Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Let's Encrypt уменьшит срок действия сертификатов до 45 дней"	+/–
Сообщение от opennews (??), 02-Дек-25, 22:12
Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, объявил о решении поэтапно сократить срок действия выдаваемых TLS-сертификатов с 90 до 45 дней. 10 февраля 2027 года  срок действия сертификатов будет сокращён до 64 дней, а 16 февраля 2028 года - до 45 дней. Опциональная возможность получения сертификатов, действующих 45 дней, появится 13 мая 2026 года... Подробнее: https://www.opennet.me/opennews/art.shtml?num=64363
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 02-Дек-25, 22:12	+41 +/–
Давайте уже тогда сразу сделаем чтобы на каждый новый запрос был свой сертификат. И так к этому всё и идёт.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #10, #63, #67, #116

2. Сообщение от Аноним (2), 02-Дек-25, 22:13	+9 +/–
Так это не let's encrypt. Это все.
Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от xtotec (ok), 02-Дек-25, 22:14	+7 +/–
Интересно, как быстро они взвоют, что их инфраструктура не справляется с возросшей нагрузкой?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26, #90

4. Сообщение от Аноним (13), 02-Дек-25, 22:15	+/–
Да какая разница, хоть до недели. Кто-то их руками тягает что ли?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32, #51, #111, #120, #214, #236

5. Сообщение от skyblade (ok), 02-Дек-25, 22:16	+8 +/–
А я может пропустил что-то, но были ли какие-нибудь реальные ситуации, когда сертификат был украден и кто-то у кого-то трафик перехватывал? Я смог вспомить только ситуацию с jabber.ru, но им никакое сокращение сроков не помогло бы, так как там была операция со стороны каких-то органов и хостер был в сговоре. Им бы там даже однодневные сертификаты не помогли в таком случае.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #18, #49, #183

6. Сообщение от Аноним (8), 02-Дек-25, 22:17	–2 +/–
Давно пора выдавать сертификаты  через госуслуги обновление раз в неделю. Кто не отметился в МФЦ на нары.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #31, #144

8. Сообщение от Аноним (8), 02-Дек-25, 22:18	+17 +/–
Главное чтобы твой сервер постоянно ходил и в ножки кланялся уважаемым людям. А они уже знают как тебя "посчитать".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #13, #95, #121

9. Сообщение от Аноним (13), 02-Дек-25, 22:19	–2 +/–
> Им бы там даже однодневные сертификаты не помогли в таком случае. Скорее всего помогли бы. Выше шанс заметить, что у тебя сервак в оффлайн вываливается на несколько секунд каждый день.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

10. Сообщение от Аноним (10), 02-Дек-25, 22:19	+/–
Уже были проекты по внедрению постоянно заменяемых сертификатов, действующих считанные часы https://opennet.ru/51797-tls
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

11. Сообщение от Аноним (11), 02-Дек-25, 22:21	+/–
Как вы обновляете сертификаты для нескольких субдоменов? Сам LE такие сертификаты обновлять автоматически отказывается, требуя выполнения "DNS challenge" — всовывания заданой строки в TXT record. Дёргать bind9 из под портянки запущеной от рута не хочется, но выбора скоро не будет...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #24, #30, #82, #89, #107, #108

12. Сообщение от Аноним (10), 02-Дек-25, 22:21	+1 +/–
А разве CA/Browser Forum  не убьёт этим всю отрасль удостоверяющих центров? В коммерческих CA весь смысл был, что можно было сертификат на три года взять.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #16, #22, #77, #142

13. Сообщение от Аноним (13), 02-Дек-25, 22:24	+2 +/–
Ну, получи вайлдкард сертификат. И что там тогда считать будут? Через ДНС и то больше инфы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #137

14. Сообщение от Аноним (13), 02-Дек-25, 22:29	+/–
> Как вы обновляете сертификаты для нескольких субдоменов? Да так и обновлял. Пока их не накопилось большое количество. Тогда при переезде и первом запуске, Caddy побежал радостно получать все их по новой, тогда и попал под ограничение. Так что если их много, просто надо по времени разнести первое получение. Если скрипт тупенький и рвется их обновить в одно и то же время, то будет тот же результат.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #19

15. Сообщение от Аноним (15), 02-Дек-25, 22:37	+3 +/–
Туда им и дорога
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

16. Сообщение от Аноним (13), 02-Дек-25, 22:38	–2 +/–
> что можно было сертификат на три года взять Чтобы их распечатать и на стену повесить?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

17. Сообщение от Аноним (147), 02-Дек-25, 22:40	–4 +/–
Ну почти: - https://habr.com/ru/articles/968218/ - https://opennet.ru/56830-tls
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

18. Сообщение от Anonim (??), 02-Дек-25, 22:40	+/–
А что за ситуация с jabber.ru?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #21

19. Сообщение от Аноним (11), 02-Дек-25, 22:40	–2 +/–
У меня проблема другого плана, используется один сертификат для кучи субдоменов(git.tld.com, chat.tld.com...). Их нельзя просто так обновить без добавления TXT record в zone-file, сам certbot отказывается. После каждого такого челленджа ту TXT запись удалял, а теперь подумал, а не стал бы бот обновлять сертификаты будь она там? Хотя предположуч что строка генерируется для каждого реквеста, а не для каждого сертификата.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #23

20. Сообщение от Аноним (20), 02-Дек-25, 22:44	+/–
> В связи с сокращением срока действия сертификатов Let's Encrypt рекомендовал пользователями не обновлять сертификаты в ручном режиме, а перейти на автоматические системы управления сертификатами. Ай-яй-яй?
Ответить | Правка | Наверх | Cообщить модератору

21. Сообщение от Аноним (147), 02-Дек-25, 22:53	+1 +/–
https://opennet.ru/59965-mitm
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

22. Сообщение от Аноним (22), 02-Дек-25, 23:00	+2 +/–
3 года давно нельзя, давно уже 13 мес ограничение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

23. Сообщение от Аноним (13), 02-Дек-25, 23:02	+/–
> используется один сертификат для кучи субдоменов(git.tld.com, chat.tld.com...) То есть у тебя сейчас вайлдкард сертификат, который выдается на *.tld.com? Могу только рассказать, как у меня сделано. Сам решай, подходит тебе это или нет. Стоит Caddy, который на 90% работает в качестве реверс прокси и получает один сертификат *.tld.com на всё. Для Caddy есть плагины для разных провайдеров DNS, которые автоматизируют процесс прописывания TXT записи. Для моего регистратора не было подходящего, переводить управление всем доменом к другому не хотелось. Но, на сколько я помню, в dns-challenge TXT запись не обязательно должна прописываться для _acme-challenge.tld.com. Можно на _acme-challenge.tld.com повесить CNAME, например, на _acme.something.tld.com. В NS записи для something.tld.com прописать NS сервера DNS провайдера для которого есть плагины для Caddy. И в настройках Caddy есть параметр "dns_challenge_override_domain" в который можно прописать _acme.something.tld.com. В итоге сторонний сервис у меня рулит только ненужным поддоменом something.tld.com, Caddy через API этого сервиса подпихивает нужную TXT запись и получает вайлдкард сертификал *.tld.com. А дальше с этим сертификатом проксирует условные git.tld.com, chat.tld.com.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

24. Сообщение от penetrator (?), 02-Дек-25, 23:07	+/–
сделай API key у твоего регистрара и создавай DNS записи, жди потом запускай certbot я написал в конце концов этот баш скрипт с помощью ботов а есть регистрары у которых плагины есть для certbot
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #54

25. Сообщение от Аноним (25), 02-Дек-25, 23:09	+/–
Self signed наше всё! Сарказм, если что.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27, #61, #113

26. Сообщение от кек (?), 02-Дек-25, 23:29	+3 +/–
Биллинг сгладит боль от повышенных запросов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

27. Сообщение от кек (?), 02-Дек-25, 23:32	+1 +/–
В каждой шутке есть доля шутки ну ты пон скорее всего будем опять скоро друг дружке серты подписывать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #42

28. Сообщение от Аноним (28), 02-Дек-25, 23:36	+/–
> новые требования ассоциации CA/Browser Forum, которым должны следовать производители браузеров и удостоверяющие центры. Как так получилось, что есть целая ассоциация, указывающая как жить производителям браузеров и УЦ?  А если их нах послать и не выполнять их требования?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29, #34, #35, #36, #41, #78, #94

29. Сообщение от Аноним (29), 02-Дек-25, 23:45	+2 +/–
Вероятно, это ассоциация делает предложения от которых невозможно отказаться. Новый мировой порядок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

30. Сообщение от Аноним (30), 02-Дек-25, 23:46	+/–
certbot certonly --preferred-challenges dns --issuance-timeout 200 --email <email> --manual -d '*.<domain>' -d '<domain>' и да, для этого он просит DNS challenge, но разве это какая-то проблема?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

31. Сообщение от Аноним (31), 02-Дек-25, 23:46	+/–
Ну это годится только для нацианальных сертификатов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

32. Сообщение от Аноним (32), 02-Дек-25, 23:48	–2 +/–
До сих пор есть динозаврусы, которые лапами меняют cert.crt и priv.key, а потом service nginx reload, как диды завещали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #38, #57, #109

