Посоветуйте где купить HTTPS сертификат?

А что не так с Letsencrypt?

у некорректных пользователей системы старые

А что не так с Letsencrypt?

30 числа у них отвалился корневой сертификат, у многих колбасит все. Меня почему-то не задело.

Я брал в Namecheap.com версию Comodo EssentialSSL. Пару лет теперь к нему обновы покупаю, проблем не было.

Брал у nic.ru https://www.nic.ru/product/ssl/geotrust-rapidssl-wildcard/ Раньше предоставляли на 2 года с такм же сроком продления, с недавнего времени стал на год.

Меня почему-то не задело.

Ты сидишь на Windows XP, что ли? Почему это тебя должно было задеть?

Ты сидишь на Windows XP, что ли? Почему это тебя должно было задеть?

У нас в корпоративном чате многие жаловались, что колбасит.

При том, что там у всех линуксы или маки.

При том, что там у всех линуксы или маки.

Там из-за OpenSSL 1.0, который по умолчанию не умеет в альтернативные пути верификации сертификатов. У коллеги на маке тоже на работало из-за древнего LibreSSL.

Понял… Мне чуть проще, через samba домен раскинул всем новый сертификат.

Неоднократно писали, что wildcard сертификаты скоро перестанут поддерживаться всем нормальным программным обеспечением, т.к. небезопасно. - Этого не случилось?

Вот недавно продлил еще на год. 5 год пошел, брат пока жив.

Да просто срок жизни урезали до одного года. Хитрые продаваны впаривают варианты даже на 5 лет, но по сути это будут 5 разных сертификатов. Которые надо вовремя заменить еще, не проглядев сроки окончания жизни каждого «одногодка».

Покупали у gogetssl.

А, да, писали, что OpenSSL 1.0.2 отвалится. Я постоянно забываю, что бывают люди, которые сидят на очень старых дистрибутивах.

А у других поставщиков корневые сертификаты вечные?

Мало сидеть на старом дистрибутиве, надо ещё и не обновляться.

ZeroSSL воспользуйтесь.

Windows 7, если долго не обновлялись тоже задеты

Проблемы хостера пусть сами решают

Сфигабы?

Sectigo

wildcard сертификаты скоро перестанут поддерживаться

Шо ты несёшь, закусывать надо.

Я уже хостеру пусть сами эти проблему обещан бесплатный сертификат годный так пускай крутятся

Ааааа... Ясно.

Я уже хостеру пусть сами эти проблему

Я не понял, что ты имел ввиду. Объясни пожалуйста.

а для него есть какой-нибудь простой клиент (типа acme_tiny для LE) ?

Э, ну, типа, любой клиент acme.

А что не так? Против wildcard, насколько помню активно выступали из лестэнкрипт. И это логично, ибо не безопасно. Производители браузеров кричали, что ещё вот-вот и браузеры будут на такие сертификаты выдавать предупреждение, что подключение не безопасно. И это в общем то правильно.

А что не так?

Никогда не слышал, чтобы кто-то выступал против wildcard. В этом смысла около нуля.

Против wildcard, насколько помню активно выступали из лестэнкрипт.

Настолько активно, что сейчас раздают wildcard-ы сами.

И это логично, ибо не безопасно.

Нет, это не логично и это безопасно.

Производители браузеров кричали, что ещё вот-вот и браузеры будут на такие сертификаты выдавать предупреждение, что подключение не безопасно. И это в общем то правильно.

Предлагаю тебе поискать ссылки на эти утверждения. Потому что я, несмотря на то, что активно интересуюсь всем, связанным с криптографией и прочим, про такое слышу в первый раз.

Настолько активно, что сейчас раздают wildcard-ы сами.

раздают, но продлить их автоматически нельзя, и придется ручками их обновлять каждые 3 месяца.

точнее ручками обновить можно, но нужно доверить сомнительному софту доступ к чувствительной информации

и это безопасно

Ага-ага, а как же «Subject Alt Names», одним сертификатом раскрывается куча доменных имён, некоторые из которых могут быть непубличными эндпойнтами.

точнее ручками обновить можно, но нужно доверить сомнительному софту доступ к чувствительной информации

Чаво?

Ага-ага, а как же «Subject Alt Names», одним сертификатом раскрывается куча доменных имён, некоторые из которых могут быть непубличными эндпойнтами.

При чём тут wildcards и SAN? Wildcards как раз ничего не раскрывают.

К слову Security through obscurity в любом случае не лучшая идея.

я так понял, обновление идет только через «макросы» (кажется), а макросы перевызывают сторонний софт от васи пупкина, и не включенный в состав Debain например

При чём тут wildcards и SAN?

Да, выходные, вечер субботы… ¯\(ツ)/¯

Для выпуска wildcard нужна DNS validation. Самый простой клиент это тупо баш скрипт на несколько сотен строк, который ты можешь проверить своими глазами. Для установки DNS-записей ты можешь или свой bind конфигурировать как тебе угодно или использовать API вроде Cloudflare, в том числе с токенами с ограниченным доступом. Ещё вроде CNAME можно сделать на другой домен, но я не пробовал.

ты можешь или свой bind

ну вот тут я стопорнул, ибо к DNS особые требования, данная услуга делегирована сторонним сервисам.

у меня недавно была задача прикрутить 70 доменов третьего уровня в одном домене, ну в итоге выпустил 4 серта, примерно по 20 на каждый, зато все автоматом и «задёшева»

ну вот тут я стопорнул, ибо к DNS особые требования, данная услуга делегирована сторонним сервисам.

Ну вроде как это на твою добросовестность рассчитано. Можешь и не заморачиваться.

у меня недавно была задача прикрутить 70 доменов третьего уровня в одном домене, ну в итоге выпустил 4 серта, примерно по 20 на каждый, зато все автоматом и «задёшева»

70 это немного. А представь, если макском захочет каждому юзеру лора свой поддомен. Тут уже le скорей всего не справится.

https://www.digicert.com/kb/ssl-support/wildcard-compatibility.htm

Это вопрос совместимости.

По безопасности: https://www.venafi.com/blog/wildcard-certificates-make-encryption-easier-but-less-secure

Сейчас не могу найти ссылки на новостную истерию по данному вопросу. В общем случае, говорилось, что, условно, это не безопасно для public доменов второго уровня и всяких хостингов, ну и понятное дело, безопасность private ключа. Хоть убей не помню, когда было, но шум был, что все перестанут скоро такое поддерживать.

Letsencrypt хана, пользователи замучили.

выясняем, что не в этот раз, но все же спрошу чтобы 2 раза не вставать: а за счет чего живет эта организация, каковы шансы ее ликвидации?

все равно же надо какие-то изменения в код вносить

на подачки гуглов, мозил всяких. цель что у тех, что у этих - сделать интернет максимально зависимым от них

Это очень опасно, нужно расширять представительство отечественных структур в составе руководства Letsencript. Еще не известно не предпримет ли данная организация враждебных действий по отношению к Российской Федерации, кроме того, что очевидно, организация распространяет чуждые для нашего общества ценности.

ЗАПРЕТИТЬ