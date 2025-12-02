|
|1.1, Аноним (1), 22:12, 02/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
Давайте уже тогда сразу сделаем чтобы на каждый новый запрос был свой сертификат. И так к этому всё и идёт.
|2.8, Аноним (8), 22:18, 02/12/2025 [^] [^^] [^^^] [ответить]
Главное чтобы твой сервер постоянно ходил и в ножки кланялся уважаемым людям. А они уже знают как тебя "посчитать".
|3.13, Аноним (13), 22:24, 02/12/2025 [^] [^^] [^^^] [ответить]
Ну, получи вайлдкард сертификат. И что там тогда считать будут? Через ДНС и то больше инфы.
|1.3, xtotec (ok), 22:14, 02/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
Интересно, как быстро они взвоют, что их инфраструктура не справляется с возросшей нагрузкой?
|1.4, Аноним (13), 22:15, 02/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
Да какая разница, хоть до недели.
Кто-то их руками тягает что ли?
|2.32, Аноним (32), 23:48, 02/12/2025 [^] [^^] [^^^] [ответить]
До сих пор есть динозаврусы, которые лапами меняют cert.crt и priv.key, а потом service nginx reload, как диды завещали.
|3.38, Аноним (13), 23:58, 02/12/2025 [^] [^^] [^^^] [ответить]
В любом обществе есть люди с девиантным поведением. Только как это относится к этой новости? Мне надо их пожалеть? Они сами добровольно выбрали этот путь. Более того, у них есть масса альтернатив, так что эта ситуация не из разряда - "делаю руками, а што еще можно поделать, такова жизнь!"
|1.5, skyblade (ok), 22:16, 02/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
А я может пропустил что-то, но были ли какие-нибудь реальные ситуации, когда сертификат был украден и кто-то у кого-то трафик перехватывал? Я смог вспомить только ситуацию с jabber.ru, но им никакое сокращение сроков не помогло бы, так как там была операция со стороны каких-то органов и хостер был в сговоре. Им бы там даже однодневные сертификаты не помогли в таком случае.
|2.9, Аноним (13), 22:19, 02/12/2025 [^] [^^] [^^^] [ответить]
> Им бы там даже однодневные сертификаты не помогли в таком случае.
Скорее всего помогли бы. Выше шанс заметить, что у тебя сервак в оффлайн вываливается на несколько секунд каждый день.
|1.6, Аноним (8), 22:17, 02/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
Давно пора выдавать сертификаты через госуслуги обновление раз в неделю. Кто не отметился в МФЦ на нары.
|1.11, Аноним (11), 22:21, 02/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
Как вы обновляете сертификаты для нескольких субдоменов? Сам LE такие сертификаты обновлять автоматически отказывается, требуя выполнения "DNS challenge" — всовывания заданой строки в TXT record. Дёргать bind9 из под портянки запущеной от рута не хочется, но выбора скоро не будет...
|2.14, Аноним (13), 22:29, 02/12/2025 [^] [^^] [^^^] [ответить]
> Как вы обновляете сертификаты для нескольких субдоменов?
Да так и обновлял. Пока их не накопилось большое количество. Тогда при переезде и первом запуске, Caddy побежал радостно получать все их по новой, тогда и попал под ограничение.
Так что если их много, просто надо по времени разнести первое получение.
Если скрипт тупенький и рвется их обновить в одно и то же время, то будет тот же результат.
|3.19, Аноним (11), 22:40, 02/12/2025 [^] [^^] [^^^] [ответить]
У меня проблема другого плана, используется один сертификат для кучи субдоменов(git.tld.com, chat.tld.com...). Их нельзя просто так обновить без добавления TXT record в zone-file, сам certbot отказывается.
После каждого такого челленджа ту TXT запись удалял, а теперь подумал, а не стал бы бот обновлять сертификаты будь она там? Хотя предположуч что строка генерируется для каждого реквеста, а не для каждого сертификата.
|4.23, Аноним (13), 23:02, 02/12/2025 [^] [^^] [^^^] [ответить]
> используется один сертификат для кучи субдоменов(git.tld.com, chat.tld.com...)
То есть у тебя сейчас вайлдкард сертификат, который выдается на *.tld.com?
Могу только рассказать, как у меня сделано.
Сам решай, подходит тебе это или нет.
Стоит Caddy, который на 90% работает в качестве реверс прокси и получает один сертификат *.tld.com на всё.