34. Сообщение от Аноним (13), 02-Дек-25, 23:49	+1 +/–
> А если их нах послать и не выполнять их требования? Кто и кого будет посылать? Некий CA всех остальных? Ну, пущай посылает. Браузеры будет всё равно с 2029 года выдавать ошибку "ERR_CERT_VALIDITY_TOO_LONG". Некий Браузер всех остальных? Ну, пущай посылает, ничего не поменяется. Будет принимать сертификаты с большим сроком, но всё равно никто не будет к нему с ними приходить, потому что никто не будет их выдавать. ЦА (НЕ CA) будет посылать? Смешно, каким образом... Тут для успешного посыла, а не пуканья в лужу, надо, чтобы какая-то CA объединилась с каким-нибудь Браузером... Тогда один может выдавать длинные сертификаты, а другой на них не ругаться. И для успешности сего действа, еще основать CA/Browser Forum 2.0 (blackjack edition with sluts)... Короче, хорошая хахашечка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

35. Сообщение от Gemorroj (ok), 02-Дек-25, 23:53	+2 +/–
полагаю, в этой ассоциации все те же "уважаемые" люди из гуглов и прочих клаудфларей, которые думают о твоей "безопасности".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #153

36. Сообщение от Аноним (31), 02-Дек-25, 23:55	+1 +/–
Так в этой организации кто в совете директоров? Уважаемые люди в совете: Google, Microsoft,...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #70

37. Сообщение от Аноним (32), 02-Дек-25, 23:56	+5 +/–
Тут есть ещё какой приятный и даже основной эффект, помимо безопасности. Новые правила в том числе нацелены сделать ручное обновление сертификатов максимально неудобным. Настолько неудобным, чтоб иного пути, кроме как автоматизации (даже с адской жопоболью) не осталось. Вообще. И это даже не скрывается особо, в рассылках так точно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39

38. Сообщение от Аноним (13), 02-Дек-25, 23:58	–3 +/–
В любом обществе есть люди с девиантным поведением. Только как это относится к этой новости? Мне надо их пожалеть? Они сами добровольно выбрали этот путь. Более того, у них есть масса альтернатив, так что эта ситуация не из разряда - "делаю руками, а што еще можно поделать, такова жизнь!"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

39. Сообщение от Аноним (13), 03-Дек-25, 00:00	+1 +/–
> помимо безопасности Убрать человеческий фактор = повысить безопасность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #50

40. Сообщение от Аноним (40), 03-Дек-25, 00:05	+/–
Да что за бред-то. Злоумышленники и за 5 минут уложатся, зато всем остальным страдать.
Ответить | Правка | Наверх | Cообщить модератору

41. Сообщение от Аноним (41), 03-Дек-25, 00:05	+/–
> The Certification Authority Browser Forum (CA/Browser Forum) is a voluntary gathering of Certificate Issuers and suppliers of Internet browser software and other applications that use certificates (Certificate Consumers). Так сами её и организовали. Это скорее к автору новости вопрос по поводу - кто, кому и чего должен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

42. Сообщение от Аноним (147), 03-Дек-25, 00:06	+/–
https://www.opennet.me/opennews/art.shtml?num=56830
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

44. Сообщение от Аноним (49), 03-Дек-25, 00:16	+/–
Да просто гебня попросила, сказала "Злые преступники пользуются вашей этой PKI, либо оказывайте содействие в перехвате - либо сядете все как соучастники". При такой постоянной смене сертификатов и не узнаешь, что гебня выпустила свой через LE.
Ответить | Правка | Наверх | Cообщить модератору

47. Сообщение от Аноним (47), 03-Дек-25, 00:22	+/–
И что изменится? Если будет доступ к инфраструктуре, то злоумышленники также раз в 45 дней будут перевыпускать сертификат. Если криптоалгоритм окажется уязвимым, то для этого есть отзыв сертификата (уже делали в том числе и LE). Проблем прибавляется, а вот очевидной пользы примерно никакой.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48

48. Сообщение от Аноним (29), 03-Дек-25, 00:26	+/–
Если делают, значит кому-то это выгодно с той или иной точки зрения. Думай кому.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

49. Сообщение от Аноним (49), 03-Дек-25, 00:28	–2 +/–
Подозреваю, что перехват не прекратили, а просто добавили в инфраструктуру хостера софт, дамп памяти машины делающий и ключ извлекающий. TEE-аттестация не поможет - Intel как надо подпишет системный анклав.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

50. Сообщение от Аноним (50), 03-Дек-25, 00:29	+1 +/–
>Убрать человеческий фактор = повысить безопасность. Особенно когда автоматизация выглядит как curl http://certuri?host=myhost | sudo sh
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #52, #71

51. Сообщение от pinigin (ok), 03-Дек-25, 00:36	+/–
Когда требуется верификация через DNS. Например, для доменных имён корпоративного интранета.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #53, #59, #139

52. Сообщение от Аноним (13), 03-Дек-25, 00:40	–1 +/–
Дураков хватает, что теперь, ничего не делать? Или ты за то, чтобы усложнить процесс выдачи, чтобы большинство самописных отвалилось? ИМХО, сейчас нормальный баланс. Можно для себя и на коленке какую-то лапшу накидать, но тут и требования к безопасности минимальные. А там где нужна безопасность, там тебе не дадут этого сделать. Во всяком случае есть все условия для этого.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #92

53. Сообщение от Аноним (13), 03-Дек-25, 00:43	+1 +/–
> Когда требуется верификация через DNS. Расскажи подробнее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #105

54. Сообщение от Аноним (11), 03-Дек-25, 01:06	+1 +/–
Там у человека свой авторитативный DNS сервер.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #163

55. Сообщение от Аноним (55), 03-Дек-25, 01:23	+2 +/–
Через несколько лет: > Let's Encrypt уменьшит срок действия сертификатов до 45 дней и введёт плату за продление.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #145

56. Сообщение от Ананоним (?), 03-Дек-25, 01:28	+5 +/–
Любительстим сайтам не нужны HTTPS. Переключайтесь на HTTP.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #65, #72, #106, #165, #200

57. Сообщение от Аноним (57), 03-Дек-25, 01:42	+1 +/–
Если тебе понадобится убрать критический риск MITM, будешь и руками сертификаты обновлять, и скрипты писать для этого сам. Правда, тебе уже не светит заниматься ничем серьезным, в принципе никогда. Криптоэнтузиастом на старости лет тоже вряд ли станешь с таким отношением.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #99

58. Сообщение от Онаним443 (?), 03-Дек-25, 01:44	+/–
Всё идет к плате за продление сертификата. Сначала будет $1.99 per user в год (что дешевле чем покупать обычный сертификат), потом дальше - больше
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #64, #85

59. Сообщение от Аноним (59), 03-Дек-25, 01:46	–1 +/–
> для доменных имён корпоративного интранета Корпоративный интранет есть, а корпоративного CA нет? Дай угадаю, корпорация -- это ты, бабушка и кот, а интранет -- две мобилы, десктоп и подкроватный сервер. Угадал?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #104

61. Сообщение от Аноним (57), 03-Дек-25, 01:51	+5 +/–
Если клиентские приложения на подконтрольной тебе инфре, это действительно наше всё. Только не Self signed, а собственные CA. Делаешь Root CA свое. Генеришь интермедиаты. Подписываешь ими сертификаты для серверного использования. Обслуживаешь CRL.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #83

63. Сообщение от Аноним (63), 03-Дек-25, 01:54	+3 +/–
> сокращения времени внедрения новых криптоалгоритмов в случае выявления уязвимостей в ныне действующих ^^^ вот это самое главное. Вскоре алгоритмы начнут обновляться чаще, чем грибы после дождя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #98

64. Сообщение от Аноним (64), 03-Дек-25, 01:59	+/–
Что значит "идет" ? До let's encrypt только так и было. И суммы там значительно больше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #68, #184

65. Сообщение от Аноним (63), 03-Дек-25, 01:59	+/–
Для поделок действительно несложно организовать передачу криптованных данных под http.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #125

66. Сообщение от Аноним (63), 03-Дек-25, 02:10	+/–
Вот я когда на сайт захожу, а вижу ответ клаудфлары с якобы 500-ой ошибкой от якобы сайта. И ответ подписан сертификатом сайта. Это так и задумано в архитектуре ЦА, что MITM легко может хапнуть трафик?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #69, #118

67. Сообщение от Джон Титор (??), 03-Дек-25, 02:19	–2 +/–
А не будет проблем с разными часовыми поясами и с неправильно настроенным временем? Из того что я видел - по всему миру разные специалисты и у большинства руки растут не из того места, откуда должны. Мне кажется что и с 45 днями будет немало проблем - кто-то что-то недопоймет, кто-то не так сделает, кто-то еле настроил то что работало годами и не захочет или с большими проблемами будет решать эту.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #75, #101, #174, #190

68. Сообщение от 12yoexpert (ok), 03-Дек-25, 02:22	+/–
програвают. с растом та же фишка
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

69. Сообщение от 12yoexpert (ok), 03-Дек-25, 02:23	+9 +/–
клаудфларь это mitm by design, с разморозкой
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #76, #79

