CloudFlare позволяет в числе всего прочего включить HTTPS для проксируемого сайта. В результате запросы от браузеров поступают на CloudFlare по HTTPS и при этом админу сайта не надо возиться с сертификатами - CloudFlare получит и продлит их самостоятельно. Однако физически CloudFlare не создает сертификаты сам а использует для этого сертификационные агентства. По крайней мере до последнего времени так было.
Примерно до 22 апреля все прекрасно работало и в качестве сертификационных агентств были использованы Google Trust Services (основной сертификат) и Let's Encrypt (резервный сертификат на случай компрометации основного). Начиная с 22 апреля что-то пошло не так и теперь Google Trust Services не выдают новые сертификаты и не обновляют ранее выданные для тех сайтов на CloudFlare, которые находятся в зоне spb.ru (по крайней мере в этой зоне проблема носит уже массовый характер, про другие не знаю). При этом никакого перехода на запасной сертификат Let's Encrypt не происходит (это если он вообще есть - на некоторых доменах его просто нет). Обычные рушки и все прочие зоны в этом отношении ОК. По поводу других геозон я не знаю - у меня их просто нет. А те, что есть, все в spb.ru.
Ситуация воспроизводится с самыми разными сайтами на самых разных серверах и под разными логинами в CloudFlare. Между ними нет ничего общего кроме того, что меня попросили с этим как-нибудь помочь. Примитивные меры типа "выключил/включил", "из этого аккаунта удалил, создал новый аккаунт и в него добавил" - не помогают. По ctr.sh видно, что никакие сертификаты проблемным сайтам от GTS не выдаются. В панели управления на CloudFlare пишется, что выдавать сертификат GTS и не собирается.
Никакого объявления войны не было. В CloudFlare Community есть жалобы от других пострадавших с такими геодоменами. Никакого ответа они не получают, и в результате либо терпят недоступность по HTTPS, либо выключают проксирование и настраивают HTTPS уже на своей стороне. Если на сайте ранее был включен HSTS, то выбора особо и нет.
Срок действия сертификатов от GTS - 3 месяца. Так что если CloudFlare и GTS не починят там эту беду, то за 3 месяца все сайты на геодоменах (по крайней мере spb.ru) потеряют HTTPS на CloudFlare. Потенциально возможное количество жертв - много - примерно полторы-две тысячи *.spb.ru живут на CF.