Для Caddy есть плагины для разных провайдеров DNS, которые автоматизируют процесс прописывания TXT записи.
Для моего регистратора не было подходящего, переводить управление всем доменом к другому не хотелось. Но, на сколько я помню, в dns-challenge TXT запись не обязательно должна прописываться для _acme-challenge.tld.com. Можно на _acme-challenge.tld.com повесить CNAME, например, на _acme.something.tld.com. В NS записи для something.tld.com прописать NS сервера DNS провайдера для которого есть плагины для Caddy. И в настройках Caddy есть параметр "dns_challenge_override_domain" в который можно прописать _acme.something.tld.com.
В итоге сторонний сервис у меня рулит только ненужным поддоменом something.tld.com, Caddy через API этого сервиса подпихивает нужную TXT запись и получает вайлдкард сертификал *.tld.com. А дальше с этим сертификатом проксирует условные git.tld.com, chat.tld.com.
|2.24, penetrator (?), 23:07, 02/12/2025 [^] [^^] [^^^] [ответить]
сделай API key у твоего регистрара и создавай DNS записи, жди потом запускай certbot
я написал в конце концов этот баш скрипт с помощью ботов
а есть регистрары у которых плагины есть для certbot
|1.12, Аноним (10), 22:21, 02/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
А разве CA/Browser Forum не убьёт этим всю отрасль удостоверяющих центров? В коммерческих CA весь смысл был, что можно было сертификат на три года взять.
|2.16, Аноним (13), 22:38, 02/12/2025 [^] [^^] [^^^] [ответить]
> что можно было сертификат на три года взять
Чтобы их распечатать и на стену повесить?
|1.20, Аноним (20), 22:44, 02/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
> В связи с сокращением срока действия сертификатов Let's Encrypt рекомендовал пользователями не обновлять сертификаты в ручном режиме, а перейти на автоматические системы управления сертификатами.
Ай-яй-яй?
|2.27, кек (?), 23:32, 02/12/2025 [^] [^^] [^^^] [ответить]
В каждой шутке есть доля шутки
ну ты пон
скорее всего будем опять скоро друг дружке серты подписывать
|1.28, Аноним (28), 23:36, 02/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
> новые требования ассоциации CA/Browser Forum, которым должны следовать производители браузеров и удостоверяющие центры.
Как так получилось, что есть целая ассоциация, указывающая как жить производителям браузеров и УЦ? А если их нах послать и не выполнять их требования?
|2.29, Аноним (29), 23:45, 02/12/2025 [^] [^^] [^^^] [ответить]
Вероятно, это ассоциация делает предложения от которых невозможно отказаться. Новый мировой порядок.
|2.35, Gemorroj (ok), 23:53, 02/12/2025 [^] [^^] [^^^] [ответить]
полагаю, в этой ассоциации все те же "уважаемые" люди из гуглов и прочих клаудфларей, которые думают о твоей "безопасности".
|2.36, Аноним (31), 23:55, 02/12/2025 [^] [^^] [^^^] [ответить]
Так в этой организации кто в совете директоров? Уважаемые люди в совете: Google, Microsoft,...
|2.41, Аноним (41), 00:05, 03/12/2025 [^] [^^] [^^^] [ответить]
> The Certification Authority Browser Forum (CA/Browser Forum) is a voluntary gathering of Certificate Issuers and suppliers of Internet browser software and other applications that use certificates (Certificate Consumers).
Так сами её и организовали. Это скорее к автору новости вопрос по поводу - кто, кому и чего должен.
|1.33, 12yoexpert (ok), 23:49, 02/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
> сертификаты в первую очередь существуют для обеспечения коммуникации между просителем (чаще всего представителем низших сословий или классов в иерархии общества) и государем
(с) википедия
|1.37, Аноним (32), 23:56, 02/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
Тут есть ещё какой приятный и даже основной эффект, помимо безопасности. Новые правила в том числе нацелены сделать ручное обновление сертификатов максимально неудобным. Настолько неудобным, чтоб иного пути, кроме как автоматизации (даже с адской жопоболью) не осталось. Вообще.
И это даже не скрывается особо, в рассылках так точно.
|2.39, Аноним (13), 00:00, 03/12/2025 [^] [^^] [^^^] [ответить]
> помимо безопасности
Убрать человеческий фактор = повысить безопасность.
|1.40, Аноним (43), 00:05, 03/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
Да что за бред-то. Злоумышленники и за 5 минут уложатся, зато всем остальным страдать.