70. Сообщение от Джон Титор (??), 03-Дек-25, 02:30	+/–
>> Так в этой организации кто в совете директоров? Уважаемые люди в совете: Google, Microsoft,... Судя по этой логике, если они занимаются безопасностью, то это организации двойного назначения, т.е. по сути военные. Верно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

71. Сообщение от Джон Титор (??), 03-Дек-25, 02:33	+/–
По сути нынче так и ИИ может, но тут есть нюанс - ИИ может быть локальным
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

72. Сообщение от Джон Титор (??), 03-Дек-25, 02:36	+1 +/–
>> Любительстим сайтам не нужны HTTPS. Переключайтесь на HTTP. Проблема в браузерах. Нынче ставят палки в колеса с этим https, что влияет на даже само желание любительские создавать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

73. Сообщение от Джон Титор (??), 03-Дек-25, 02:42	+2 +/–
Самое интересное никто даже и не думает создавать альтернативные международные организации для замены тех же корневых узлов на существующих технологиях или создания альтернативных технологий передачи данных и адресации. Даже если начать на существующих - заменить тот же панни код на что-то более удобное в DNS уже великое дело. Избавиться от монополии сертификатов и публичных IP кажется вообще почти не выполнимым, но это нереально гигантское дело.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #84, #130, #228

75. Сообщение от Bob (??), 03-Дек-25, 03:18	–2 +/–
смотреть по UTC?) вот от "криволапок" и делают защиту - мелкий отвал это таки не взлом и подмена кого-то заменят более сообразительными) "настроил и работало годами" - это в оффлайне на обочине прогресса. в онлане надо оперативно патчить и переделывать - уязвимостей полно, а ИИ ботов - ещё больше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #80, #180

76. Сообщение от Джон Титор (??), 03-Дек-25, 03:23	+/–
Тебе твой сертификат не поможет. Вот даже если ты используешь публичный ключ, не знаешь приватный, то открою тебе очевидную истину - клиент пользующийся сайтом тоже его не знает. Впрочем даже добавлю что он и публичный то не знает, он его запрашивает. Какой в этом смысл тогда? Я х.з. ну запросит клиент публичный ключ - он ему даст. Даже если клиент запросит у mitm - ключ валидный? Ну mitm конечно ответит что валидный, а как ещё? В подборе приватного ключа нет абсолютно никакого смысла. Даже если кто-то считает его на суперкомпьютере и вот кто-то посчитал что 45 дней достаточно коротко чтобы не рассчитали. Вот если рассматривать именно mitm, то тут эти ключи вообще до лампочки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #129

77. Сообщение от Bob (??), 03-Дек-25, 03:28	+/–
если можно настроить автоматическое обновление, то какая разница? будет серт на 3 года с автопродлением каждые 45 дней причино называли: >генерация короткодействующих сертификатов позволит быстрее внедрять новые криптоалгоритмы в случае выявления уязвимостей в ныне действующих, а также сократит угрозы безопасности. Например, в случае незаметной утечки сертификата в результате взлома короткоживущие сертификаты помешают злоумышленникам длительное время контролировать трафик жертвы или использовать сертификаты для фишинга. Более частая валидация и сокращение сроков действия сертификатов также уменьшат вероятность того, что сертификат продолжит действовать после потери актуальности содержащейся в нем информации и снизят риск распространения неправильно выпущенных сертификатов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #93, #96

78. Сообщение от Bob (??), 03-Дек-25, 03:31    Скрыто ботом-модератором	+1 +/–
>целая ассоциация, указывающая как жить производителям браузеров и УЦ которая из них же и состоит! Хоть бы по ссылкакам в статье перейти и глянуть, но зачем? Ведь можно просто пёрнуть в лужу)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

79. Сообщение от Джон Титор (??), 03-Дек-25, 03:31	+/–
И да забыл добавить очевидное - сервер клиента также не знает. Так-что ваши ключи в плане безопасности до лам-по-чки, какими бы криптостойкими они не были.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

80. Сообщение от Аноним (80), 03-Дек-25, 03:38	+5 +/–
Тяп, ляп, и в продакшен, ага. Разработчики разучились планировать дальше окончания спринта, называют это прогрессом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

82. Сообщение от dalco (ok), 03-Дек-25, 03:53	+/–
Доменов и поддоменов что-то сильно больше сотни (у каждого свой сертификат). На реверс-прокси с nginx'ом стоит acme.sh который и делает всю работу автоматом (при необходимости выкладывая в http://<имя домена>/.well-known код авторизации для получения очередного сертификата) В хуках у сертификата прописана (если нужна) раздача сертификата через rsync после обновления на другие компы (если, например, бэкенд принципиально не хочет работать через http, а только через https с валидными сертификатами). Обновился сертификат на реверс-прокси - тут же улетел на другие машины. За папкой с сертификатами приглядывает systemd-вотчер (стандартно на bla-bla.path), если какой сертификат обновился - релоад nginx'а. Почему acme.sh? Работает без рута и конфиги nginx'а своей самодеятельностью не гадит. Но это всё вкусовщина.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

83. Сообщение от Аноним (32), 03-Дек-25, 03:57	+/–
И даже для такого есть решения с ACME из коробки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

84. Сообщение от Аноним (32), 03-Дек-25, 04:02	–1 +/–
Подскажите, пожалуйста, эти международы в одной с вами комнате? Они обмениваются с вами альтернативными IP-пакетами или только меняют друг другу корневые узлы?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #87, #166

85. Сообщение от Аноним (32), 03-Дек-25, 04:07	+/–
У них там хватает спонсоров. abetterinternet.org/sponsors/ И железки не то чтоб сильно жир. letsencrypt.org/2021/01/21/next-gen-database-servers
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

87. Сообщение от Джон Титор (??), 03-Дек-25, 04:11	+4 +/–
Ну вот как бы вам смешно не казалось, я не считаю ну вот к примеру ICANN международной организацией. Многие страны не имеют никакого абсолютно влияния в ICANN. Поэтому нет ничего зазорного в том чтобы высказать идею об их замене, т.к. их бизнес не честный. В целом физически для этого даже можно не менять никакую инфраструктуру. Вопрос только в сообществе - нытье есть, сообщества нет. А ведь полистайте выше - есть нытье?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84 Ответы: #88

88. Сообщение от Аноним (32), 03-Дек-25, 04:15	+/–
Не считайте, это не порицается и не постыдно. Но если звёзды не зажигают - значит, нет сырья и кадров.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87

89. Сообщение от Аноним (89), 03-Дек-25, 04:23	+/–
ЕСТЬ МЕХАНИЗМ УЖЕ 100 лет https://wiki.archlinux.org/title/Certbot#Configure_BIND_for_... Единственное - после этого надо делать rndc freeze и thaw, по хорошему, если лежишь файл зоны ковырять. Купите или скачайте уже книгу "Dns и Bind", от O'Really, и прочтите хотя бы оглавление, чтобы понимать возможности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

90. Сообщение от Аноним (90), 03-Дек-25, 04:43	+3 +/–
Есть подозрение, что никакой возросшей нагрузки не будет. Как ходили к ним certbot’ы раз во сколько-то часов/дней, так и будут с точу же частотой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #176

92. Сообщение от Аноним (50), 03-Дек-25, 05:40	+/–
> ИМХО, сейчас нормальный баланс. Можно для себя и на коленке какую-то лапшу > накидать, но тут и требования к безопасности минимальные. А там где > нужна безопасность, там тебе не дадут этого сделать. Во всяком случае > есть все условия для этого. Там где есть обращения к чужим серверам, всегда есть человеческий фактор. Вы думаете сервера Let's Encrypt сами себя обслуживают и охраняются парой автоматчиков? Я за то, чтобы выкинуть X.509 со всеми этими левыми "доверенными" конторами и повсеместно использовать получение ключей через DNS. А для лучшей безопасности можно ещё и проверять ключи через обратный DNS, но это уже имеет смысл делать только если ключи изменились. Даже если владелец root зоны захочет подменить ключи у opennet.ru, то ему надо будет изменить ключи для .ru, а это палевно. Если владелец .ru захочет подменить ключи то получение ключа по IP спалит подделку. И только если владельцы .ru и RIPE договорятся, то ключ можно будет подделать. Но вероятность этого ничтожно мала. А эти инициативы по автоматизации только снижают безопасность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

93. Сообщение от Аноним (93), 03-Дек-25, 05:45	+1 +/–
другая ж причина то- можно отключить неугодных
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

94. Сообщение от Аноним (93), 03-Дек-25, 05:46	+/–
эт их ответ на лигу онторнета
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

95. Сообщение от Аноним (95), 03-Дек-25, 06:40	–10 +/–
Готов ходить и "кланятся" в Let's Encrypt чтобы получить сертификат. Самое главное, это не надо ставить сертификат Минцифры РФ, и прочие российские сертификаты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #103

96. Сообщение от bOOster (ok), 03-Дек-25, 06:41	+/–
Нельзя, коммерсы за автообновление деньги берут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

97. Сообщение от bOOster (ok), 03-Дек-25, 06:42	+/–
Какая удобная политика по внедрению (вместо фиксов) нужных дыр в криптоалгоритмы. А то Дуров отказывается сотрудничать и все такое.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #186

98. Сообщение от Аноним (63), 03-Дек-25, 06:42	+/–
а следом за ними - библиотеки, сервера...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #168

