https://www.opennet.me/openforum/vsluhforumID3/112519.html Некоммерческий удостоверяющий центр Let&#8217;s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, представил (https://letsencrypt.org//2017/10/17/acme-support-in-apache-httpd.html) выпуск mod_md 1.0 (https://github.com/icing/mod_md), модуля к http-серверу Apache для автоматизации (https://github.com/icing/mod_md/wiki) получения и обслуживания сертификатов с использованием протокола ACME (https://tools.ietf.org/html/draft-ietf-acme-acme-07) (Automatic Certificate Management Environment). <br><br><br>При помощи mod_md можно упростить процесс сопровождения сертификатов на серверах с большим числом сайтов или в системах массового хостинга. При наличии mod_md пользователям не нужно заботиться об обновлении сертификатов, модуль сам получит необходимые сертификаты в сервисе Let&#8217;s Encrypt при первом запуске, организует их загрузку в mod_ssl (указание директив SSLCertificate* не требуется) и периодически будет обновлять сертификаты при приближении к истечению срока действ https://www.opennet.me/openforum/vsluhforumID3/112519.html#74 Sat, 21 Oct 2017 23:39:29 GMT &gt; А для маргинального проектика с копеейчной прибылью, еле-еле покрывающей расходы, _еще_раз_ <br>&gt; $90 за воздух - уже совсем лишняя трата.<br><br>Маргинальному проектику зеленый свет в сторону let's encrypt.<br>А в крупных компаниях - да, трудновато будет уговорить перевести все на LE.<br> https://www.opennet.me/openforum/vsluhforumID3/112519.html#73 Sat, 21 Oct 2017 05:59:45 GMT &gt;Сертификат DV не является средством проверки DNS<br><br>и<br>&gt;&gt;куда направляет DNS сервер<br><br>это не одно и то же.<br><br>Хотспот в кафе может вместо 8.8.8.8 (подставьте любой адрес) направлять куда ему вздумается. И там www.вашлюбимыйбанк.com могут отресолвить в то, что им угодно.<br>Но для получения валидного сертификата этого не достаточно. Надо еще то же провернуть с доверенным центром сертификации.<br> https://www.opennet.me/openforum/vsluhforumID3/112519.html#72 Fri, 20 Oct 2017 04:33:25 GMT &gt;На весь хайлоад работает менее 1% всех ЫненеГров<br><br>Плох тот инженегр, который не хочет спать с генералом ;) <br><br>Вообще, я больше по backend. И ЗП у меня несколько выше, чем у пыхеров. В остальном да, разницы никакой, ггг.<br> https://www.opennet.me/openforum/vsluhforumID3/112519.html#71 Thu, 19 Oct 2017 17:06:38 GMT &gt; Есть несколько другой вариант - CAA записи.<br>&gt; https://www.opennet.ru/tips/3028_ssl_https_caa_cert_dns.shtml <br><br>Этот вариант мне известен и уже применяется мной.<br>Но, к сожалению, пока нет обязательного требования от всех УЦ, учитывать CAA-записи. :-(<br>LE её конечно же учитывает, а какой-нибудь Восайн или Комодо могут и проигнорировать, да скорее так и делают.<br> https://www.opennet.me/openforum/vsluhforumID3/112519.html#70 Thu, 19 Oct 2017 15:42:35 GMT &gt; Если проект коммерческий и вышел на некоторую прибыль, 90$ - не проблема.<br><br>обычно таким проектам по многим причинам приходится раскошеливаться на EV, а там 90 внезапно превращаются в около-900. И их уже выкидывать стопками ради очень сомнительного улучшизма могут разьве что "коммерческие проекты" размером с мордокнигу.<br><br>А для маргинального проектика с копеейчной прибылью, еле-еле покрывающей расходы, _еще_раз_ $90 за воздух - уже совсем лишняя трата.<br><br>А вот microsofтогуглегрызку - оно на халяву дается. Поэтому при попытке назойливо поинтересоваться, что это такое они о тебе сливают хозяевам - тебя ждет pkp'шный облом.<br> https://www.opennet.me/openforum/vsluhforumID3/112519.html#69 Thu, 19 Oct 2017 14:26:31 GMT &gt; pkp не имеет ни малейшего отношения к dns.<br><br>Да, неправильно написал.<br>Там заголовки в HTTP ответе.<br><br>&gt; Если же ты платишь за них по $90 штучка (или по $800 <br>&gt; за EV), то тут у тебя начинаются некоторые проблемы<br><br>Если проект коммерческий и вышел на некоторую прибыль, 90$ - не проблема.<br><br> https://www.opennet.me/openforum/vsluhforumID3/112519.html#68 Thu, 19 Oct 2017 14:21:06 GMT &gt; Стало ещё яснее.<br>&gt; А всё же если объединить обе схемы, то есть используя подписанный УЦ <br>&gt; серт, и ДНС запись со слепком, и что бы браузер обнаружив <br>&gt; её требовал и валидности серта и соответствие его слепку из ДНС, <br>&gt; причём этот слепок не должен кешироваться у клиента, а запрашиваться у <br>&gt; ДНС при каждом запросе, то такая схема была бы ещё надёжнее <br>&gt; и защищала от левых УЦ.<br>&gt; И конечно же эту ДНС-запись в обязательном порядке должны запрашивать и учитовать <br>&gt; все популярные браузеры.<br><br>Есть несколько другой вариант - CAA записи.<br><br>https://www.opennet.ru/tips/3028_ssl_https_caa_cert_dns.shtml<br> https://www.opennet.me/openforum/vsluhforumID3/112519.html#67 Thu, 19 Oct 2017 14:19:48 GMT &gt; В ДНС прописан отпечаток ключа, а не сам ключ.<br><br>Провайдеру ничего не мешает сгенерить серитифкат, а в DNS отдавать его слепок.<br>Если все ограничивается только ненадежным DNS, без дополнительных проверок чего-либо ещё, вам придется верить DNS на слово.<br>А что туда записать - технический момент.<br> https://www.opennet.me/openforum/vsluhforumID3/112519.html#66 Thu, 19 Oct 2017 10:58:49 GMT &gt; Зайди на любой он-лайн магазин, с нехилой вероятностью он окажется на WP+woocoоmmertZe<br><br>это если открывается. А если вместо магазина какая-то херь про "b_cache_tag" - можешь быть уверены, это "cофт юзают для того, для чего он делается".<br>