Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, объявил о решении поэтапно сократить срок действия выдаваемых TLS-сертификатов с 90 до 45 дней. 10 февраля 2027 года срок действия сертификатов будет сокращён до 64 дней, а 16 февраля 2028 года - до 45 дней. Опциональная возможность получения сертификатов, действующих 45 дней, появится 13 мая 2026 года...Подробнее: https://www.opennet.me/opennews/art.shtml?num=64363
Давайте уже тогда сразу сделаем чтобы на каждый новый запрос был свой сертификат. И так к этому всё и идёт.
Главное чтобы твой сервер постоянно ходил и в ножки кланялся уважаемым людям. А они уже знают как тебя "посчитать".
Ну, получи вайлдкард сертификат. И что там тогда считать будут? Через ДНС и то больше инфы.
Уже были проекты по внедрению постоянно заменяемых сертификатов, действующих считанные часы https://opennet.ru/51797-tls
Так это не let's encrypt. Это все.
Интересно, как быстро они взвоют, что их инфраструктура не справляется с возросшей нагрузкой?
Биллинг сгладит боль от повышенных запросов
Да какая разница, хоть до недели.
Кто-то их руками тягает что ли?
А я может пропустил что-то, но были ли какие-нибудь реальные ситуации, когда сертификат был украден и кто-то у кого-то трафик перехватывал? Я смог вспомить только ситуацию с jabber.ru, но им никакое сокращение сроков не помогло бы, так как там была операция со стороны каких-то органов и хостер был в сговоре. Им бы там даже однодневные сертификаты не помогли в таком случае.
> Им бы там даже однодневные сертификаты не помогли в таком случае.Скорее всего помогли бы. Выше шанс заметить, что у тебя сервак в оффлайн вываливается на несколько секунд каждый день.
А что за ситуация с jabber.ru?
https://opennet.ru/59965-mitm
Давно пора выдавать сертификаты через госуслуги обновление раз в неделю. Кто не отметился в МФЦ на нары.
Ну почти:
- https://habr.com/ru/articles/968218/
- https://opennet.ru/56830-tls
Как вы обновляете сертификаты для нескольких субдоменов? Сам LE такие сертификаты обновлять автоматически отказывается, требуя выполнения "DNS challenge" — всовывания заданой строки в TXT record. Дёргать bind9 из под портянки запущеной от рута не хочется, но выбора скоро не будет...
> Как вы обновляете сертификаты для нескольких субдоменов?Да так и обновлял. Пока их не накопилось большое количество. Тогда при переезде и первом запуске, Caddy побежал радостно получать все их по новой, тогда и попал под ограничение.
Так что если их много, просто надо по времени разнести первое получение.Если скрипт тупенький и рвется их обновить в одно и то же время, то будет тот же результат.
У меня проблема другого плана, используется один сертификат для кучи субдоменов(git.tld.com, chat.tld.com...). Их нельзя просто так обновить без добавления TXT record в zone-file, сам certbot отказывается.
После каждого такого челленджа ту TXT запись удалял, а теперь подумал, а не стал бы бот обновлять сертификаты будь она там? Хотя предположуч что строка генерируется для каждого реквеста, а не для каждого сертификата.
> используется один сертификат для кучи субдоменов(git.tld.com, chat.tld.com...)То есть у тебя сейчас вайлдкард сертификат, который выдается на *.tld.com?
Могу только рассказать, как у меня сделано.
Сам решай, подходит тебе это или нет.Стоит Caddy, который на 90% работает в качестве реверс прокси и получает один сертификат *.tld.com на всё.
Для Caddy есть плагины для разных провайдеров DNS, которые автоматизируют процесс прописывания TXT записи.
Для моего регистратора не было подходящего, переводить управление всем доменом к другому не хотелось. Но, на сколько я помню, в dns-challenge TXT запись не обязательно должна прописываться для _acme-challenge.tld.com. Можно на _acme-challenge.tld.com повесить CNAME, например, на _acme.something.tld.com. В NS записи для something.tld.com прописать NS сервера DNS провайдера для которого есть плагины для Caddy. И в настройках Caddy есть параметр "dns_challenge_override_domain" в который можно прописать _acme.something.tld.com.
В итоге сторонний сервис у меня рулит только ненужным поддоменом something.tld.com, Caddy через API этого сервиса подпихивает нужную TXT запись и получает вайлдкард сертификал *.tld.com. А дальше с этим сертификатом проксирует условные git.tld.com, chat.tld.com.
сделай API key у твоего регистрара и создавай DNS записи, жди потом запускай certbotя написал в конце концов этот баш скрипт с помощью ботов
а есть регистрары у которых плагины есть для certbot
А разве CA/Browser Forum не убьёт этим всю отрасль удостоверяющих центров? В коммерческих CA весь смысл был, что можно было сертификат на три года взять.
Туда им и дорога
> что можно было сертификат на три года взятьЧтобы их распечатать и на стену повесить?
3 года давно нельзя, давно уже 13 мес ограничение.
> В связи с сокращением срока действия сертификатов Let's Encrypt рекомендовал пользователями не обновлять сертификаты в ручном режиме, а перейти на автоматические системы управления сертификатами.Ай-яй-яй?
Self signed наше всё!
Сарказм, если что.
В каждой шутке есть доля шутки
ну ты понскорее всего будем опять скоро друг дружке серты подписывать
> новые требования ассоциации CA/Browser Forum, которым должны следовать производители браузеров и удостоверяющие центры.Как так получилось, что есть целая ассоциация, указывающая как жить производителям браузеров и УЦ? А если их нах послать и не выполнять их требования?