forum.opennet.ru - "Let's Encrypt уменьшит срок действия сертификатов до 45 дней" (27)

"Let's Encrypt уменьшит срок действия сертификатов до 45 дней"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Let's Encrypt уменьшит срок действия сертификатов до 45 дней"	+/–
Сообщение от opennews (??), 02-Дек-25, 22:12
Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, объявил о решении поэтапно сократить срок действия выдаваемых TLS-сертификатов с 90 до 45 дней. 10 февраля 2027 года срок действия сертификатов будет сокращён до 64 дней, а 16 февраля 2028 года - до 45 дней. Опциональная возможность получения сертификатов, действующих 45 дней, появится 13 мая 2026 года... Подробнее: https://www.opennet.me/opennews/art.shtml?num=64363
Ответить \| Правка \| Cообщить модератору

Оглавление

Давайте уже тогда сразу сделаем чтобы на каждый новый запрос был свой сертификат, Аноним (1), 22:12 , 02-Дек-25, (1) +4

Главное чтобы твой сервер постоянно ходил и в ножки кланялся уважаемым людям А , Аноним (8), 22:18 , 02-Дек-25, (8)

Ну, получи вайлдкард сертификат И что там тогда считать будут Через ДНС и то б, Аноним (13), 22:24 , 02-Дек-25, (13) +1

Уже были проекты по внедрению постоянно заменяемых сертификатов, действующих счи, Аноним (10), 22:19 , 02-Дек-25, (10)

Так это не let s encrypt Это все , Аноним (2), 22:13 , 02-Дек-25, (2) +3
Интересно, как быстро они взвоют, что их инфраструктура не справляется с возросш, xtotec (ok), 22:14 , 02-Дек-25, (3) +3

Биллинг сгладит боль от повышенных запросов, кек (?), 23:29 , 02-Дек-25, (26)

Да какая разница, хоть до недели Кто-то их руками тягает что ли , Аноним (13), 22:15 , 02-Дек-25, (4) –2
А я может пропустил что-то, но были ли какие-нибудь реальные ситуации, когда сер, skyblade (ok), 22:16 , 02-Дек-25, (5)

Скорее всего помогли бы Выше шанс заметить, что у тебя сервак в оффлайн вывалив, Аноним (13), 22:19 , 02-Дек-25, (9)
А что за ситуация с jabber ru , Anonim (??), 22:40 , 02-Дек-25, (18)

https opennet ru 59965-mitm, Аноним (21), 22:53 , 02-Дек-25, (21)

Давно пора выдавать сертификаты через госуслуги обновление раз в неделю Кто не, Аноним (8), 22:17 , 02-Дек-25, (6)

Ну почти - https habr com ru articles 968218 - https opennet ru 56830-tls, Аноним (21), 22:40 , 02-Дек-25, (17)

Как вы обновляете сертификаты для нескольких субдоменов Сам LE такие сертификат, Аноним (11), 22:21 , 02-Дек-25, (11)

Да так и обновлял Пока их не накопилось большое количество Тогда при переезде , Аноним (13), 22:29 , 02-Дек-25, (14)

У меня проблема другого плана, используется один сертификат для кучи субдоменов , Аноним (11), 22:40 , 02-Дек-25, (19) –1

То есть у тебя сейчас вайлдкард сертификат, который выдается на tld com Могу т, Аноним (13), 23:02 , 02-Дек-25, (23)

сделай API key у твоего регистрара и создавай DNS записи, жди потом запускай cer, penetrator (?), 23:07 , 02-Дек-25, (24)

А разве CA Browser Forum не убьёт этим всю отрасль удостоверяющих центров В ко, Аноним (10), 22:21 , 02-Дек-25, (12)

Туда им и дорога, Аноним (15), 22:37 , 02-Дек-25, (15)
Чтобы их распечатать и на стену повесить , Аноним (13), 22:38 , 02-Дек-25, (16)
3 года давно нельзя, давно уже 13 мес ограничение , Аноним (22), 23:00 , 02-Дек-25, (22)

