QCI1) для голосового трафика.
При перемещении пользовательского устройства между базовыми станциями обрыва связи не происходит благодаря контролируемой передаче управления соединением от одной базовой станции другой (процедура handover). При этом устройство обычно обслуживается теми же системами опорной сети. Впрочем, возможна смена сигнального узла MME или шлюза SGW.
Если 4G-покрытие от обслуживающей базовой станции ухудшается и рядом нет соседней 4G-станции, то устройство с помощью процедуры handover переводится на 3G-станцию либо перенаправляется на 2G-станцию.
В посте мы рассказали о взаимодействии различных технологий в части сервисов передачи данных. Михаил Бухтеев, который в YADRO отвечает за планирование функционала базовой станции LTE, подробно объясняет в статье, как передаются голосовые вызовы и как устроены мобильные сети.
Регистрируйтесь на GoCloud 2025, чтобы увидеть весь масштаб облаков и AI 🦾☁️
Хотите узнать про глобальные тренды в AI, пополнить список инструментов и сценариев работы в облаке, обменяться опытом с коллегами-экспертами, а также увидеть, какой простор открывают облачные и AI-технологии для ваших IT-проектов? Тогда приходите на главную конференцию про облачные технологии и искусственный интеллект — GoCloud 2025.
Что вас ждет в этом году:
три трека: инфраструктура и инструменты, AI и R&D и сценарии работы в облаке;
30+ спикеров из Cloud.ru и ведущих российских компаний;
live-демонстрации облачных платформ и нетворкинг с экспертами;
не только доклады: интерактивные зоны, afterparty с музыкальной программой и кастомный мерч.
Кому будет полезно
Техническим лидерам, IT-директорам, разработчикам, DevOps-инженерам, архитекторам, дата-инженерам, AI/ML-инженерам, дата-сайентистам, SRE-инженерам, системным администраторам, специалистам по информационной безопасности.
Как принять участие
Можно подключиться к онлайн-трансляции (ссылка придет зарегистрированным участникам в письме) или прийти в Цифровое деловое пространство (ЦДП) в Москве. Собираемся 10 апреля в 10:00, основную программу начинаем в 11:00.
👉 Зарегистрироваться на GoCloud 2025
Скоро мы начнем анонсировать доклады программы — не переключайтесь! А как прошли предыдущие конференции Cloud.ru можно почитать в статьях:
Трамп грозится отобрать производство микросхем у Тайваня. Реально ли это?
На днях президент США Дональд Трамп заявил, что передовые чипы должна производить только США. Буквально тут же Ву Ченг-вэнь, глава министерства науки и технологий Тайваня, написал в соцсетях, что производство полупроводников — интернациональный процесс и нет необходимости сосредотачивать его в одной стране. Реальна ли угроза Трампа?
Хотя Ву Ченг-вэнь не упомянул Трампа, понятно, почему он быстро среагировал. Именно на Тайване базируется компания TSMC, которая продаёт почти две трети полупроводников в мире. Она выиграла в технологической борьбе у Intel и Samsung — создаёт чипы по самым современным техпроцессам для Nvidia, Qualcomm и других американских компаний. Как результат — вносит существенный вклад в профицит Тайваня при торговле США. Прям двойной удар по стремлению Трампа сделать США высокотехнологичной и уменьшить госдолг.
Дальше всё сложно. На поверхности лежит стремление Трампа перенести в США передовое производство чипов. Ещё в 2020-м он начал программу постройки современных фабрик микроэлектроники, в которую вписался и Intel — и это стало одной из причин текущих рекордных убытков компании. Но TSMC тоже не смогла «откупиться». Компания пыталась построить современную фабрику в США, но американские рабочие отказываются вкалывать по 12 часов в день в невыносимых условиях и за скромную зарплату. Так что фабрику TSMC может и достроит, но расходы растут и сроки явно затягиваются.
Между тем Тайвань всё равно никуда не денется от контроля США. Самые современные установки для литографии он закупает в голландской компании ASML, а та в свою очередь использует сверхмощные лазеры из США. Получается, TSMC по цепочке зависит от штатов.
А вот технологии не так просто портировать. Но возможна сложная комбинация: TSMC инвестирует в Intel и модернизирует его уже существующие заводы в США. Интересно будет посмотреть, осуществится ли такой расклад.
Горячая новость про холодное хранилище 🧊
Добавили «холодный» класс хранения данных в S3. Теперь их два — стандартный и, собственно, холодный. Разбираемся что к чему👇
Стандартное хранение подходит для данных, которые нужны здесь и сейчас. Например, операции биллинга, логи для аналитики в реалтайме, медиафайлы для стриминговых сервисов и др. Поэтому база этого хранения — быстрый диск.
Для данных, к которым вы обращаетесь редко, подойдет холодное хранение. Например, чтобы складывать туда резервные копии, архивные документы и многое другое, про которое можно сказать «залил и забыл». Они хранятся на диске помедленнее, за счет чего стоимость хранения в разы дешевле.
А именно 1 ГБ — 1 руб/мес
Плюс полностью бесплатный входящий трафик и 100 ГБ бесплатного исходящего в месяц. С платой за превышение последнего 1.5 руб/ГБ.
Также для холодного хранилища мы сделали гибкий конфигуратор бакетов. От 1 ГБ до 50 ТБ с шагом в 1 ГБ. Можно и больше, через менеджера.
Часто в разных скриптах, обрабатывающих серверные TLS-сертификаты, - скажем, для мониторинга, - в качестве источника "целевого" имени при выборе сертификата используется содержание Subject/CN (commonName). Предполагается, что в Subject/CN должно быть доменное имя. Вот типичный пример:
$ openssl x509 -in disruptive.pem -subject -noout -nameopt multiline | awk -F' = ' '/commonName/ {print $2}'
disrupted.zoneОднако, если речь про сертификаты для TLS в современном вебе и про имена, то полагаться тут на Subject нельзя. Нужно использовать другой фрагмент сертификата, а именно - расширение SAN (Subject Alternative Name).
Для извлечения расширения SAN при помощи OpenSSL x509 нужно использовать опцию -ext subjectAltName. Выдача состоит из списка, где каждому значимому элементу соотвествует префикс, обозначающий тип. DNS-имена OpenSSL выводит с префиксом "DNS" (кто бы мог подумать!). Пример:
$ openssl x509 -in google-com.cert.pem -noout -ext subjectAltName
X509v3 Subject Alternative Name:
DNS:*.google.com, DNS:*.appengine.google.com
[...]Кроме "DNS" могут встретиться другие префиксы, обозначающие IP-адреса и т.д. Однако для обработки имён - нужны имена, то есть "DNS". Скрипт, конечно, несколько усложнится. Пример:
$ openssl x509 -in google-com.cert.pem -noout -ext subjectAltName \
> | awk 'NR>1{split($0,A,",");for(k in A){split(A[k],B,":"); if(B[1]~/DNS/){print B[2]}}}' \
> | wc -l
135Причина использования SAN в том, что имя из поля Subject/CN оконечного (серверного) сертификата браузеры давно не используют в качестве идентификатора при валидации. А чтобы валидация сертификата для веб-узла прошла успешно (в браузере), необходимо наличие подходящего имени в SAN. Более того, современные требования для УЦ по выпуску TLS-сертификатов ("документы CA/B-форума") прямо не рекомендуют использование поля commonName в Subject оконечных сертификатов для веб-узлов. Это значит, что доменного имени в Subject может просто не оказаться, но сертификат (при прочих равных) будет валидным для браузера.
