LINUX.ORG.RU

Но зачем? Ленивые недоадмины теперь же начнут выпускать один сертификат и копировать его на 100500 хостов.

realloc ★★★★
()
Ответ на: комментарий от realloc

О да, лучше выпускать 100500 сертификатов, чтобы только какой-то ноунейм с ЛОР, не приведи Ктулху, не посчитал тебя ленивым недоадмином

WereFox ★☆
()
Ответ на: комментарий от l0stparadise

Суточный лимит, только на выпуск новых сертификатов. На продление - лимитов не было.

DALDON ★★★★★
()
Ответ на: комментарий от l0stparadise

Время жизни сертификата не 1 час.

Deleted
()

Ещё бы разрешили сертификаты для доменов третьего уровня и выше, чтобы например можно было для доменов no-ip.com получать.

VolleyFire
()
Ответ на: комментарий от VolleyFire

Так и не запрещали. Всякие там no-ip.com скорее всего запрещены так-как у них владелец может часто меняться по прихоти левой пятки самого no-ip.com

MrClon ★★★★★
()
Ответ на: комментарий от MrClon

Так и не запрещали. Всякие там no-ip.com скорее всего запрещены так-как у них владелец может часто меняться по прихоти левой пятки самого no-ip.com

Там ограничение на количество доменов. Я когда пытался получить мне выдало ошибку что -то типа нельзя субдоменов более 100 000 (точное число не помню, но вроде столько). А вообще да, дают, я получал для третьего уровня для одного не столь популярного домена.

VolleyFire
()
Ответ на: комментарий от realloc

Приватный ключ не должен покидать сервер.

Обычно речь об ingress-прокси который на себе терминирует клиентский SSL и дальше отдаёт запросы на релевантный бэкенд. Потом, как минимум для тестинга это оправдано.

А вообще, на тему безопасности можно мастурбировать бесконечно. Но это не означает что те кто не хотят этого делать ленивы или ничего в этом не понимают (да, я тоже навесил ярлыки).

true_admin ★★★★★
()
Ответ на: комментарий от VolleyFire

Почитай про PublicSuffix, они его используют. У нормальных людей в нормальных зонах проблем нет, у нас в ru есть. Печалька.

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от Harald

Нет, и не накроется. «Именные» сертификаты за сотни нефти так и будут продавать, а этот дает только то, что домен скорее всего не подставной. Аналог без заморочек на год стоит около 10 баксов.

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от mandala

Аналог без заморочек на год стоит около 10 баксов.

Ну, за EV certificate надо отвалить поболее. А если много поддоменов...

true_admin ★★★★★
()
Ответ на: комментарий от mandala

Вот-же, я думал все распространённые варианты давно в списке. Хотя что-то я не припомню с ходу где кроме ЛОРа и баша используется org.ru

MrClon ★★★★★
()
Ответ на: комментарий от true_admin

EV не аналог let's encrypt-а. Если лужен как LE, но не LE, то наверное вполне можно найти вариант за 10 баксов (спасибо. в том числе, «демпингу» LE)

MrClon ★★★★★
()
Ответ на: комментарий от mandala

Почитай про PublicSuffix, они его используют. У нормальных людей в нормальных зонах проблем нет, у нас в ru есть. Печалька.

Я для *.myftp.org хотел, но смотрю в public suffix он присутствует. Надо будет еще раз попробовать, может позже добавили, это в прошлом году было.

VolleyFire
()
Ответ на: комментарий от true_admin

Ну еще маленько у барыг торгующих воздухом откусят. Но не нравятся они мне, хз чем это кончится: может миром во всем мире, а может всё весело и громко схлопнется.

mandala ★★★★★
()
Ответ на: комментарий от MrClon

Проблема с зоной .ru, в других доменных зонах публичные суффиксы как-то добавляют, не знаю во всех или еще проблемные есть. Я честно говоря не сильно разбирался, но понял что мозилла (PublicSuffix их инициатива) не может договориться о чем-то бюрократическом с нашим управляющим зоны.

mandala ★★★★★
()
Ответ на: комментарий от sergej

На host.domain.com.ru я получал от let's encrypt сертификат, всё нормально.