99. Сообщение от мелстрой (?), 03-Дек-25, 06:45	–1 +/–
Ну так по факту он говорил, а ты можешь хоть ссш ключи руками гонять, и называть себя спецлп нбца каким.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

101. Сообщение от Аноним (101), 03-Дек-25, 06:57	+1 +/–
Поначалу, может, и будет... Штош, они просто не вписались в дивный новый безопасный мир. Они просто умрут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

103. Сообщение от dullish (ok), 03-Дек-25, 07:31	+31 +/–
Раб не ищет свободы, раб ищет милосердного хозяина.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95 Ответы: #132, #122, #123

104. Сообщение от Kilrathi (ok), 03-Дек-25, 07:44	+/–
Таки внутрисетевой поднять не проблема, в отличии от автоматизации доверия ему зоопарком подключающихся к сети систем. А приобретение полноценного subordinate ca весьма не бюджетно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #169

105. Сообщение от Kilrathi (ok), 03-Дек-25, 07:51	+1 +/–
Да не вопрос: сервера только с rdp/vnc, asterisk без веб морды. И наружу торчат только непосредственно рабочие порты 3389, 5349, 5060, 5900... Тут либо через dns, либо автоматизировать включение и отключение портов на шлюзе с временными цертботовскими вебами на серверах, либо запрашивать-получать со шлюза и распространять по серверам. Последние варианты - это локальное хранение реквизитов доступа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #149

106. Сообщение от ryoken (ok), 03-Дек-25, 07:53	+/–
На gopher, чо уж.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

107. Сообщение от нах. (?), 03-Дек-25, 07:53	–1 +/–
Домен _acme-challenge делегируешь. Да, так нельзя (в стандарте ничего не сказано что в имени ns допустимы подчеркивания) но можно, потому что никто кроме уродов из летшита, за этим доменом и не придет, а у них ничего не проверяется. На том сервере который у тебя занимается сертификатами - поднимаешь отдельный нэймсервер с НОРМАЛЬНЫМ интерфейсом управления. (уж точно не bind с его бесконечными дырами в любом месте связанном с криптографией. Впрочем, для этой задачи годится любой мусор, хоть сам на awk пиши, если еще никто не) В нем - единственная зона с единственной txt. Ничего кроме этого неймсервера и собственно acme-долборобота разумеется на этом сервере не держишь. Неплохой вариант - что он вообще у тебя выключен 23 часа в сутки. Синхронизация с него полученных сертификатов с тем сервером которому они на самом деле нужны - на твое усмотрение, и используй запрос с того сервера а не наоборот. Так удается хотя бы свести поверхность атаки к околонулевой. Разумеется, со всеми прочими "прелестями" навязанных летшиткриптой одноразовых сертификатов ничего сделать не получится, но это уже угроза для клиентов а не твоей инфраструктуры. Для умных клиентов можно на досуге развернуть параллельные интерфейсы с собственным CA которому они и ты доверяешь. (умные клиенты не используют макось и ее клоны, учти)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

108. Сообщение от Kilrathi (ok), 03-Дек-25, 07:56	+/–
Зависит от количества. В пределах десятка у меня через http-challenge и certbot-nginx обновлял все vhosts, и одновременно запускаемые из одной внешней подсети обновления/выдачи через standalone временный работали без всяких блоков.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

109. Сообщение от Дмитрий (??), 03-Дек-25, 08:12	+1 +/–
ТОлько все системы автоматической настройки систем придумали деды, как ты их называешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

111. Сообщение от SubGun (??), 03-Дек-25, 08:38	+/–
Не ручками, но есть что-то закрытых контуров. Не секретных, а просто изолированных от мира(типа внутреннего nextcloud и т.д.). Открываешь доступ, сертификат обновляентся на 3 месяца, закрываешь доступ. Да, таких "закрытых контуров" мало, но когда у тебя "жопа в мыле", очень занят, а прилетает алерт, что пора обновлять сертификат, это дико бесит. Теперь это будет бесить в 3 раза чаще.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #140, #150, #170

113. Сообщение от Аноним (113), 03-Дек-25, 09:22	+/–
А что будете делать, когда браузеры откажутся работать с сертификатами, у которых срок больше 45 дней?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #148

116. Сообщение от Аноним (116), 03-Дек-25, 09:53	+/–
токены уже есть
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

118. Сообщение от Хрю (?), 03-Дек-25, 09:59	+/–
Давно из заморозки? Сертификаты придуманы не для того, чтоб твой трафик никто не мог хапнуть, они сделаны, чтоб твой трафик мог хапнуть кто надо и по запросам кого надо. А ты про это не фу-фу. https это "зашита он соседа Васи", а по факту это контроль. Сокращение время выпуска это чтоб продавать автоматизированные средства продления сертов, без которых люди и понимать скоро уже не будут что это где это и как этим рулить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #185

119. Сообщение от localhostadmin (ok), 03-Дек-25, 10:01	+/–
Почему CA/Browser Forum длительность работы сертификатов так глаза мозолит?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #156, #197

120. Сообщение от Аноним (124), 03-Дек-25, 10:02	+2 +/–
Если ты видишь, что проблема именно в "тягании" или автоматизации данного процесса, то вообще ничего не понимаешь в этом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #152, #171

121. Сообщение от Соль земли2 (?), 03-Дек-25, 10:03	+1 +/–
Let's Encrypt могут закрыться когда угодно, если захотят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #167

122. Сообщение от Diozan (ok), 03-Дек-25, 10:09	+1 +/–
А где я могу получить ОТЕЧЕСТВЕННЫЙ сертификат для своего домашнего Web-сервера без необходимости платить кучу денег за него? Я готов, укажите где. Нужно очень, не потому, что там что-то шибко секретное, а потому что на сайты без HTTPS браузеры уже ругаться начали. Хы... А на HTTPS с отечественным сертификатом браузеры всё равно ругаются... Ну, кроме Яндекс браузера...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103 Ответы: #124, #138, #143

123. Сообщение от Аноним (124), 03-Дек-25, 10:10	+/–
https://habr.com/ru/articles/968218/ https://www.opennet.me/opennews/art.shtml?num=56830
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103 Ответы: #146

124. Сообщение от Аноним (124), 03-Дек-25, 10:12	+1 +/–
Да и плевать, что они начали ругаться. Ты хочешь прогибаться под стандартизаторов, которых продавил Google, желая залесть в каждый ПК пользователя?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122 Ответы: #141

125. Сообщение от Аноним (124), 03-Дек-25, 10:15	–1 +/–
Крипта и веб? У тебя все нормально?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #161

129. Сообщение от 12yoexpert (ok), 03-Дек-25, 10:28	+/–
не мне мой не поможет, а тебе твой
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

130. Сообщение от Аноним (130), 03-Дек-25, 10:53	+/–
Думают. Всякие криптопроекты вокруг блокчейна. Весь этот web 3.0 изначально расчитан на децентрализацию регуляции таких штук. Но пока что проблема не настолько критическая и США более-менее сотрудничают с мировым сообществом, поэтому никто всерьез это не воспринимает.  Поэтому сейчас весь этот web 3.0 используют в основном для скама и спекуляций.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

132. Сообщение от Аноним (132), 03-Дек-25, 11:08	–4 +/–
> Минцифры РФ > свободы Интересные у вас игры
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103 Ответы: #157

134. Сообщение от Аноним (134), 03-Дек-25, 11:13	+1 +/–
>> Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом Там достаточно список спонсоров глянуть чтобы понять каким сообществом он контролируется. С другой стороны выдают то на халяву, значит надо хлопать в ладоши.
Ответить | Правка | Наверх | Cообщить модератору

135. Сообщение от Аноним (135), 03-Дек-25, 11:19	+/–
>Например, в случае незаметной утечки сертификата в результате взлома короткоживущие сертификаты помешают злоумышленникам длительное время контролировать трафик жертвы или использовать сертификаты для фишинга. Ага, ага. Если был взлом и так и остался не замеченным, «злоумышленник» как утекал сертификаты, та и будет новые утекать. А вот геморрой с постоянным обновлением, повышением мусорного трафика и головной болью админов обеспечен, но кого волнуют проблемы индейцев.
Ответить | Правка | Наверх | Cообщить модератору

136. Сообщение от Аноним (136), 03-Дек-25, 11:37	+/–
Чтобы снять ограничения браузеры можно пропатчить и пересобрать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #155

137. Сообщение от OpenEcho (?), 03-Дек-25, 11:45	+/–
> Ну, получи вайлдкард сертификат. И что там тогда считать будут? Про DNS Zone Walking не слышали? А оно есть... и все субдомены будут посчитаны... если конечно вы не отключили ДНССЕК
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

138. Сообщение от OpenEcho (?), 03-Дек-25, 11:50	–1 +/–
> сертификат для своего домашнего Web-сервера Для домашнего сервера, достаточно создать свой СА, подписать им серверный сертификат а публичный ключ СА добавить во все домашние ПК
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122 Ответы: #158

139. Сообщение от OpenEcho (?), 03-Дек-25, 11:58	–1 +/–
>> Кто-то их руками тягает что ли? > Когда требуется верификация через DNS. И зачем это делать вручную когда это элементарно автоматизируется?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