Ай-яй-яй , Аноним (20), 22:44 , 02-Дек-25, (20)
Self signed наше всё Сарказм, если что , Аноним (25), 23:09 , 02-Дек-25, (25)

В каждой шутке есть доля шуткину ты понскорее всего будем опять скоро друг дружк, кек (?), 23:32 , 02-Дек-25, (27)

Как так получилось, что есть целая ассоциация, указывающая как жить производител, Аноним (28), 23:36 , 02-Дек-25, (28)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 02-Дек-25, 22:12 +4 +/–

Давайте уже тогда сразу сделаем чтобы на каждый новый запрос был свой сертификат. И так к этому всё и идёт.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #10

2. Сообщение от Аноним (2), 02-Дек-25, 22:13 +3 +/–

Так это не let's encrypt. Это все.

Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от xtotec (ok), 02-Дек-25, 22:14 +3 +/–

Интересно, как быстро они взвоют, что их инфраструктура не справляется с возросшей нагрузкой?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26

4. Сообщение от Аноним (13), 02-Дек-25, 22:15 –2 +/–

Да какая разница, хоть до недели.
Кто-то их руками тягает что ли?

Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от skyblade (ok), 02-Дек-25, 22:16 +/–

А я может пропустил что-то, но были ли какие-нибудь реальные ситуации, когда сертификат был украден и кто-то у кого-то трафик перехватывал? Я смог вспомить только ситуацию с jabber.ru, но им никакое сокращение сроков не помогло бы, так как там была операция со стороны каких-то органов и хостер был в сговоре. Им бы там даже однодневные сертификаты не помогли в таком случае.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #18

6. Сообщение от Аноним (8), 02-Дек-25, 22:17 +/–

Давно пора выдавать сертификаты  через госуслуги обновление раз в неделю. Кто не отметился в МФЦ на нары.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

8. Сообщение от Аноним (8), 02-Дек-25, 22:18 +/–

Главное чтобы твой сервер постоянно ходил и в ножки кланялся уважаемым людям. А они уже знают как тебя "посчитать".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #13

9. Сообщение от Аноним (13), 02-Дек-25, 22:19 +/–

> Им бы там даже однодневные сертификаты не помогли в таком случае.
Скорее всего помогли бы. Выше шанс заметить, что у тебя сервак в оффлайн вываливается на несколько секунд каждый день.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

10. Сообщение от Аноним (10), 02-Дек-25, 22:19 +/–

Уже были проекты по внедрению постоянно заменяемых сертификатов, действующих считанные часы https://opennet.ru/51797-tls

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

11. Сообщение от Аноним (11), 02-Дек-25, 22:21 +/–

Как вы обновляете сертификаты для нескольких субдоменов? Сам LE такие сертификаты обновлять автоматически отказывается, требуя выполнения "DNS challenge" — всовывания заданой строки в TXT record. Дёргать bind9 из под портянки запущеной от рута не хочется, но выбора скоро не будет...

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #24

12. Сообщение от Аноним (10), 02-Дек-25, 22:21 +/–

А разве CA/Browser Forum  не убьёт этим всю отрасль удостоверяющих центров? В коммерческих CA весь смысл был, что можно было сертификат на три года взять.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #16, #22

13. Сообщение от Аноним (13), 02-Дек-25, 22:24 +1 +/–

Ну, получи вайлдкард сертификат. И что там тогда считать будут? Через ДНС и то больше инфы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

14. Сообщение от Аноним (13), 02-Дек-25, 22:29 +/–

> Как вы обновляете сертификаты для нескольких субдоменов?
Да так и обновлял. Пока их не накопилось большое количество. Тогда при переезде и первом запуске, Caddy побежал радостно получать все их по новой, тогда и попал под ограничение.
Так что если их много, просто надо по времени разнести первое получение.
Если скрипт тупенький и рвется их обновить в одно и то же время, то будет тот же результат.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #19