Там ограничение по времени на количество, а не запрет, сидеть и подлавливать момент и прочий цирк устраивать мне не уперлось, я пошел и взял на год у барыг.

mandala ★★★★★
()

Ну все. Осталось только прикрутить EV, тогда можно уткнуть все СА за пояс, и наступит коммунизм.

Unicode4all ★★★★★
()

их система получения сертификатов меня разочаровала. вот когда сможет работать из-за nat'a и не надо будет каждые 3 месяца качать...

crypt ★★★★★
()
Ответ на: комментарий от l0stparadise

а если что-нибудь где-нибудь сломается (связь пропадет до let's encrypt server'a) и скрипт не скачает серт? я и так плохо сплю! нет уж, заплатить 300 баксов и 3 года спать спокойно.

crypt ★★★★★
()
Ответ на: комментарий от crypt

заплатить 300 баксов и 3 года спать спокойно

Лучше положить 300 баксов под подушку и спать спокойно чем выбросить их на воздух и 3 года подряд переживать что какой-нибудь хромог или жирнолис в очередной раз не отзовёт твой сертификат.

h578b1bde ★☆
()
Ответ на: комментарий от crypt

а если что-нибудь где-нибудь сломается (связь пропадет до let's encrypt server'a) и скрипт не скачает серт? я и так плохо сплю!

Плохой сон администраторов — следствие убогой инфраструктуры https в её нынешнем виде.

h578b1bde ★☆
()
Ответ на: комментарий от crypt

я и так плохо сплю!

Обратитесь к доктору, вам выпишут снотворное.

l0stparadise ★★★★★
() автор топика
Ответ на: комментарий от h578b1bde

Ты не прав: вот где-то ошибка на несколько часов (не дай бог дней) распугает всех людей и выльется это не в 300 баксов минуса, а на порядок больше (если не на несколько).

mandala ★★★★★
()
Ответ на: комментарий от crypt

из-за nat'а

Уже умеет, см. DNS-01 challenge и клиенты, его поддерживающие.

а если что-нибудь где-нибудь сломается (связь пропадет до let's encrypt server'a) и скрипт не скачает серт? я и так плохо сплю!

Настрой мониторинг и спи спокойно. Он же не в последний день обновляется (в сертботе, например, каждый месяц, т. е. в случае чего у тебя еще два месяца на реакцию).

deadNightTiger ★★★★★
()
Ответ на: комментарий от h578b1bde

какой-нибудь хромог или жирнолис в очередной раз не отзовёт твой сертификат.

так брать надо в нормальном месте.

crypt ★★★★★
()
Ответ на: комментарий от deadNightTiger

Спасибо, дорогой, есть у меня мониторинг. Я считаю, что дергать критический узел по крону раз в месяц, - искать себе лишних приключений.

crypt ★★★★★
()
Последнее исправление: crypt (всего исправлений: 1)
Ответ на: комментарий от deadNightTiger

Уже умеет, см. DNS-01 challenge

Лишний гемор по автоматизации того, чтобы это все работало на нескольких серверах.:(

crypt ★★★★★
()
Ответ на: комментарий от crypt

Я завел 1 сервер с сертботом под все серты (штук 5). С него полученное просто копируется скриптом.

stave ★★★★★
()
Ответ на: комментарий от mandala

Ты не прав: вот где-то ошибка на несколько часов (не дай бог дней) распугает всех людей и выльется это не в 300 баксов минуса, а на порядок больше (если не на несколько).

При этом 300 баксов тебе ничего не гарантируют.

h578b1bde ★☆
()
Ответ на: комментарий от stave

Ясно. Смотри.

я > LE не работ из-за ната

лор > работает, через DNS валидацию

я> лишняя и неочевидная автоматизация в случае чуть более сложного сетапа

ты> а я просто все мордой в инет ткнул и раз в три месяца руками копирую 5 сертов

...

У тебя не конфликтует запуск certbot'a и обслуживание сайта на общем DNS имени? А если бы у тебя разные DNS были привязаны к разным ip? Я-то говорю о том, что у тебя веб-сервера за nat'ом могут быть раскиданы как угодно. И не только web сервера.

crypt ★★★★★
()
Последнее исправление: crypt (всего исправлений: 4)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.