140. Сообщение от OpenEcho (?), 03-Дек-25, 12:00	+/–
> Открываешь доступ, сертификат обновляентся на 3 месяца, закрываешь доступ. А не проще верификацию через ДНС сделать и автоматизировать чем ручками или туды/сюды открывать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111 Ответы: #175

141. Сообщение от Diozan (ok), 03-Дек-25, 12:07	+1 +/–
> Да и плевать, что они начали ругаться. Ты хочешь прогибаться под стандартизаторов, > которых продавил Google, желая залесть в каждый ПК пользователя? Загляни внутрь своего компьютера - чей там процессор, память, видео, диски... Операционка чья... Прогнулся?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124 Ответы: #203

142. Сообщение от OpenEcho (?), 03-Дек-25, 12:11	+1 +/–
> А разве CA/Browser Forum  не убьёт этим всю отрасль удостоверяющих центров? Так именно для этого и делается, власть она такая штука, что всегда хочет монополию :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

143. Сообщение от pofigist (?), 03-Дек-25, 12:23	+/–
На госуслугах
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122 Ответы: #159

144. Сообщение от pofigist (?), 03-Дек-25, 12:27	+/–
https://www.gosuslugi.ru/landing/tls
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

145. Сообщение от sena (ok), 03-Дек-25, 12:39	+/–
Плата за продление это ещё не самое плохое, что может случиться. Гораздо хуже если сертификаты будут выдаваться выборочно, в зависимости от желания выдающего. Ещё хуже, если выяснится что сертификаты от Гугла сгенерированы таким образом, что их значительно легче взломать, если знать этот их секрет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

146. Сообщение от mrdzharoff (?), 03-Дек-25, 13:29	+2 +/–
на швабре как всегда толпа розовых хомячков, идентифицирующих себя пони бгг. я конечно не в восторге от закручивания гаек, но истина дороже: там чувак сравнивает ужасное фсб, которому закон не писан с добрым-пушистым анб, которое ну никак не будет устраивать точно такой же митм, имея все средства и полномочия. ну лол же, кринж, да?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123 Ответы: #147, #151, #154

147. Сообщение от Аноним (147), 03-Дек-25, 13:39	+/–
И, что анб тебе сделает ? Ишь какой нашёлся весельчак про швабры тут шутит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #146

148. Сообщение от nebularia (ok), 03-Дек-25, 13:40	+/–
Они не откажутся, они будут выдавать ошибку сертификата. Что сейчас с self-signed и так происходит. Надо нажать "да, я хочу туда зайти". Одной ошибкой больше, одной меньше, без разницы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113 Ответы: #162, #206

149. Сообщение от Аноним (149), 03-Дек-25, 13:56	+/–
У тебя целых 3 готовых варианта для автоматизации, сам же и выдал...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105 Ответы: #234

150. Сообщение от Аноним (149), 03-Дек-25, 14:01	+/–
Может надо просто настроить нормально, тогда и бесить не будет? Если что, у меня такой же локальный зоопарк, скрытый от внешнего мира. И все работает без моего участия.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111

151. Сообщение от Аноним (151), 03-Дек-25, 14:02	+/–
АНБ написали Ghidra, которой я пользуюсь, полезные люди. А ФСБ эм...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #146 Ответы: #189

152. Сообщение от Аноним (149), 03-Дек-25, 14:03	+/–
"Ты ничего не понимаешь" - отличный прием, но немного устарел. Зачастую означает "у меня не хватает квалификации объяснить, поэтому просто надую щёки".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120

153. Сообщение от Аноним (147), 03-Дек-25, 14:10	+/–
Да https://www.opennet.me/opennews/art.shtml?num=54284
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

154. Сообщение от Аноним (-), 03-Дек-25, 14:11	–1 +/–
Ну знаешь, как говорится "по делам судят". У немцев были шпийоны, и у янки были, и у советов. Но после некоторых событий немцев за людей перестали считать. От так.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #146

155. Сообщение от Аноним (63), 03-Дек-25, 14:16	+/–
попробуй это на яойфоне, например, сделать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136 Ответы: #199, #227

156. Сообщение от Аноним (63), 03-Дек-25, 14:20	+/–
Зонды требуются в частой замене.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119

157. Сообщение от dullish (ok), 03-Дек-25, 14:41	+2 +/–
> Интересные у вас игры Пожалуйста, скажите, что притворяетесь. Не отнимайте у меня остатки веры в человечество.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #132

158. Сообщение от Diozan (ok), 03-Дек-25, 14:42	+/–
>> сертификат для своего домашнего Web-сервера > ...добавить во все домашние ПК А не домашние? На мой домашний сервер ходят не только из дома. Он доступен из Интернета. Специально доплачиваю провайдеру за статический IP и держу доменную зону у регистратора.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #138 Ответы: #187, #196

159. Сообщение от Diozan (ok), 03-Дек-25, 14:44	+/–
> На госуслугах Бесплатно и в режиме автоматического обновления?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #143 Ответы: #177

161. Сообщение от Аноним (63), 03-Дек-25, 14:56	+/–
> Крипта и веб? Бро, я даже не знаю, что тебе ответить... Попробуй найти в словаре слово "cryptographic", и вот это прочитать: "OpenSSL implements basic cryptographic functions". Это для начала понимания.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125

162. Сообщение от Аноним (63), 03-Дек-25, 14:59	+/–
> они будут выдавать ошибку ... Надо нажать Где-то останется кнопка, а где-то (особенно на смартах) её уже нету, и на self-signed не зайти никак.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #148 Ответы: #202

163. Сообщение от penetrator (?), 03-Дек-25, 14:59	+/–
PowerDNS в помощь у которого есть API, а для BIND копать в сторону --dns-rfc2136 в общем все то же самое, как и написал если у него свом собственный неймсервер, то как бы должен уметь с ним справиться а TXT записи придется создать ))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #194

165. Сообщение от Аноним (-), 03-Дек-25, 15:49	+1 +/–
> Переключайтесь на HTTP. Да, это отличное решение! Чтобы пользователю любой захолустный провайдер (если такие еще остались) мог в вашу страничку рекламу вставлять. Или произвольные скрипты. Или еще какую-то бяку. Сразу вернемся во времена IE5
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #195

166. Сообщение от Джон Титор (ok), 03-Дек-25, 16:11	+/–
>> Подскажите, пожалуйста, эти международы в одной с вами комнате? Они обмениваются с вами альтернативными IP-пакетами или только меняют друг другу корневые узлы? А чего вы ему минусуете? Вопрос то его понятен - замена IP, значит что замена коммутаторов. Поверх IP на самом деле никто для начала не запрещал что-то отправлять. Мне лично все эти проблемы понятны. Мягко запускать имеется в виду не отменять что-то, а потихоньку делать замену, причем более удобную тому что есть. Люди сами перейдут если почувствуют что более удобно пользоваться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84

167. Сообщение от _ (??), 03-Дек-25, 17:33	+/–
И зачем бы им этого захотелось? Вот цену выставить - это годная мысль! А куда вы денетесь :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121

168. Сообщение от _ (??), 03-Дек-25, 17:34	+/–
ИБД всместо жизни. Самый цимес нонешнего оЙтИ :(
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

169. Сообщение от _ (??), 03-Дек-25, 17:41	+/–
Ой ППЦ гдеж вас таких делают?  :( Для самых маленьких - да в любом AD уже есть CA, для интранета - самое то!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104 Ответы: #172

170. Сообщение от _ (??), 03-Дек-25, 17:50	+/–
ППЦ ... и ведь он - серьёзно :( Получай обновы на вне закрытого контура и всовывай во внутрь. Получай на сертификат на вилдкард, он на всё внутри подходит. Сесть, написать, отладить - даже если ты туповат за неделю управишься, а если нет - за вечер.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111 Ответы: #178

171. Сообщение от _ (??), 03-Дек-25, 17:51	+/–
Лягушку варят медленно(С) Ындейцы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120

172. Сообщение от Kilrathi (ok), 03-Дек-25, 18:15	–2 +/–
> Ой ППЦ гдеж вас таких делают?  :( > Для самых маленьких - да в любом AD уже есть CA, для > интранета - самое то! Явно не там, где вас больших, ибо: 1. CA - отдельная роль. Ее можно поднять, а можно и не использовать - это опционально, а не "в любом AD уже есть CA". 2. Если это не интранет яжадмина из нескольких форточек, то в сети еще могут быть android, ios, linux, macos, bsd... И без наличия серьезной дорогой mdm им всем придется прописывать доверие самодельному CA вручную, на что и было указано выше. 3. Изначально шла речь про "доменные имена корпоративного интранета" в рамках lets encrypt, что подразумевает высокую вероятность необходимости доверия некоторым из них не только из lan, но и из wan, что, в свою очередь, может потребовать приобретения доверенного sub-ca, о чем тоже было указано выше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #169 Ответы: #179

174. Сообщение от мимо (?), 03-Дек-25, 20:11	+/–
Если кто-то не может добавить в crontab одну строчку с автопродлением через certbot - тогда ему нечего делать в админах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