15. Сообщение от Аноним (15), 02-Дек-25, 22:37 +/–

Туда им и дорога

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

16. Сообщение от Аноним (13), 02-Дек-25, 22:38 +/–

> что можно было сертификат на три года взять
Чтобы их распечатать и на стену повесить?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

17. Сообщение от Аноним (21), 02-Дек-25, 22:40 +/–

Ну почти:
- https://habr.com/ru/articles/968218/
- https://opennet.ru/56830-tls

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

18. Сообщение от Anonim (??), 02-Дек-25, 22:40 +/–

А что за ситуация с jabber.ru?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #21

19. Сообщение от Аноним (11), 02-Дек-25, 22:40 –1 +/–

У меня проблема другого плана, используется один сертификат для кучи субдоменов(git.tld.com, chat.tld.com...). Их нельзя просто так обновить без добавления TXT record в zone-file, сам certbot отказывается.
После каждого такого челленджа ту TXT запись удалял, а теперь подумал, а не стал бы бот обновлять сертификаты будь она там? Хотя предположуч что строка генерируется для каждого реквеста, а не для каждого сертификата.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #23

20. Сообщение от Аноним (20), 02-Дек-25, 22:44 +/–

> В связи с сокращением срока действия сертификатов Let's Encrypt рекомендовал пользователями не обновлять сертификаты в ручном режиме, а перейти на автоматические системы управления сертификатами.
Ай-яй-яй?

Ответить | Правка | Наверх | Cообщить модератору

21. Сообщение от Аноним (21), 02-Дек-25, 22:53 +/–

https://opennet.ru/59965-mitm

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

22. Сообщение от Аноним (22), 02-Дек-25, 23:00 +/–

3 года давно нельзя, давно уже 13 мес ограничение.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

23. Сообщение от Аноним (13), 02-Дек-25, 23:02 +/–

> используется один сертификат для кучи субдоменов(git.tld.com, chat.tld.com...)
То есть у тебя сейчас вайлдкард сертификат, который выдается на *.tld.com?
Могу только рассказать, как у меня сделано.
Сам решай, подходит тебе это или нет.
Стоит Caddy, который на 90% работает в качестве реверс прокси и получает один сертификат *.tld.com на всё.
Для Caddy есть плагины для разных провайдеров DNS, которые автоматизируют процесс прописывания TXT записи.
Для моего регистратора не было подходящего, переводить управление всем доменом к другому не хотелось. Но, на сколько я помню, в dns-challenge TXT запись не обязательно должна прописываться для _acme-challenge.tld.com. Можно на _acme-challenge.tld.com повесить CNAME, например, на _acme.something.tld.com. В NS записи для something.tld.com прописать NS сервера DNS провайдера для которого есть плагины для Caddy. И в настройках Caddy есть параметр "dns_challenge_override_domain" в который можно прописать _acme.something.tld.com.
В итоге сторонний сервис у меня рулит только ненужным поддоменом something.tld.com, Caddy через API этого сервиса подпихивает нужную TXT запись и получает вайлдкард сертификал *.tld.com. А дальше с этим сертификатом проксирует условные git.tld.com, chat.tld.com.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

24. Сообщение от penetrator (?), 02-Дек-25, 23:07 +/–

сделай API key у твоего регистрара и создавай DNS записи, жди потом запускай certbot
я написал в конце концов этот баш скрипт с помощью ботов
а есть регистрары у которых плагины есть для certbot

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

25. Сообщение от Аноним (25), 02-Дек-25, 23:09 +/–

Self signed наше всё!
Сарказм, если что.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27

26. Сообщение от кек (?), 02-Дек-25, 23:29 +/–

Биллинг сгладит боль от повышенных запросов

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

27. Сообщение от кек (?), 02-Дек-25, 23:32 +/–

В каждой шутке есть доля шутки
ну ты пон
скорее всего будем опять скоро друг дружке серты подписывать

