| 1.1, Аноним (1), 22:12, 02/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +39 +/– |
Давайте уже тогда сразу сделаем чтобы на каждый новый запрос был свой сертификат. И так к этому всё и идёт.
| | |
| |
| 2.8, Аноним (8), 22:18, 02/12/2025 [^] [^^] [^^^] [ответить]
| +16 +/– |
Главное чтобы твой сервер постоянно ходил и в ножки кланялся уважаемым людям. А они уже знают как тебя "посчитать".
| | |
| |
| 3.13, Аноним (13), 22:24, 02/12/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ну, получи вайлдкард сертификат. И что там тогда считать будут? Через ДНС и то больше инфы.
| | |
| |
| 4.137, OpenEcho (?), 11:45, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Ну, получи вайлдкард сертификат. И что там тогда считать будут?
Про DNS Zone Walking не слышали? А оно есть... и все субдомены будут посчитаны... если конечно вы не отключили ДНССЕК
| | |
|
| 3.95, Аноним (95), 06:40, 03/12/2025 [^] [^^] [^^^] [ответить]
| –9 +/– |
Готов ходить и "кланятся" в Let's Encrypt чтобы получить сертификат. Самое главное, это не надо ставить сертификат Минцифры РФ, и прочие российские сертификаты.
| | |
| |
| |
| |
| 6.157, dullish (ok), 14:41, 03/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > Интересные у вас игры
Пожалуйста, скажите, что притворяетесь. Не отнимайте у меня остатки веры в человечество.
| | |
|
| 5.122, Diozan (ok), 10:09, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
 А где я могу получить ОТЕЧЕСТВЕННЫЙ сертификат для своего домашнего Web-сервера без необходимости платить кучу денег за него? Я готов, укажите где. Нужно очень, не потому, что там что-то шибко секретное, а потому что на сайты без HTTPS браузеры уже ругаться начали.
Хы... А на HTTPS с отечественным сертификатом браузеры всё равно ругаются... Ну, кроме Яндекс браузера...
| | |
| |
| 6.124, Аноним (124), 10:12, 03/12/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Да и плевать, что они начали ругаться. Ты хочешь прогибаться под стандартизаторов, которых продавил Google, желая залесть в каждый ПК пользователя?
| | |
| |
| 7.141, Diozan (ok), 12:07, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Да и плевать, что они начали ругаться. Ты хочешь прогибаться под стандартизаторов,
> которых продавил Google, желая залесть в каждый ПК пользователя?
Загляни внутрь своего компьютера - чей там процессор, память, видео, диски... Операционка чья... Прогнулся?
| | |
|
| 6.138, OpenEcho (?), 11:50, 03/12/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> сертификат для своего домашнего Web-сервера
Для домашнего сервера, достаточно создать свой СА, подписать им серверный сертификат а публичный ключ СА добавить во все домашние ПК
| | |
| |
| 7.158, Diozan (ok), 14:42, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
>> сертификат для своего домашнего Web-сервера
> ...добавить во все домашние ПК
А не домашние? На мой домашний сервер ходят не только из дома. Он доступен из Интернета. Специально доплачиваю провайдеру за статический IP и держу доменную зону у регистратора.
| | |
| |
| 8.187, Аноним (13), 01:16, 04/12/2025 [^] [^^] [^^^] [ответить] | –1 +/– | Да там у этого персонажа всё наоборот Для домашнего сервера достаточно лэтсэнкр... текст свёрнут, показать | | |
|
|
|
| |
| 6.146, mrdzharoff (?), 13:29, 03/12/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
на швабре как всегда толпа розовых хомячков, идентифицирующих себя пони бгг. я конечно не в восторге от закручивания гаек, но истина дороже: там чувак сравнивает ужасное фсб, которому закон не писан с добрым-пушистым анб, которое ну никак не будет устраивать точно такой же митм, имея все средства и полномочия. ну лол же, кринж, да?
| | |
| |
| 7.147, Аноним (147), 13:39, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
И, что анб тебе сделает ?
Ишь какой нашёлся весельчак про швабры тут шутит.
| | |
| 7.151, Аноним (151), 14:02, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
АНБ написали Ghidra, которой я пользуюсь, полезные люди.
А ФСБ эм...
| | |
| 7.154, Аноним (-), 14:11, 03/12/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну знаешь, как говорится "по делам судят".
У немцев были шпийоны, и у янки были, и у советов.
Но после некоторых событий немцев за людей перестали считать.
От так.
| | |
|
|
|
|
| |
| 4.167, _ (??), 17:33, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
И зачем бы им этого захотелось?
Вот цену выставить - это годная мысль! А куда вы денетесь :)
| | |
|
|
| 2.63, Аноним (63), 01:54, 03/12/2025 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> сокращения времени внедрения новых криптоалгоритмов в случае выявления уязвимостей в ныне действующих
^^^ вот это самое главное. Вскоре алгоритмы начнут обновляться чаще, чем грибы после дождя.
| | |
| |
| |
| 4.168, _ (??), 17:34, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
ИБД всместо жизни. Самый цимес нонешнего оЙтИ :(
| | |
|
|
| 2.67, Джон Титор (??), 02:19, 03/12/2025 [^] [^^] [^^^] [ответить]
| –2 +/– |
А не будет проблем с разными часовыми поясами и с неправильно настроенным временем? Из того что я видел - по всему миру разные специалисты и у большинства руки растут не из того места, откуда должны. Мне кажется что и с 45 днями будет немало проблем - кто-то что-то недопоймет, кто-то не так сделает, кто-то еле настроил то что работало годами и не захочет или с большими проблемами будет решать эту.
| | |
| |
| 3.75, Bob (??), 03:18, 03/12/2025 [^] [^^] [^^^] [ответить]
| –2 +/– | |
смотреть по UTC?)
вот от "криволапок" и делают защиту - мелкий отвал это таки не взлом и подмена
кого-то заменят более сообразительными)
"настроил и работало годами" - это в оффлайне на обочине прогресса. в онлане надо оперативно патчить и переделывать - уязвимостей полно, а ИИ ботов - ещё больше.
| | |
| |
| 4.80, Аноним (80), 03:38, 03/12/2025 [^] [^^] [^^^] [ответить]
| +4 +/– |
Тяп, ляп, и в продакшен, ага. Разработчики разучились планировать дальше окончания спринта, называют это прогрессом.
| | |
| 4.180, Васян (?), 21:56, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
 - - - - а ИИ ботов - ещё больше.
Некоторые из них когда-то программистами назывались....
| | |
|
| 3.101, Аноним (101), 06:57, 03/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Поначалу, может, и будет...
Штош, они просто не вписались в дивный новый безопасный мир.
Они просто умрут.
| | |
| 3.174, мимо (?), 20:11, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
Если кто-то не может добавить в crontab одну строчку с автопродлением через certbot - тогда ему нечего делать в админах.
| | |
| 3.190, Аноним (13), 01:23, 04/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
Как я понимаю, сертификат принято обновлять на 2/3 его жизни. Поэтому, ИМХО, немного нестандартная цифра - 45 дней. То есть, чтобы серт в нормальных условиях обновлялся каждый месяц. Плюс еще треть срока - 15 дней в запасе. Ну, кто в последний день обновляет... Тут в комментах ниже нашлись люди, у которых подгорает от этого... ну, то есть они руками обновляют... и еще и в последний день... когда и так работы завались... xD
| | |
|
|
| 1.3, xtotec (ok), 22:14, 02/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
 Интересно, как быстро они взвоют, что их инфраструктура не справляется с возросшей нагрузкой?
| | |
| |
| 2.90, Аноним (90), 04:43, 03/12/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
Есть подозрение, что никакой возросшей нагрузки не будет. Как ходили к ним certbot’ы раз во сколько-то часов/дней, так и будут с точу же частотой.
| | |
| |
| 3.176, Ilya Indigo (ok), 20:42, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
 У адекватных людей по рекомендациям от LE она настроена за 30 дней до истечения сертификата, то есть раз в 2 месяца.
Если настройки так и останутся, то обновление сертификата будет выполнятся раз в пол месяца, то есть возрастёт в 4 раза!
P.S. Я изменять настройки НЕ намерен!
Мне нужен сертификат действующий больше месяца.
| | |
| |
| 4.205, Ангним (?), 08:45, 04/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
> P.S. Я изменять настройки НЕ намерен!
> Мне нужен сертификат действующий больше месяца.
Тогда бесплатный LE не для тебя. Ищи CA с другими условиями.
| | |
|
|
|
| |
| 2.32, Аноним (32), 23:48, 02/12/2025 [^] [^^] [^^^] [ответить]
| –2 +/– |
До сих пор есть динозаврусы, которые лапами меняют cert.crt и priv.key, а потом service nginx reload, как диды завещали.
| | |
| |
| 3.38, Аноним (13), 23:58, 02/12/2025 [^] [^^] [^^^] [ответить]
| –3 +/– |
В любом обществе есть люди с девиантным поведением. Только как это относится к этой новости? Мне надо их пожалеть? Они сами добровольно выбрали этот путь. Более того, у них есть масса альтернатив, так что эта ситуация не из разряда - "делаю руками, а што еще можно поделать, такова жизнь!"
| | |
| 3.57, Аноним (57), 01:42, 03/12/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
Если тебе понадобится убрать критический риск MITM, будешь и руками сертификаты обновлять, и скрипты писать для этого сам. Правда, тебе уже не светит заниматься ничем серьезным, в принципе никогда. Криптоэнтузиастом на старости лет тоже вряд ли станешь с таким отношением.
| | |
| |
| 4.99, мелстрой (?), 06:45, 03/12/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну так по факту он говорил, а ты можешь хоть ссш ключи руками гонять, и называть себя спецлп нбца каким.
| | |
|
| 3.109, Дмитрий (??), 08:12, 03/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
ТОлько все системы автоматической настройки систем придумали деды, как ты их называешь.
| | |
|
| 2.51, pinigin (ok), 00:36, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
 Когда требуется верификация через DNS. Например, для доменных имён корпоративного интранета.
| | |
| |
| 3.53, Аноним (13), 00:43, 03/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Когда требуется верификация через DNS.
Расскажи подробнее.
| | |
| |
| 4.105, Kilrathi (ok), 07:51, 03/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Да не вопрос: сервера только с rdp/vnc, asterisk без веб морды. И наружу торчат только непосредственно рабочие порты 3389, 5349, 5060, 5900...
Тут либо через dns, либо автоматизировать включение и отключение портов на шлюзе с временными цертботовскими вебами на серверах, либо запрашивать-получать со шлюза и распространять по серверам.
Последние варианты - это локальное хранение реквизитов доступа.
| | |
| |
| 5.149, Аноним (149), 13:56, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
У тебя целых 3 готовых варианта для автоматизации, сам же и выдал...
| | |
|
|
| 3.59, Аноним (59), 01:46, 03/12/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> для доменных имён корпоративного интранета
Корпоративный интранет есть, а корпоративного CA нет? Дай угадаю, корпорация -- это ты, бабушка и кот, а интранет -- две мобилы, десктоп и подкроватный сервер. Угадал?
| | |
| |
| 4.104, Kilrathi (ok), 07:44, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
Таки внутрисетевой поднять не проблема, в отличии от автоматизации доверия ему зоопарком подключающихся к сети систем.
А приобретение полноценного subordinate ca весьма не бюджетно.
| | |
| |
| 5.169, _ (??), 17:41, 03/12/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Ой ППЦ гдеж вас таких делают? :(
Для самых маленьких - да в любом AD уже есть CA, для интранета - самое то!
| | |
| |
| 6.172, Kilrathi (ok), 18:15, 03/12/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Ой ППЦ гдеж вас таких делают? :(
> Для самых маленьких - да в любом AD уже есть CA, для
> интранета - самое то!
Явно не там, где вас больших, ибо:
1. CA - отдельная роль. Ее можно поднять, а можно и не использовать - это опционально, а не "в любом AD уже есть CA".
2. Если это не интранет яжадмина из нескольких форточек, то в сети еще могут быть android, ios, linux, macos, bsd... И без наличия серьезной дорогой mdm им всем придется прописывать доверие самодельному CA вручную, на что и было указано выше.
3. Изначально шла речь про "доменные имена корпоративного интранета" в рамках lets encrypt, что подразумевает высокую вероятность необходимости доверия некоторым из них не только из lan, но и из wan, что, в свою очередь, может потребовать приобретения доверенного sub-ca, о чем тоже было указано выше.
| | |
| |
| 7.179, нах. (?), 21:52, 03/12/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
если это не интранет яжадмина - там И ТАК должен быть mdm. (И CA там ДОЛЖЕН быть, иначе ничего работать кроме локалхоста не будет)
ну а если нет - значит юзверьки хорошо дрессированы и просто добавишь им еще один пункт в инструкцию. (Кстати, кто-нибудь может мне объяснить, как, с-ко, связано добавление сертов вручную и...ТАДАМ - заshita ведроида отпечатком или мордой? )
Хинт: до ужосов ковидлы таких инструкций в корпоративных сетях было у каждого первого. (если бы ты не был админом локалхоста, то знал бы для чего и почему)
> может потребовать приобретения доверенного sub-ca
вам-с - не продадут-с.
Ну если ты чуток поменьше чем какой-нибудь сименс, то вообще не светит.
| | |
| |
| |
| 9.215, нах. (?), 11:59, 04/12/2025 [^] [^^] [^^^] [ответить] | +/– | вот досюда правильно Зачем тебе какой-то ад на локалхосте Успешно справлялись ... большой текст свёрнут, показать | | |
|
|
|
|
|
|
| 3.139, OpenEcho (?), 11:58, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
>> Кто-то их руками тягает что ли?
> Когда требуется верификация через DNS.
И зачем это делать вручную когда это элементарно автоматизируется?
| | |
|
| 2.111, SubGun (??), 08:38, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
Не ручками, но есть что-то закрытых контуров. Не секретных, а просто изолированных от мира(типа внутреннего nextcloud и т.д.). Открываешь доступ, сертификат обновляентся на 3 месяца, закрываешь доступ. Да, таких "закрытых контуров" мало, но когда у тебя "жопа в мыле", очень занят, а прилетает алерт, что пора обновлять сертификат, это дико бесит. Теперь это будет бесить в 3 раза чаще.
| | |
| |
| 3.140, OpenEcho (?), 12:00, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Открываешь доступ, сертификат обновляентся на 3 месяца, закрываешь доступ.
А не проще верификацию через ДНС сделать и автоматизировать чем ручками или туды/сюды открывать?
| | |
| |
| 4.175, Kilrathi (ok), 20:36, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
> А не проще верификацию через ДНС сделать и автоматизировать чем ручками или
> туды/сюды открывать?
Таки не все dns-сервера и не все dns-хостинги поддерживают легкое удаленное создание/обновление записей.
А технологию постоянных dns-записей авторизации LE планируют начать внедрять, судя по последним новостям, только в следующем году.
| | |
| |
| 5.198, OpenEcho (?), 01:48, 04/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>Таки не все dns-сервера и не все dns-хостинги поддерживают
Я б просто поменял регистрара и/или ДНС сервер в таком случае чем в ручную
| | |
| |
| 6.208, Kilrathi (ok), 09:39, 04/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
>>Таки не все dns-сервера и не все dns-хостинги поддерживают
> Я б просто поменял регистрара и/или ДНС сервер в таком случае чем
> в ручную
Зачем торопиться?
Урезание запланировано на 27й год, а в 26-м планируют внедрить constant-dns: один раз вручную задал dns-запись авторизации и хоть ежедневно обновляй без публикаций.
| | |
| |
| 7.223, OpenEcho (?), 14:42, 04/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Зачем торопиться?
Жизнь к сожалению очень короткая штука, а время = жизнь. Не вижу смысла терять жизнь, если это можно избежать прост поменяв провайдера или софт
| | |
|
|
|
|
| 3.150, Аноним (149), 14:01, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
Может надо просто настроить нормально, тогда и бесить не будет?
Если что, у меня такой же локальный зоопарк, скрытый от внешнего мира. И все работает без моего участия.
| | |
| 3.170, _ (??), 17:50, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
ППЦ ... и ведь он - серьёзно :(
Получай обновы на вне закрытого контура и всовывай во внутрь. Получай на сертификат на вилдкард, он на всё внутри подходит.
Сесть, написать, отладить - даже если ты туповат за неделю управишься, а если нет - за вечер.
| | |
|
| 2.120, Аноним (124), 10:02, 03/12/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
Если ты видишь, что проблема именно в "тягании" или автоматизации данного процесса, то вообще ничего не понимаешь в этом.
| | |
| |
| 3.152, Аноним (149), 14:03, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
"Ты ничего не понимаешь" - отличный прием, но немного устарел. Зачастую означает "у меня не хватает квалификации объяснить, поэтому просто надую щёки".
| | |
|
| 2.214, Мистер Булкин (ok), 11:43, 04/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
 Кто-то тягает, когда нужен wildcard сертификат, а он выдаётся только через dns challenge. А у каждого регистратора свой api для управления зоной (а у некоторых и вовсе, только веб-интерфейс). И готового решения для интеграции с certbot'ом в таком случае нет. Либо самому костыли писать, либо руками обновлять.
| | |
|
| 1.5, skyblade (ok), 22:16, 02/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +8 +/– |
 А я может пропустил что-то, но были ли какие-нибудь реальные ситуации, когда сертификат был украден и кто-то у кого-то трафик перехватывал? Я смог вспомить только ситуацию с jabber.ru, но им никакое сокращение сроков не помогло бы, так как там была операция со стороны каких-то органов и хостер был в сговоре. Им бы там даже однодневные сертификаты не помогли в таком случае.
| | |
| |
| 2.9, Аноним (13), 22:19, 02/12/2025 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Им бы там даже однодневные сертификаты не помогли в таком случае.
Скорее всего помогли бы. Выше шанс заметить, что у тебя сервак в оффлайн вываливается на несколько секунд каждый день.
| | |
| 2.49, Аноним (49), 00:28, 03/12/2025 [^] [^^] [^^^] [ответить]
| –2 +/– |
Подозреваю, что перехват не прекратили, а просто добавили в инфраструктуру хостера софт, дамп памяти машины делающий и ключ извлекающий. TEE-аттестация не поможет - Intel как надо подпишет системный анклав.
| | |
| 2.183, нах. (?), 22:52, 03/12/2025 [^] [^^] [^^^] [ответить] | +/– | честно говоря, по опыту совсем недавнего общения с этим самым хостером тов майо... большой текст свёрнут, показать | | |
|
| 1.6, Аноним (8), 22:17, 02/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Давно пора выдавать сертификаты через госуслуги обновление раз в неделю. Кто не отметился в МФЦ на нары.
| | |
| 1.11, Аноним (11), 22:21, 02/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Как вы обновляете сертификаты для нескольких субдоменов? Сам LE такие сертификаты обновлять автоматически отказывается, требуя выполнения "DNS challenge" — всовывания заданой строки в TXT record. Дёргать bind9 из под портянки запущеной от рута не хочется, но выбора скоро не будет...
| | |
| |
| 2.14, Аноним (13), 22:29, 02/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Как вы обновляете сертификаты для нескольких субдоменов?
Да так и обновлял. Пока их не накопилось большое количество. Тогда при переезде и первом запуске, Caddy побежал радостно получать все их по новой, тогда и попал под ограничение.
Так что если их много, просто надо по времени разнести первое получение.
Если скрипт тупенький и рвется их обновить в одно и то же время, то будет тот же результат.
| | |
| |
| 3.19, Аноним (11), 22:40, 02/12/2025 [^] [^^] [^^^] [ответить]
| –2 +/– |
У меня проблема другого плана, используется один сертификат для кучи субдоменов(git.tld.com, chat.tld.com...). Их нельзя просто так обновить без добавления TXT record в zone-file, сам certbot отказывается.
После каждого такого челленджа ту TXT запись удалял, а теперь подумал, а не стал бы бот обновлять сертификаты будь она там? Хотя предположуч что строка генерируется для каждого реквеста, а не для каждого сертификата.
| | |
| |
| 4.23, Аноним (13), 23:02, 02/12/2025 [^] [^^] [^^^] [ответить] | +/– | То есть у тебя сейчас вайлдкард сертификат, который выдается на tld com Могу ... большой текст свёрнут, показать | | |
|
|
| 2.24, penetrator (?), 23:07, 02/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
сделай API key у твоего регистрара и создавай DNS записи, жди потом запускай certbot
я написал в конце концов этот баш скрипт с помощью ботов
а есть регистрары у которых плагины есть для certbot
| | |
| |
| |
| 4.163, penetrator (?), 14:59, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
PowerDNS в помощь у которого есть API, а для BIND копать в сторону --dns-rfc2136
в общем все то же самое, как и написал
если у него свом собственный неймсервер, то как бы должен уметь с ним справиться
а TXT записи придется создать ))
| | |
| |
| 5.194, Аноним (13), 01:37, 04/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> то как бы должен уметь с ним справиться
Ну, может, у него своя сеть на 3 компа. На чём-то надо учиться.
К чему этот лишний пафос...
| | |
| |
| 6.222, penetrator (?), 14:10, 04/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
>> то как бы должен уметь с ним справиться
> Ну, может, у него своя сеть на 3 компа. На чём-то надо
> учиться.
> К чему этот лишний пафос...
я абсолютно без пафоса, просто кейс описываю
| | |
|
|
|
|
| 2.30, Аноним (30), 23:46, 02/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
certbot certonly --preferred-challenges dns --issuance-timeout 200 --email <email> --manual -d '*.<domain>' -d '<domain>'
и да, для этого он просит DNS challenge, но разве это какая-то проблема?
| | |
| 2.82, dalco (ok), 03:53, 03/12/2025 [^] [^^] [^^^] [ответить] | +/– |  Доменов и поддоменов что-то сильно больше сотни у каждого свой сертификат На ... большой текст свёрнут, показать | | |
| 2.107, нах. (?), 07:53, 03/12/2025 [^] [^^] [^^^] [ответить] | –1 +/– | Домен _acme-challenge делегируешь Да, так нельзя в стандарте ничего не сказано... большой текст свёрнут, показать | | |
| 2.108, Kilrathi (ok), 07:56, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
Зависит от количества.
В пределах десятка у меня через http-challenge и certbot-nginx обновлял все vhosts, и одновременно запускаемые из одной внешней подсети обновления/выдачи через standalone временный работали без всяких блоков.
| | |
|
| 1.12, Аноним (10), 22:21, 02/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
А разве CA/Browser Forum не убьёт этим всю отрасль удостоверяющих центров? В коммерческих CA весь смысл был, что можно было сертификат на три года взять.
| | |
| |
| 2.16, Аноним (13), 22:38, 02/12/2025 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> что можно было сертификат на три года взять
Чтобы их распечатать и на стену повесить?
| | |
| 2.77, Bob (??), 03:28, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
если можно настроить автоматическое обновление, то какая разница? будет серт на 3 года с автопродлением каждые 45 дней
причино называли:
>генерация короткодействующих сертификатов позволит быстрее внедрять новые криптоалгоритмы в случае выявления уязвимостей в ныне действующих, а также сократит угрозы безопасности. Например, в случае незаметной утечки сертификата в результате взлома короткоживущие сертификаты помешают злоумышленникам длительное время контролировать трафик жертвы или использовать сертификаты для фишинга. Более частая валидация и сокращение сроков действия сертификатов также уменьшат вероятность того, что сертификат продолжит действовать после потери актуальности содержащейся в нем информации и снизят риск распространения неправильно выпущенных сертификатов. | | |
| 2.142, OpenEcho (?), 12:11, 03/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> А разве CA/Browser Forum не убьёт этим всю отрасль удостоверяющих центров?
Так именно для этого и делается, власть она такая штука, что всегда хочет монополию :)
| | |
|
| 1.20, Аноним (20), 22:44, 02/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> В связи с сокращением срока действия сертификатов Let's Encrypt рекомендовал пользователями не обновлять сертификаты в ручном режиме, а перейти на автоматические системы управления сертификатами.
Ай-яй-яй?
| | |
| |
| 2.27, кек (?), 23:32, 02/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
В каждой шутке есть доля шутки
ну ты пон
скорее всего будем опять скоро друг дружке серты подписывать
| | |
| 2.61, Аноним (57), 01:51, 03/12/2025 [^] [^^] [^^^] [ответить]
| +5 +/– | |
Если клиентские приложения на подконтрольной тебе инфре, это действительно наше всё.
Только не Self signed, а собственные CA. Делаешь Root CA свое. Генеришь интермедиаты. Подписываешь ими сертификаты для серверного использования. Обслуживаешь CRL.
| | |
| 2.113, Аноним (113), 09:22, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
А что будете делать, когда браузеры откажутся работать с сертификатами, у которых срок больше 45 дней?
| | |
| |
| 3.148, nebularia (ok), 13:40, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
 Они не откажутся, они будут выдавать ошибку сертификата. Что сейчас с self-signed и так происходит. Надо нажать "да, я хочу туда зайти". Одной ошибкой больше, одной меньше, без разницы.
| | |
| |
| 4.162, Аноним (63), 14:59, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> они будут выдавать ошибку ... Надо нажать
Где-то останется кнопка, а где-то (особенно на смартах) её уже нету, и на self-signed не зайти никак.
| | |
| |
| 5.202, Аноним (202), 05:00, 04/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
В подавляющем большинстве браузеров все эти кнопки есть, на смарте тоже
| | |
|
| 4.206, Аноним (206), 09:15, 04/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
В самом же посте "ERR_CERT_VALIDITY_TOO_LONG". И это как с устаревшими шифрами - идёшь лесом без всяких кнопок.
| | |
| |
| 5.207, Аноним (206), 09:17, 04/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
В плане - сначала будет "продолжить", а потом уже не будет. А могут и сразу обломать.
| | |
|
|
|
|
| 1.28, Аноним (28), 23:36, 02/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> новые требования ассоциации CA/Browser Forum, которым должны следовать производители браузеров и удостоверяющие центры.
Как так получилось, что есть целая ассоциация, указывающая как жить производителям браузеров и УЦ? А если их нах послать и не выполнять их требования?
| | |
| |
| 2.29, Аноним (29), 23:45, 02/12/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
Вероятно, это ассоциация делает предложения от которых невозможно отказаться. Новый мировой порядок.
| | |
| 2.34, Аноним (13), 23:49, 02/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> А если их нах послать и не выполнять их требования?
Кто и кого будет посылать?
Некий CA всех остальных? Ну, пущай посылает. Браузеры будет всё равно с 2029 года выдавать ошибку "ERR_CERT_VALIDITY_TOO_LONG".
Некий Браузер всех остальных? Ну, пущай посылает, ничего не поменяется. Будет принимать сертификаты с большим сроком, но всё равно никто не будет к нему с ними приходить, потому что никто не будет их выдавать.
ЦА (НЕ CA) будет посылать? Смешно, каким образом...
Тут для успешного посыла, а не пуканья в лужу, надо, чтобы какая-то CA объединилась с каким-нибудь Браузером... Тогда один может выдавать длинные сертификаты, а другой на них не ругаться. И для успешности сего действа, еще основать CA/Browser Forum 2.0 (blackjack edition with sluts)... Короче, хорошая хахашечка.
| | |
| 2.35, Gemorroj (ok), 23:53, 02/12/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
 полагаю, в этой ассоциации все те же "уважаемые" люди из гуглов и прочих клаудфларей, которые думают о твоей "безопасности".
| | |
| 2.36, Аноним (31), 23:55, 02/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Так в этой организации кто в совете директоров? Уважаемые люди в совете: Google, Microsoft,...
| | |
| |
| 3.70, Джон Титор (??), 02:30, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>> Так в этой организации кто в совете директоров? Уважаемые люди в совете: Google, Microsoft,...
Судя по этой логике, если они занимаются безопасностью, то это организации двойного назначения, т.е. по сути военные. Верно?
| | |
|
| 2.41, Аноним (41), 00:05, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> The Certification Authority Browser Forum (CA/Browser Forum) is a voluntary gathering of Certificate Issuers and suppliers of Internet browser software and other applications that use certificates (Certificate Consumers).
Так сами её и организовали. Это скорее к автору новости вопрос по поводу - кто, кому и чего должен.
| | |
|
| 1.37, Аноним (32), 23:56, 02/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– | |
Тут есть ещё какой приятный и даже основной эффект, помимо безопасности. Новые правила в том числе нацелены сделать ручное обновление сертификатов максимально неудобным. Настолько неудобным, чтоб иного пути, кроме как автоматизации (даже с адской жопоболью) не осталось. Вообще.
И это даже не скрывается особо, в рассылках так точно.
| | |
| |
| 2.39, Аноним (13), 00:00, 03/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> помимо безопасности
Убрать человеческий фактор = повысить безопасность.
| | |
| |
| |
| 4.52, Аноним (13), 00:40, 03/12/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Дураков хватает, что теперь, ничего не делать?
Или ты за то, чтобы усложнить процесс выдачи, чтобы большинство самописных отвалилось?
ИМХО, сейчас нормальный баланс. Можно для себя и на коленке какую-то лапшу накидать, но тут и требования к безопасности минимальные. А там где нужна безопасность, там тебе не дадут этого сделать. Во всяком случае есть все условия для этого.
| | |
| |
| 5.92, Аноним (50), 05:40, 03/12/2025 [^] [^^] [^^^] [ответить] | +/– |  Там где есть обращения к чужим серверам, всегда есть человеческий фактор Вы дум... большой текст свёрнут, показать | | |
|
|
|
|
| 1.40, Аноним (40), 00:05, 03/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Да что за бред-то. Злоумышленники и за 5 минут уложатся, зато всем остальным страдать.
| | |
| 1.44, Аноним (49), 00:16, 03/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Да просто гебня попросила, сказала "Злые преступники пользуются вашей этой PKI, либо оказывайте содействие в перехвате - либо сядете все как соучастники". При такой постоянной смене сертификатов и не узнаешь, что гебня выпустила свой через LE.
| | |
| 1.47, Аноним (47), 00:22, 03/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
И что изменится?
Если будет доступ к инфраструктуре, то злоумышленники также раз в 45 дней будут перевыпускать сертификат.
Если криптоалгоритм окажется уязвимым, то для этого есть отзыв сертификата (уже делали в том числе и LE).
Проблем прибавляется, а вот очевидной пользы примерно никакой.
| | |
| |
| 2.48, Аноним (29), 00:26, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
Если делают, значит кому-то это выгодно с той или иной точки зрения. Думай кому.
| | |
|
| 1.55, Аноним (55), 01:23, 03/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Через несколько лет:
> Let's Encrypt уменьшит срок действия сертификатов до 45 дней
и введёт плату за продление.
| | |
| |
| 2.145, sena (ok), 12:39, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
 Плата за продление это ещё не самое плохое, что может случиться. Гораздо хуже если сертификаты будут выдаваться выборочно, в зависимости от желания выдающего.
Ещё хуже, если выяснится что сертификаты от Гугла сгенерированы таким образом, что их значительно легче взломать, если знать этот их секрет.
| | |
|
| |
| 2.65, Аноним (63), 01:59, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
Для поделок действительно несложно организовать передачу криптованных данных под http.
| | |
| |
| |
| 4.161, Аноним (63), 14:56, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Крипта и веб?
Бро, я даже не знаю, что тебе ответить... Попробуй найти в словаре слово "cryptographic", и вот это прочитать: "OpenSSL implements basic cryptographic functions". Это для начала понимания.
| | |
|
|
| 2.72, Джон Титор (??), 02:36, 03/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>> Любительстим сайтам не нужны HTTPS. Переключайтесь на HTTP.
Проблема в браузерах. Нынче ставят палки в колеса с этим https, что влияет на даже само желание любительские создавать
| | |
| 2.165, Аноним (-), 15:49, 03/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Переключайтесь на HTTP.
Да, это отличное решение!
Чтобы пользователю любой захолустный провайдер (если такие еще остались) мог в вашу страничку рекламу вставлять. Или произвольные скрипты. Или еще какую-то бяку.
Сразу вернемся во времена IE5
| | |
| |
| 3.195, Аноним (13), 01:44, 04/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
Тут все больше как-то по теориям заговоров. Простые мелкие корыстные цели манагеров среднего звена для них пустяк.
| | |
| |
| 4.218, нах. (?), 12:29, 04/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Тут все больше как-то по теориям заговоров. Простые мелкие корыстные цели манагеров
> среднего звена для них пустяк.
потому что манагерам среднего звена - кто-то платит не такие уж маленькие зарплаты.
И у этого кого-то если есть корыстная цель, то она - большая. Но никакой большой корысти от летшиткрипта и единогласного голосования "комитетов", старательно уничтожающих саму возможность хотя бы относительного контроля за тем, какой и откуда сертификат используется твоим сервером - не просматривается даже в очень мощные микроскопы.
Так что остается, увы, теория заговоров.
| | |
|
|
| 2.200, Аноним (200), 02:39, 04/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Любительстим сайтам не нужны HTTPS. Переключайтесь на HTTP.
Многие API работают только в Secure Contexts - то есть через HTTPS. При использовании HTTP всё это не заработает:
developer.mozilla.org/en-US/docs/Web/Security/Defenses/Secure_Contexts/features_restricted_to_secure_contexts
| | |
| |
| 3.213, нах. (?), 11:40, 04/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
>> Любительстим сайтам не нужны HTTPS. Переключайтесь на HTTP.
> Многие API работают только в Secure Contexts - то есть через HTTPS.
было бы вполне здорово, если бы любительский сайт никогда-никогда даже и не думал использовать эти "многие апи".
В целом, еще лучше было бы чтобы их вообще никто не использовал, но как обычно у м@к@к подгорает если они не могут всунуть какой-нибудь "barcode detection".
> При использовании HTTP всё это не заработает:
и это просто прекрасно.
| | |
|
|
| 1.58, Онаним443 (?), 01:44, 03/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Всё идет к плате за продление сертификата.
Сначала будет $1.99 per user в год (что дешевле чем покупать обычный сертификат), потом дальше - больше
| | |
| |
| 2.64, Аноним (64), 01:59, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
Что значит "идет" ?
До let's encrypt только так и было. И суммы там значительно больше.
| | |
| |
| 3.184, нах. (?), 23:00, 03/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
огромные! Я вот, к примеру - платил по $0 в год, представь себе.
Суммы там брались в других случаях и ровно за то, чтобы никаким вот вообще образом нельзя было выдать себя за жабервру если тот за такой серт заплатил.
Но кому-то очень захотелось это поломать, и выдавать сертификаты на три дня и кому попало.
| | |
| |
| 4.204, Аноним (64), 06:18, 04/12/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Сказочник. Не было тогда бесплатных сертификатов - платила либо ваша контора, либо было включено в тариф хостинга.
Или вы про самоподписаный, или со своим CA ?
Но это вообще из другой оперы.
| | |
|
|
| 2.85, Аноним (32), 04:07, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– | |
У них там хватает спонсоров.
abetterinternet.org/sponsors/
И железки не то чтоб сильно жир.
letsencrypt.org/2021/01/21/next-gen-database-servers
| | |
|
| 1.66, Аноним (63), 02:10, 03/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Вот я когда на сайт захожу, а вижу ответ клаудфлары с якобы 500-ой ошибкой от якобы сайта. И ответ подписан сертификатом сайта. Это так и задумано в архитектуре ЦА, что MITM легко может хапнуть трафик?
| | |
| |
| |
| 3.76, Джон Титор (??), 03:23, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
Тебе твой сертификат не поможет. Вот даже если ты используешь публичный ключ, не знаешь приватный, то открою тебе очевидную истину - клиент пользующийся сайтом тоже его не знает. Впрочем даже добавлю что он и публичный то не знает, он его запрашивает. Какой в этом смысл тогда? Я х.з. ну запросит клиент публичный ключ - он ему даст. Даже если клиент запросит у mitm - ключ валидный? Ну mitm конечно ответит что валидный, а как ещё? В подборе приватного ключа нет абсолютно никакого смысла. Даже если кто-то считает его на суперкомпьютере и вот кто-то посчитал что 45 дней достаточно коротко чтобы не рассчитали. Вот если рассматривать именно mitm, то тут эти ключи вообще до лампочки.
| | |
| 3.79, Джон Титор (??), 03:31, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
И да забыл добавить очевидное - сервер клиента также не знает. Так-что ваши ключи в плане безопасности до лам-по-чки, какими бы криптостойкими они не были.
| | |
|
| 2.118, Хрю (?), 09:59, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
Давно из заморозки? Сертификаты придуманы не для того, чтоб твой трафик никто не мог хапнуть, они сделаны, чтоб твой трафик мог хапнуть кто надо и по запросам кого надо. А ты про это не фу-фу. https это "зашита он соседа Васи", а по факту это контроль. Сокращение время выпуска это чтоб продавать автоматизированные средства продления сертов, без которых люди и понимать скоро уже не будут что это где это и как этим рулить.
| | |
| |
| 3.185, нах. (?), 23:05, 03/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Сертификаты придуманы не для того, чтоб твой трафик никто не мог хапнуть
ну вообще-то придуманы - для этого вот. в том числе. Попробуй-ка получи "EV" сертификат даже сейчас. И попробуй-ка обойти потом cert pinning + hsts.
Но кому-то очень важному захотелось чтобы этого не было. Глупых леваков развели вот этим самым "6ешплатно!" (они ж не умели пользоваться интернетом и не знали что бесплатные сертификаты и так общедоступны) а остальных - заставили, запретив в браузерах неправильные технологии. О БЕЗОПАСТНОСТЕ заботились! Особенно вот вранье про небезопастный pinning было убедительным.
Так вот и в deep state поверишь...
> https это "зашита он соседа Васи"
моя (и жаберврушная) истории как бы намекают, что от соседа васи как раз вообще нынешние подделки вместо сертификатов никак не защитят.
| | |
|
|
| 1.73, Джон Титор (??), 02:42, 03/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Самое интересное никто даже и не думает создавать альтернативные международные организации для замены тех же корневых узлов на существующих технологиях или создания альтернативных технологий передачи данных и адресации. Даже если начать на существующих - заменить тот же панни код на что-то более удобное в DNS уже великое дело. Избавиться от монополии сертификатов и публичных IP кажется вообще почти не выполнимым, но это нереально гигантское дело.
| | |
| |
| 2.84, Аноним (32), 04:02, 03/12/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Подскажите, пожалуйста, эти международы в одной с вами комнате? Они обмениваются с вами альтернативными IP-пакетами или только меняют друг другу корневые узлы?
| | |
| |
| 3.87, Джон Титор (??), 04:11, 03/12/2025 [^] [^^] [^^^] [ответить]
| +4 +/– |
Ну вот как бы вам смешно не казалось, я не считаю ну вот к примеру ICANN международной организацией. Многие страны не имеют никакого абсолютно влияния в ICANN. Поэтому нет ничего зазорного в том чтобы высказать идею об их замене, т.к. их бизнес не честный. В целом физически для этого даже можно не менять никакую инфраструктуру. Вопрос только в сообществе - нытье есть, сообщества нет. А ведь полистайте выше - есть нытье?
| | |
| |
| 4.88, Аноним (32), 04:15, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
Не считайте, это не порицается и не постыдно.
Но если звёзды не зажигают - значит, нет сырья и кадров.
| | |
|
| 3.166, Джон Титор (ok), 16:11, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
 >> Подскажите, пожалуйста, эти международы в одной с вами комнате? Они обмениваются с вами альтернативными IP-пакетами или только меняют друг другу корневые узлы?
А чего вы ему минусуете? Вопрос то его понятен - замена IP, значит что замена коммутаторов. Поверх IP на самом деле никто для начала не запрещал что-то отправлять. Мне лично все эти проблемы понятны. Мягко запускать имеется в виду не отменять что-то, а потихоньку делать замену, причем более удобную тому что есть. Люди сами перейдут если почувствуют что более удобно пользоваться.
| | |
|
| 2.130, Аноним (130), 10:53, 03/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
Думают. Всякие криптопроекты вокруг блокчейна. Весь этот web 3.0 изначально расчитан на децентрализацию регуляции таких штук. Но пока что проблема не настолько критическая и США более-менее сотрудничают с мировым сообществом, поэтому никто всерьез это не воспринимает. Поэтому сейчас весь этот web 3.0 используют в основном для скама и спекуляций.
| | |
| 2.228, _kp (ok), 17:18, 04/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
 >>монополии сертификатов
Все ради монополии и сделано.
Ведь сайт признается браузером небезопасным, не по его сертификату, который даже смотреть не станет, не по зафиксированным случаем небезопасной работы, или иным нарушениям, а по сути только по проверке оплаты в доильную контору.
Какие то сайты в принципе не могут обновлять сертификаты, их сделали настроили, и если сайт не меняется, чему там протухать, он подтвержден уже сертификатом.
С встраиваемой техникой стстема сертификатов вовсе принципиально невозможна.
Нужно всю систему сертификации менять.
| | |
|
| 1.97, bOOster (ok), 06:42, 03/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Какая удобная политика по внедрению (вместо фиксов) нужных дыр в криптоалгоритмы.
А то Дуров отказывается сотрудничать и все такое.
| | |
| |
| 2.186, нах. (?), 23:07, 03/12/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Дурову сертификаты летшиткрипта нафиг не упали.
Он-то как раз контролирует _свою_ экосистему сам.
| | |
|
| |
| 2.197, Аноним (13), 01:48, 04/12/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Организация есть. Деньги выделяются. Надо что-то делать. Срок действий сертификатов сократили до 90 дней. Вроде бы, хорошо. Но что еще делать? Фантазия ведь не безграничная. А делать-то надо... Ведь деньги иначе выделять не будут. Ну, сократили с 90 дней до 45. От чего большинству уже ни холодно, ни жарко. Зато в отчетах можно написать, что на 1,5% повысили безопасность. Ладно, денег не будут из-за 1,5% выделять, напишем на 47%.
| | |
|
| 1.134, Аноним (134), 11:13, 03/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
>> Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом
Там достаточно список спонсоров глянуть чтобы понять каким сообществом он контролируется.
С другой стороны выдают то на халяву, значит надо хлопать в ладоши.
| | |
| 1.135, Аноним (135), 11:19, 03/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>Например, в случае незаметной утечки сертификата в результате взлома короткоживущие сертификаты помешают злоумышленникам длительное время контролировать трафик жертвы или использовать сертификаты для фишинга.
Ага, ага. Если был взлом и так и остался не замеченным, «злоумышленник» как утекал сертификаты, та и будет новые утекать. А вот геморрой с постоянным обновлением, повышением мусорного трафика и головной болью админов обеспечен, но кого волнуют проблемы индейцев.
| | |
| |
| |
| 3.199, Аноним (13), 01:49, 04/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
Бггг. Попробуй хоть где-то это сдеалть.
Только остается вопрос зачем.
| | |
| 3.227, _kp (ok), 15:55, 04/12/2025 [^] [^^] [^^^] [ответить]
| +/– |
Там, это аппаратная проблема, и никаким программным гарниром не прикрыть до устранения неисправности. :)
| | |
|
|
| 1.221, Аноним (221), 13:14, 04/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Это даже на маразм уже не тянет. Просто издевательство над людьми. Я против такого.
| | |
| 1.226, Аноним (226), 15:46, 04/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
потом выяснится, что на поддержку этой постоянной белки в колесе надо по 10 центов
| | |
| 1.229, Аноним (229), 00:36, 05/12/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Мне интересно, это только для публичных сертификатов, или для внутренних тоже самое? (когда свой СА для домена компаний)
| | |
|