175. Сообщение от Kilrathi (ok), 03-Дек-25, 20:36	+1 +/–
> А не проще верификацию через ДНС сделать и автоматизировать чем ручками или > туды/сюды открывать? Таки не все dns-сервера и не все dns-хостинги поддерживают легкое удаленное создание/обновление записей. А технологию постоянных dns-записей авторизации LE планируют начать внедрять, судя по последним новостям, только в следующем году.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #140 Ответы: #198

176. Сообщение от Ilya Indigo (ok), 03-Дек-25, 20:42	+/–
У адекватных людей по рекомендациям от LE она настроена за 30 дней до истечения сертификата, то есть раз в 2 месяца. Если настройки так и останутся, то обновление сертификата будет выполнятся раз в пол месяца, то есть возрастёт в 4 раза! P.S. Я изменять настройки НЕ намерен! Мне нужен сертификат действующий больше месяца.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90 Ответы: #191, #205

177. Сообщение от pofigist (?), 03-Дек-25, 21:08	+/–
Бесплатно точно. А вот второе не предусмотрено.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #159 Ответы: #188

178. Сообщение от нах. (?), 03-Дек-25, 21:47	+/–
"теперь у нас ДВЕ проблемы"(c)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #170 Ответы: #233

179. Сообщение от нах. (?), 03-Дек-25, 21:52	–1 +/–
если это не интранет яжадмина - там И ТАК должен быть mdm.  (И CA там ДОЛЖЕН быть, иначе ничего работать кроме локалхоста не будет) ну а если нет - значит юзверьки хорошо дрессированы и просто добавишь им еще один пункт в инструкцию. (Кстати, кто-нибудь может мне объяснить, как, с-ко, связано добавление сертов вручную и...ТАДАМ - заshita ведроида отпечатком или мордой? ) Хинт: до ужосов ковидлы таких инструкций в корпоративных сетях было у каждого первого. (если бы ты не был админом локалхоста, то знал бы для чего и почему) > может потребовать приобретения доверенного sub-ca вам-с - не продадут-с. Ну если ты чуток поменьше чем какой-нибудь сименс, то вообще не светит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #172 Ответы: #181

180. Сообщение от Васян (?), 03-Дек-25, 21:56	+/–
- - - - а ИИ ботов - ещё больше. Некоторые из них когда-то программистами назывались....
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

181. Сообщение от Kilrathi (ok), 03-Дек-25, 22:21	+/–
> если это не интранет яжадмина - там И ТАК должен быть mdm. >  (И CA там ДОЛЖЕН быть, иначе ничего работать кроме локалхоста > не будет) Не умеете и не будет - не одно и то же.   Куча сетей и доменов как-то успешно до вас справлялись без поднятия AD CS. Равно как и без дорогих навесных MDM, довольствуясь конфигурацией встроенного функционала и допиливанием недостающего скриптами. > им еще один пункт в инструкцию. Автоматизация ИТ-процессов посредством ручных действий пользователями по инструкции - это пять :) Вы, наверное и кронами-шедуллерами всякими богомерзкими не пользуетесь: отдельно назначенный сотрудник сидит и кликает на ярлычки по таймеру.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #179 Ответы: #192, #215

183. Сообщение от нах. (?), 03-Дек-25, 22:52	+/–
честно говоря, по опыту совсем недавнего общения с этим самым хостером (тов.майор - я нечаянно! И хвост не мой!)  - это могли быть просто руки из того самого места. В общем, не так давно получил я с того хостера стопиццот уведомлений что превышен лимит трафика. Пошел разбираться. Выясняется, что криворукие мартышки запихнули в порт моего сервера всю /25 или сколько у них там (при том что там штатно ip protection и куча других ограничительных фич на свитчах включены, чтоб клиенты не особо резвились). То ли оно так ими и было задумано, то ли у свитча кончилась память и он превратился в хаб - в общем, прет на меня трафик, адресованный совсем не мне.... но есть нюанс. На этой коробке сложная система виртуалок и впнов и включена маршрутизация. Ну и внешний порт естественно в promisc по этому же поводу. Угадай что она делает, получив пакетик, адресованный не ей? Праааавильна - отвечает иди нахрен. Ну с неплохим таким рейтом отвечает (могла бы и отфорвардить, но на их несчастье там фильтры). Я, конечно, человек добрый. Добавил правило drop для таких входящих. Но будь я человеком не настолько добрым, и окажись там какой-нить жабервру - что, скажи, помешало бы мне эти пакетики аккуратно перехватывать и отдавать обратно...нетольколишьвсе (причем отданные - свичтехаб же ж доставит небось и настоящему адресату - так что тот не особо чего и спалит)? И да, общение с м@к@ками заняло пол-дня, у них там перерывы на обед. После чего они... правильна, уронили мне сервер так что с трудом сумели обратно поднять. Нет, я не знаю зачем они физически к нему полезли когда дело в настройках сети. Но в общем это же подтверждает их "квалификацию",  а не товарищмайора за спиной. Тот был бы аккуратней. Траффик правда на пару недель пропал, но надысь вот - снова появился. Как ты понимаешь, второй раз я этих мак@к беспокоить не стал, а то штука хрупкая, снова можно уже и не оживить. Виликие немецкие спициалисты, спешите видеть. (А тебе, Ваня с незавершаемым делом о предоставлении уежища...э...убежища? Не, все правильно! - мы предложим должность мойщика сортиров и еще вот оператора на телефоне. Ой, ты со своим B2 кажется не проходишь. Сиди дальше в шелтере с арабскими бешенцами, следующий прием через два года.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #193

184. Сообщение от нах. (?), 03-Дек-25, 23:00	+1 +/–
огромные! Я вот, к примеру - платил по $0 в год, представь себе. Суммы там брались в других случаях и ровно за то, чтобы никаким вот вообще образом нельзя было выдать себя за жабервру если тот за такой серт заплатил. Но кому-то очень захотелось это поломать, и выдавать сертификаты на три дня и кому попало.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #204

185. Сообщение от нах. (?), 03-Дек-25, 23:05	+1 +/–
> Сертификаты придуманы не для того, чтоб твой трафик никто не мог хапнуть ну вообще-то придуманы - для этого вот. в том числе. Попробуй-ка получи "EV" сертификат даже сейчас. И попробуй-ка обойти потом cert pinning + hsts. Но кому-то очень важному захотелось чтобы этого не было. Глупых леваков развели вот этим самым "6ешплатно!" (они ж не умели пользоваться интернетом и не знали что бесплатные сертификаты и так общедоступны) а остальных - заставили, запретив в браузерах неправильные технологии. О БЕЗОПАСТНОСТЕ заботились! Особенно вот вранье про небезопастный pinning было убедительным. Так вот и в deep state поверишь... > https это "зашита он соседа Васи" моя (и жаберврушная) истории как бы намекают, что от соседа васи как раз вообще нынешние подделки вместо сертификатов никак не защитят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118

186. Сообщение от нах. (?), 03-Дек-25, 23:07	–1 +/–
Дурову сертификаты летшиткрипта нафиг не упали. Он-то как раз контролирует _свою_ экосистему сам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97 Ответы: #201

187. Сообщение от Аноним (13), 04-Дек-25, 01:16	–1 +/–
Да там у этого персонажа всё наоборот. Для домашнего сервера достаточно лэтсэнкрипта. А вот создавать свою инфраструтуру подписи сертификатов, потом распихивать по всем девайсам. Кто-то пришел в гости... захотел другой браузер попробовать... Короче, столько гемора. Это какая-то параллельная зеркальная реальность у него.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #158

188. Сообщение от Аноним (13), 04-Дек-25, 01:17	+/–
Значит неконкурентноспособно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #177

189. Сообщение от Аноним (13), 04-Дек-25, 01:18	+1 +/–
Написали СОРМ... Которым ты пользуешься. Полезные люди.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #151

190. Сообщение от Аноним (13), 04-Дек-25, 01:23	+1 +/–
Как я понимаю, сертификат принято обновлять на 2/3 его жизни. Поэтому, ИМХО, немного нестандартная цифра - 45 дней. То есть, чтобы серт в нормальных условиях обновлялся каждый месяц. Плюс еще треть срока - 15 дней в запасе. Ну, кто в последний день обновляет... Тут в комментах ниже нашлись люди, у которых подгорает от этого... ну, то есть они руками обновляют... и еще и в последний день... когда и так работы завались... xD
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

191. Сообщение от Аноним (13), 04-Дек-25, 01:25	+/–
Не за 30 дней, а на 2/3 от времени действия. Так что ССЗБ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #176

192. Сообщение от Аноним (13), 04-Дек-25, 01:31	+/–
> кронами-шедуллерами всякими богомерзкими не пользуетесь Зачем нужен крон в 2025 году, если везде есть божественный системд? Явно там дидовские протухшие башпартянки развешаны. Это и есть вся ваша "Автоматизация ИТ-процессов". Зато как звучит!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #181

193. Сообщение от Аноним (13), 04-Дек-25, 01:36    Скрыто ботом-модератором	+/–
> Виликие немецкие спициалисты Где они еще остались? Германия уже давно маленькая Турция... хотя сейчас уже может быть Сирия... или еще какая страна. Набрали по объявлению...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #183 Ответы: #212