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

28. Сообщение от Аноним (28), 02-Дек-25, 23:36 +/–

> новые требования ассоциации CA/Browser Forum, которым должны следовать производители браузеров и удостоверяющие центры.
Как так получилось, что есть целая ассоциация, указывающая как жить производителям браузеров и УЦ?  А если их нах послать и не выполнять их требования?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (1), 02-Дек-25, 22:12	+4 +/–
Давайте уже тогда сразу сделаем чтобы на каждый новый запрос был свой сертификат. И так к этому всё и идёт.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #8, #10

2. Сообщение от Аноним (2), 02-Дек-25, 22:13	+3 +/–
Так это не let's encrypt. Это все.
Ответить \| Правка \| Наверх \| Cообщить модератору

3. Сообщение от xtotec (ok), 02-Дек-25, 22:14	+3 +/–
Интересно, как быстро они взвоют, что их инфраструктура не справляется с возросшей нагрузкой?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #26

4. Сообщение от Аноним (13), 02-Дек-25, 22:15	–2 +/–
Да какая разница, хоть до недели. Кто-то их руками тягает что ли?
Ответить \| Правка \| Наверх \| Cообщить модератору

5. Сообщение от skyblade (ok), 02-Дек-25, 22:16	+/–
А я может пропустил что-то, но были ли какие-нибудь реальные ситуации, когда сертификат был украден и кто-то у кого-то трафик перехватывал? Я смог вспомить только ситуацию с jabber.ru, но им никакое сокращение сроков не помогло бы, так как там была операция со стороны каких-то органов и хостер был в сговоре. Им бы там даже однодневные сертификаты не помогли в таком случае.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #9, #18

6. Сообщение от Аноним (8), 02-Дек-25, 22:17	+/–
Давно пора выдавать сертификаты через госуслуги обновление раз в неделю. Кто не отметился в МФЦ на нары.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #17

8. Сообщение от Аноним (8), 02-Дек-25, 22:18	+/–
Главное чтобы твой сервер постоянно ходил и в ножки кланялся уважаемым людям. А они уже знают как тебя "посчитать".
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #13

9. Сообщение от Аноним (13), 02-Дек-25, 22:19	+/–
> Им бы там даже однодневные сертификаты не помогли в таком случае. Скорее всего помогли бы. Выше шанс заметить, что у тебя сервак в оффлайн вываливается на несколько секунд каждый день.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

10. Сообщение от Аноним (10), 02-Дек-25, 22:19	+/–
Уже были проекты по внедрению постоянно заменяемых сертификатов, действующих считанные часы https://opennet.ru/51797-tls
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

11. Сообщение от Аноним (11), 02-Дек-25, 22:21	+/–
Как вы обновляете сертификаты для нескольких субдоменов? Сам LE такие сертификаты обновлять автоматически отказывается, требуя выполнения "DNS challenge" — всовывания заданой строки в TXT record. Дёргать bind9 из под портянки запущеной от рута не хочется, но выбора скоро не будет...
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #14, #24

12. Сообщение от Аноним (10), 02-Дек-25, 22:21	+/–
А разве CA/Browser Forum не убьёт этим всю отрасль удостоверяющих центров? В коммерческих CA весь смысл был, что можно было сертификат на три года взять.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #15, #16, #22

13. Сообщение от Аноним (13), 02-Дек-25, 22:24	+1 +/–
Ну, получи вайлдкард сертификат. И что там тогда считать будут? Через ДНС и то больше инфы.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8

14. Сообщение от Аноним (13), 02-Дек-25, 22:29	+/–
> Как вы обновляете сертификаты для нескольких субдоменов? Да так и обновлял. Пока их не накопилось большое количество. Тогда при переезде и первом запуске, Caddy побежал радостно получать все их по новой, тогда и попал под ограничение. Так что если их много, просто надо по времени разнести первое получение. Если скрипт тупенький и рвется их обновить в одно и то же время, то будет тот же результат.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #19

15. Сообщение от Аноним (15), 02-Дек-25, 22:37	+/–
Туда им и дорога
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12

16. Сообщение от Аноним (13), 02-Дек-25, 22:38	+/–
> что можно было сертификат на три года взять Чтобы их распечатать и на стену повесить?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12