194. Сообщение от Аноним (13), 04-Дек-25, 01:37	+/–
> то как бы должен уметь с ним справиться Ну, может, у него своя сеть на 3 компа. На чём-то надо учиться. К чему этот лишний пафос...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #163 Ответы: #222

195. Сообщение от Аноним (13), 04-Дек-25, 01:44	+/–
Тут все больше как-то по теориям заговоров. Простые мелкие корыстные цели манагеров среднего звена для них пустяк.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #165 Ответы: #218

196. Сообщение от OpenEcho (?), 04-Дек-25, 01:44	+/–
> На мой домашний сервер ходят не только из дома. Ну тогда надо называть вещи своими именами, т.к. это уже по определению, - публичный, а не домашний сервер
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #158 Ответы: #210

197. Сообщение от Аноним (13), 04-Дек-25, 01:48	+1 +/–
Организация есть. Деньги выделяются. Надо что-то делать. Срок действий сертификатов сократили до 90 дней. Вроде бы, хорошо. Но что еще делать? Фантазия ведь не безграничная. А делать-то надо... Ведь деньги иначе выделять не будут. Ну, сократили с 90 дней до 45. От чего большинству уже ни холодно, ни жарко. Зато в отчетах можно написать, что на 1,5% повысили безопасность. Ладно, денег не будут из-за 1,5% выделять, напишем на 47%.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119

198. Сообщение от OpenEcho (?), 04-Дек-25, 01:48	+/–
>Таки не все dns-сервера и не все dns-хостинги поддерживают Я б просто поменял регистрара и/или ДНС сервер в таком случае чем в ручную
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #175 Ответы: #208

199. Сообщение от Аноним (13), 04-Дек-25, 01:49	+/–
Бггг. Попробуй хоть где-то это сдеалть. Только остается вопрос зачем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155

200. Сообщение от Аноним (200), 04-Дек-25, 02:39	+/–
> Любительстим сайтам не нужны HTTPS. Переключайтесь на HTTP. Многие API работают только в Secure Contexts - то есть через HTTPS. При использовании HTTP всё это не заработает: developer.mozilla.org/en-US/docs/Web/Security/Defenses/Secure_Contexts/features_restricted_to_secure_contexts
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #213

201. Сообщение от Аноним (63), 04-Дек-25, 02:40	+/–
уже не свою и не сам
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #186

202. Сообщение от Аноним (202), 04-Дек-25, 05:00	+/–
В подавляющем большинстве браузеров все эти кнопки есть, на смарте тоже
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #162

203. Сообщение от dullish (ok), 04-Дек-25, 05:46	+1 +/–
Разве всё перечисленное не находится в вашей собственности? Речь ведь идёт о навязанной услуге.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #141 Ответы: #211

204. Сообщение от Аноним (64), 04-Дек-25, 06:18	–1 +/–
Сказочник. Не было тогда бесплатных сертификатов - платила либо ваша контора, либо было включено в тариф хостинга. Или вы про самоподписаный, или со своим CA ? Но это вообще из другой оперы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #184

205. Сообщение от Ангним (?), 04-Дек-25, 08:45	+1 +/–
> P.S. Я изменять настройки НЕ намерен! > Мне нужен сертификат действующий больше месяца. Тогда бесплатный LE не для тебя. Ищи CA с другими условиями.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #176

206. Сообщение от Аноним (206), 04-Дек-25, 09:15	+1 +/–
В самом же посте "ERR_CERT_VALIDITY_TOO_LONG". И это как с устаревшими шифрами - идёшь лесом без всяких кнопок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #148 Ответы: #207

207. Сообщение от Аноним (206), 04-Дек-25, 09:17	+/–
В плане - сначала будет "продолжить", а потом уже не будет. А могут и сразу обломать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #206

208. Сообщение от Kilrathi (ok), 04-Дек-25, 09:39	+/–
>>Таки не все dns-сервера и не все dns-хостинги поддерживают > Я б просто поменял регистрара и/или ДНС сервер в таком случае чем > в ручную Зачем торопиться? Урезание запланировано на 27й год, а в 26-м планируют внедрить constant-dns: один раз вручную задал dns-запись авторизации и хоть ежедневно обновляй без публикаций.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #198 Ответы: #223

210. Сообщение от Diozan (ok), 04-Дек-25, 11:05	+/–
Нет юридически значимого определения "домашний сервер". Вот вольное определение из Вики. Домашний сервер — это вычислительный сервер, расположенный в частном вычислительном доме и предоставляющий услуги другим устройствам внутри или за пределами домохозяйства через домашнюю сеть или Интернет. И с этим я согласен, ибо мои домашние устройства не всегда находятся дома. И даже мои домашние живут не в нём. Они могут быть и в какой-нибудь Австралии, где я грею пузо на пляже и не теряю связь со своей домашней сетью.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #196 Ответы: #224

211. Сообщение от Diozan (ok), 04-Дек-25, 11:08	+/–
> Разве всё перечисленное не находится в вашей собственности? Речь ведь идёт о > навязанной услуге. Почитай лицензионное соглашение с фирмой Microsoft, чья операционка, наверняка, у тебя стоит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #203 Ответы: #217

212. Сообщение от нах. (?), 04-Дек-25, 11:30	+/–
> Где они еще остались? последний раз чувак с явно турецкой фамилией отвечал мне там лет десять, наверное, назад. И один раз был индус. Который,кстати, кое-как но починил таки то что до него очередной Ганс развалил. Но тоже давно. Ни Артур, ни Ричард отвечавшие мне в той переписке про сломанную маршрутизацию на свитчах - на турецкие имена совершенно непохожи. Маскируются, наверное.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #193

213. Сообщение от нах. (?), 04-Дек-25, 11:40	+/–
>> Любительстим сайтам не нужны HTTPS. Переключайтесь на HTTP. > Многие API работают только в Secure Contexts - то есть через HTTPS. было бы вполне здорово, если бы любительский сайт никогда-никогда даже и не думал использовать эти "многие апи". В целом, еще лучше было бы чтобы их вообще никто не использовал, но как обычно у м@к@к подгорает если они не могут всунуть какой-нибудь "barcode detection". > При использовании HTTP всё это не заработает: и это просто прекрасно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #200

214. Сообщение от Мистер Булкин (ok), 04-Дек-25, 11:43	+1 +/–
Кто-то тягает, когда нужен wildcard сертификат, а он выдаётся только через dns challenge. А у каждого регистратора свой api для управления зоной (а у некоторых и вовсе, только веб-интерфейс). И готового решения для интеграции с certbot'ом в таком случае нет. Либо самому костыли писать, либо руками обновлять.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

215. Сообщение от нах. (?), 04-Дек-25, 11:59	+/–
>> если это не интранет яжадмина - там И ТАК должен быть mdm. > Не умеете и не будет - не одно и то же. > Куча сетей и доменов как-то успешно до вас справлялись без поднятия AD вот досюда правильно. Зачем тебе какой-то ад на локалхосте. Успешно справлялись. В каком-нибудь 94м году. Откуда тебя с твоими навыками к нам зачем-то и телепортировало. > CS. Равно как и без дорогих навесных MDM, довольствуясь конфигурацией встроенного > функционала и допиливанием недостающего скриптами. о, этот неповторимый запах старого носка забившегося в вентиляторы подкроватной стойки. > Автоматизация ИТ-процессов посредством ручных действий пользователями по инструкции пользователь, не желающий ручных действий - не сможет пользоваться собственными устройствами. Вон корпоративный терминал, дождись своей очереди и садись. Заболел - оформляй как положено больничный и получай свою 1/3 зарплаты минус премия, никаких тебе работ из дома. И с телефона тоже не положено. допиливание недостающего скриптами на телефонах пары тыщ пользователей, это так мило. Зато никаких ручных действий, там на терминале проброс на vdi, в ней все сертификаты настроены и инструкции выполнены без твоего участия. И после логаута она уничтожается. Вместе с твоими настройками, даже теми немногими что тебе разрешены. Будь как все, не выделывайся. > - это пять :) > Вы, наверное и кронами-шедуллерами всякими богомерзкими не пользуетесь: отдельно это действительно пять. Запах тех самых носков. А теперь с небес (точнее из подвальчика) на землю - попробуй подключиться к корпоративному rdp серверу. Ой?! Ну да, ой. Потому что ms'овский rdp внезапно не (совсем не!) умеет подключаться к гейту с неизвестно кем подписанным сертификатом. И никакой кнопки "продолжить". Можешь на него посмотреть. (экспортировать - не можешь, почему-то оно не умеет в экспорт всей цепочки, а тебе-то нужен на самом деле корневой) И вот как, помог тебе твой крон? Нет, на выдаваемом менеджеру среднего звена ноуте конечно будут сертификаты, ноут-то в ad заведен, а если протухнут - просто сдаст его в службу поддержки и через день заберет новый. Но там ничего кроме работы и делать нельзя, менеджеры тоже такие ноуты не любят. P.S. правда этому клиенту бесполезно объяснять - у него ад без pki развернут. Какие там еще rdp гейты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #181 Ответы: #216