17. Сообщение от Аноним (21), 02-Дек-25, 22:40	+/–
Ну почти: - https://habr.com/ru/articles/968218/ - https://opennet.ru/56830-tls
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6

18. Сообщение от Anonim (??), 02-Дек-25, 22:40	+/–
А что за ситуация с jabber.ru?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #21

19. Сообщение от Аноним (11), 02-Дек-25, 22:40	–1 +/–
У меня проблема другого плана, используется один сертификат для кучи субдоменов(git.tld.com, chat.tld.com...). Их нельзя просто так обновить без добавления TXT record в zone-file, сам certbot отказывается. После каждого такого челленджа ту TXT запись удалял, а теперь подумал, а не стал бы бот обновлять сертификаты будь она там? Хотя предположуч что строка генерируется для каждого реквеста, а не для каждого сертификата.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14 Ответы: #23

20. Сообщение от Аноним (20), 02-Дек-25, 22:44	+/–
> В связи с сокращением срока действия сертификатов Let's Encrypt рекомендовал пользователями не обновлять сертификаты в ручном режиме, а перейти на автоматические системы управления сертификатами. Ай-яй-яй?
Ответить \| Правка \| Наверх \| Cообщить модератору

21. Сообщение от Аноним (21), 02-Дек-25, 22:53	+/–
https://opennet.ru/59965-mitm
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18

22. Сообщение от Аноним (22), 02-Дек-25, 23:00	+/–
3 года давно нельзя, давно уже 13 мес ограничение.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12

23. Сообщение от Аноним (13), 02-Дек-25, 23:02	+/–
> используется один сертификат для кучи субдоменов(git.tld.com, chat.tld.com...) То есть у тебя сейчас вайлдкард сертификат, который выдается на .tld.com? Могу только рассказать, как у меня сделано. Сам решай, подходит тебе это или нет. Стоит Caddy, который на 90% работает в качестве реверс прокси и получает один сертификат .tld.com на всё. Для Caddy есть плагины для разных провайдеров DNS, которые автоматизируют процесс прописывания TXT записи. Для моего регистратора не было подходящего, переводить управление всем доменом к другому не хотелось. Но, на сколько я помню, в dns-challenge TXT запись не обязательно должна прописываться для _acme-challenge.tld.com. Можно на _acme-challenge.tld.com повесить CNAME, например, на _acme.something.tld.com. В NS записи для something.tld.com прописать NS сервера DNS провайдера для которого есть плагины для Caddy. И в настройках Caddy есть параметр "dns_challenge_override_domain" в который можно прописать _acme.something.tld.com. В итоге сторонний сервис у меня рулит только ненужным поддоменом something.tld.com, Caddy через API этого сервиса подпихивает нужную TXT запись и получает вайлдкард сертификал *.tld.com. А дальше с этим сертификатом проксирует условные git.tld.com, chat.tld.com.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19

24. Сообщение от penetrator (?), 02-Дек-25, 23:07	+/–
сделай API key у твоего регистрара и создавай DNS записи, жди потом запускай certbot я написал в конце концов этот баш скрипт с помощью ботов а есть регистрары у которых плагины есть для certbot
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11

25. Сообщение от Аноним (25), 02-Дек-25, 23:09	+/–
Self signed наше всё! Сарказм, если что.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #27

26. Сообщение от кек (?), 02-Дек-25, 23:29	+/–
Биллинг сгладит боль от повышенных запросов
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

27. Сообщение от кек (?), 02-Дек-25, 23:32	+/–
В каждой шутке есть доля шутки ну ты пон скорее всего будем опять скоро друг дружке серты подписывать
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25

28. Сообщение от Аноним (28), 02-Дек-25, 23:36	+/–
> новые требования ассоциации CA/Browser Forum, которым должны следовать производители браузеров и удостоверяющие центры. Как так получилось, что есть целая ассоциация, указывающая как жить производителям браузеров и УЦ? А если их нах послать и не выполнять их требования?
Ответить \| Правка \| Наверх \| Cообщить модератору