216. Сообщение от Kilrathi (ok), 04-Дек-25, 12:21	–1 +/–
> А теперь с небес (точнее из подвальчика) на землю - попробуй подключиться > к корпоративному rdp серверу. Ой?! Ну да, ой. Ни разу не ой, ибо на шлюзе автоматически обновляющейся LE с предустановленным доверием на современных ОС. И все это без AD CS. > И вот как, помог тебе твой крон? Естественно, один раз настроил на шлюзе и он обновляет сам себя автоматом. Разве что, в зависимости от используемого ПО получения/обновления сертификата, может потребоваться после применять скриптом к iis и tsg, но это, опять же, делается один раз при задаче автоматизации.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #215 Ответы: #220

217. Сообщение от dullish (ok), 04-Дек-25, 12:26	+1 +/–
>лицензионное соглашение с фирмой Microsoft Хм... Вы наверное, как-то случайно на этом сайте оказались. Ну ничего, бывает...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #211

218. Сообщение от нах. (?), 04-Дек-25, 12:29	+/–
> Тут все больше как-то по теориям заговоров. Простые мелкие корыстные цели манагеров > среднего звена для них пустяк. потому что манагерам среднего звена - кто-то платит не такие уж маленькие зарплаты. И у этого кого-то если есть корыстная цель, то она - большая. Но никакой большой корысти от летшиткрипта и единогласного голосования "комитетов", старательно уничтожающих саму возможность хотя бы относительного контроля за тем, какой и откуда сертификат используется твоим сервером - не просматривается даже в очень мощные микроскопы. Так что остается, увы, теория заговоров.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #195

220. Сообщение от нах. (?), 04-Дек-25, 13:11	+/–
> Ни разу не ой, ибо на шлюзе автоматически обновляющейся LE в общем все как у подвальных принято.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #216

221. Сообщение от Аноним (221), 04-Дек-25, 13:14	+1 +/–
Это даже на маразм уже не тянет. Просто издевательство над людьми. Я против такого.
Ответить | Правка | Наверх | Cообщить модератору

222. Сообщение от penetrator (?), 04-Дек-25, 14:10	+/–
>> то как бы должен уметь с ним справиться > Ну, может, у него своя сеть на 3 компа. На чём-то надо > учиться. > К чему этот лишний пафос... я абсолютно без пафоса, просто кейс описываю
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #194

223. Сообщение от OpenEcho (?), 04-Дек-25, 14:42	+/–
> Зачем торопиться? Жизнь к сожалению очень короткая штука, а  время = жизнь. Не вижу смысла терять жизнь, если это можно избежать прост поменяв провайдера или софт
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #208

224. Сообщение от OpenEcho (?), 04-Дек-25, 14:52	+/–
> Вот вольное определение из Вики. Вы конечно же можете верить вики от неизвестных авторов, но факт остаётся фактов, - если комп вылупился открытыми портами в публичный интернет, то он стал публично доступен. Домашний сервер, это приватный, доступный только определенным юзерам, ограниченный домашней сетью, в предeлах RFC1918 > ибо мои домашние устройства не всегда находятся дома. И даже мои домашние живут не в нём. Они могут быть и в какой-нибудь Австралии, где я грею пузо на пляже и не теряю связь со своей домашней сетью. А вот для этого существуют ВПН или меш-сети, tinc, tailscale, nebula, hamachi... когда доступ к **домашней** сети предоставляется через секюрный, НЕ ПУБЛИЧНЫЙ канал
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #210 Ответы: #225

225. Сообщение от Diozan (ok), 04-Дек-25, 15:25	+/–
> Домашний сервер, это приватный, доступный только определенным юзерам, ограниченный домашней сетью, в предeлах RFC1918 Перечитайте сей RFC ещё раз. Там нет такого понятия, как "домашний (home)" вообще. "Приватный/частный (private)" - есть и это не обязательно дом. Все внутренние сети предприятий и организаций сидят на адресах из этого RFC. Вы ещё домашний халат или тапочки ограничьте RFC, типа я в них за сигаретами в ближайший ларёк сбегать не смогу, потому что они публичными станут. Хорошо, назовём его не "домашний", а "мой любимый сервер"... И вернёмся к исходному вопросу - должен ли я отказаться от использования сертификатов Let's Encrypt в угоду отечественным, или вообще обойтись без оных? Или генерировать свои и потом бегать по своей многочисленной родне и впихивать им во все их гаджеты? А заодно и приятелям и коллегам по работе, которым я иногда говорю, что, типа, рецепт моего вкусненького тортика выложен на моей Web страничке... Главное, что без сертификата или с отечественным сертификатом от Минцыфры, браузер у них заругается, типа небезопасное подключение!... вы уверены?... и прочими нехорошими словами и красными замочками... А с Let's Encrypt не заругается, обновляются они в автоматическом режиме по Cron-у, без моего участия. Возможность обновления там включается, по-моему, за 10 дней до окончания срока его действия, после обновления хуки перезагружают все зависящие от него службы. Так что более удобной и дешёвой альтернативы пока нет. В том числе и отечественной.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #224 Ответы: #230

226. Сообщение от Аноним (226), 04-Дек-25, 15:46	+/–
потом выяснится, что на поддержку этой постоянной белки в колесе надо по 10 центов
Ответить | Правка | Наверх | Cообщить модератору

227. Сообщение от _kp (ok), 04-Дек-25, 15:55	+/–
Там, это аппаратная проблема, и никаким программным гарниром не прикрыть до устранения неисправности. :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155

228. Сообщение от _kp (ok), 04-Дек-25, 17:18	+/–
>>монополии сертификатов Все ради монополии и сделано. Ведь сайт признается браузером небезопасным, не по его сертификату,  который даже смотреть не станет, не по зафиксированным случаем небезопасной работы, или иным нарушениям, а по сути только по проверке оплаты в доильную контору. Какие то сайты в принципе не могут обновлять сертификаты, их сделали настроили, и если сайт не меняется, чему там протухать, он подтвержден уже сертификатом. С встраиваемой техникой стстема сертификатов вовсе принципиально невозможна. Нужно всю систему сертификации менять.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

229. Сообщение от Аноним (229), 05-Дек-25, 00:36	+/–
Мне интересно, это только для публичных сертификатов, или для внутренних тоже самое? (когда свой СА для домена компаний)
Ответить | Правка | Наверх | Cообщить модератору

230. Сообщение от OpenEcho (?), 05-Дек-25, 00:43	+/–
> Там нет такого понятия, как "домашний (home)" вообще. Домашний - подразумевается ограниченный домом, в пределах дома, организации... Если же вы открыли сервер всему интернету, то его могут поиметь все, от того он и становится публичным, несмотря что стоит дома "под кроватью" А давал совет изходя от понятие домашнего сервера, но как оказалось, у нас они, понятия разные, отсуда следует, что если вы будете продолжать сервать интернет, то определенно, свои сертификаты не катаят > Или генерировать свои и потом бегать по своей многочисленной родне и впихивать им во все их гаджеты? Вот! Видите, родня оказывается вне предела вашего дома, отсюда называть его домашним - не катит. И к вашему вопросу, - еще раз, если вы не хотите чтоб все кому не лень тыкались в сервак, закройте его позади меш сети. > Так что более удобной и дешёвой альтернативы пока нет. Цифровое рабовладельческое кольцо сжимается, чего вы хотели? Все сконцетрирoванно в руках нескольких больших корпораций, рулящих интернетом. Или у вас есть предложения поменять мир? Пока есть халявщики, толпой руководить еще будут столетия... ИМХО
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #225

231. Сообщение от Аноним (231), 05-Дек-25, 07:15	+/–
Ничего серьезного под таким сертификатом не создашь.
Ответить | Правка | Наверх | Cообщить модератору

232. Сообщение от Tron is Whistling (?), 05-Дек-25, 09:03	+/–
И получится так же как и с DNSSec - валидация много где начнёт отключаться по умолчанию.
Ответить | Правка | Наверх | Cообщить модератору

233. Сообщение от нах. (?), 05-Дек-25, 10:04	+/–
> "теперь у нас ДВЕ проблемы"(c) три проблемы, у нас еще вне защищенного контура образовалась пы0мэрзкая поделка с доступом из интернетов, причем ответственность за ее надежность и безопасность традиционно переложена на никого. А при внимательном рассмотрении еще и окажется что она не настолько "вне" как все думают, и при проломе допустим виртуализатора - получает вообще все доступы ко всему. Главное не ставить собственную pki, и гордиться своими криворуками.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #178

234. Сообщение от Касым Дуболомов (?), 05-Дек-25, 16:59	+/–
За два из которых будет а-тата от безопасников...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #149

235. Сообщение от Аноним (235), 06-Дек-25, 15:12	+/–
Подскажите, служба let's encrypt, отвечающая за генерацию ключевой пары, запроса csr, и дальнейшую установку сертификатов в системе, так всё и требует root прав? Или уже придумано что-то для запуска этой поделки в пространстве пользователя?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #237

236. Сообщение от Аноним (236), 06-Дек-25, 20:28	+/–
Я. т к хостинг не может их получать для субдомена сам
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

237. Сообщение от Аноним (237), 07-Дек-25, 05:37	+/–
Службы "let's encrypt" не существует и не существовало. Есть куча разных клиентов, среди которых Certbot, который let's encrypt рекомендует для большинства. Остальные тут: https://letsencrypt.org/docs/client-options/ Тот же lego может работать без рута официально.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #235

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема