Let's Encrypt сможет в вайлдкарды.

Но зачем? Ленивые недоадмины теперь же начнут выпускать один сертификат и копировать его на 100500 хостов.

Let's Encrypt сможет в вайлдкарды.

ТС упоротый. Слова пропускает. Закусывать надо.

Осталось выдавать их на год и норм.

О да, лучше выпускать 100500 сертификатов, чтобы только какой-то ноунейм с ЛОР, не приведи Ктулху, не посчитал тебя ленивым недоадмином

Poland cannot into space.

Все в порядке со словами.

Или на один проксирующий.

О да, лучше выпускать 100500 сертификатов,

На самом деле да. Приватный ключ не должен покидать сервер.

Какая разница на сколько выдавать, если всё скрипт обновляет?

У летсенкрипта вроде был суточный лимит запросов. Сейчас может выпилили, но на старте он был.

Суточный лимит, только на выпуск новых сертификатов. На продление - лимитов не было.

Время жизни сертификата не 1 час.

Ещё бы разрешили сертификаты для доменов третьего уровня и выше, чтобы например можно было для доменов no-ip.com получать.

Так и не запрещали. Всякие там no-ip.com скорее всего запрещены так-как у них владелец может часто меняться по прихоти левой пятки самого no-ip.com

Так и не запрещали. Всякие там no-ip.com скорее всего запрещены так-как у них владелец может часто меняться по прихоти левой пятки самого no-ip.com

Там ограничение на количество доменов. Я когда пытался получить мне выдало ошибку что -то типа нельзя субдоменов более 100 000 (точное число не помню, но вроде столько). А вообще да, дают, я получал для третьего уровня для одного не столь популярного домена.

Шо, накрылся бизнес CA-центров?

Для ленивых не подойдёт, нужно будет каждые 3 месяца копировать.

ansible?

Приватный ключ не должен покидать сервер.

Обычно речь об ingress-прокси который на себе терминирует клиентский SSL и дальше отдаёт запросы на релевантный бэкенд. Потом, как минимум для тестинга это оправдано.

А вообще, на тему безопасности можно мастурбировать бесконечно. Но это не означает что те кто не хотят этого делать ленивы или ничего в этом не понимают (да, я тоже навесил ярлыки).

Попробуй получить на org.ru, например. Они юзают PublicSuffix, а там свои заморочки с бюрократией.

Почитай про PublicSuffix, они его используют. У нормальных людей в нормальных зонах проблем нет, у нас в ru есть. Печалька.

Нет, и не накроется. «Именные» сертификаты за сотни нефти так и будут продавать, а этот дает только то, что домен скорее всего не подставной. Аналог без заморочек на год стоит около 10 баксов.

Аналог без заморочек на год стоит около 10 баксов.

Ну, за EV certificate надо отвалить поболее. А если много поддоменов...

Вот-же, я думал все распространённые варианты давно в списке. Хотя что-то я не припомню с ходу где кроме ЛОРа и баша используется org.ru

EV не аналог let's encrypt-а. Если лужен как LE, но не LE, то наверное вполне можно найти вариант за 10 баксов (спасибо. в том числе, «демпингу» LE)

На host.domain.com.ru я получал от let's encrypt сертификат, всё нормально.

Почитай про PublicSuffix, они его используют. У нормальных людей в нормальных зонах проблем нет, у нас в ru есть. Печалька.

Я для *.myftp.org хотел, но смотрю в public suffix он присутствует. Надо будет еще раз попробовать, может позже добавили, это в прошлом году было.

Лол, что за кривой парсер у лора, я писал *.myftp.org.

Ну еще маленько у барыг торгующих воздухом откусят. Но не нравятся они мне, хз чем это кончится: может миром во всем мире, а может всё весело и громко схлопнется.

Проблема с зоной .ru, в других доменных зонах публичные суффиксы как-то добавляют, не знаю во всех или еще проблемные есть. Я честно говоря не сильно разбирался, но понял что мозилла (PublicSuffix их инициатива) не может договориться о чем-то бюрократическом с нашим управляющим зоны.

На host.domain.com.ru я получал от let's encrypt сертификат, всё нормально.

Там ограничение по времени на количество, а не запрет, сидеть и подлавливать момент и прочий цирк устраивать мне не уперлось, я пошел и взял на год у барыг.

Ну все. Осталось только прикрутить EV, тогда можно уткнуть все СА за пояс, и наступит коммунизм.

их система получения сертификатов меня разочаровала. вот когда сможет работать из-за nat'a и не надо будет каждые 3 месяца качать...

а если что-нибудь где-нибудь сломается (связь пропадет до let's encrypt server'a) и скрипт не скачает серт? я и так плохо сплю! нет уж, заплатить 300 баксов и 3 года спать спокойно.

заплатить 300 баксов и 3 года спать спокойно

Лучше положить 300 баксов под подушку и спать спокойно чем выбросить их на воздух и 3 года подряд переживать что какой-нибудь хромог или жирнолис в очередной раз не отзовёт твой сертификат.

а если что-нибудь где-нибудь сломается (связь пропадет до let's encrypt server'a) и скрипт не скачает серт? я и так плохо сплю!

Плохой сон администраторов — следствие убогой инфраструктуры https в её нынешнем виде.

я и так плохо сплю!

Обратитесь к доктору, вам выпишут снотворное.

Ты не прав: вот где-то ошибка на несколько часов (не дай бог дней) распугает всех людей и выльется это не в 300 баксов минуса, а на порядок больше (если не на несколько).

из-за nat'а

Уже умеет, см. DNS-01 challenge и клиенты, его поддерживающие.

а если что-нибудь где-нибудь сломается (связь пропадет до let's encrypt server'a) и скрипт не скачает серт? я и так плохо сплю!

Настрой мониторинг и спи спокойно. Он же не в последний день обновляется (в сертботе, например, каждый месяц, т. е. в случае чего у тебя еще два месяца на реакцию).

какой-нибудь хромог или жирнолис в очередной раз не отзовёт твой сертификат.

так брать надо в нормальном месте.

Спасибо, дорогой, есть у меня мониторинг. Я считаю, что дергать критический узел по крону раз в месяц, - искать себе лишних приключений.

Уже умеет, см. DNS-01 challenge

Лишний гемор по автоматизации того, чтобы это все работало на нескольких серверах.:(

Я завел 1 сервер с сертботом под все серты (штук 5). С него полученное просто копируется скриптом.

Ты не прав: вот где-то ошибка на несколько часов (не дай бог дней) распугает всех людей и выльется это не в 300 баксов минуса, а на порядок больше (если не на несколько).

При этом 300 баксов тебе ничего не гарантируют.

а валидируешь как?

Мануалом через проверку хттп.

Не гарантируют. Но спать спокойнее.

Ясно. Смотри.

я > LE не работ из-за ната

лор > работает, через DNS валидацию

я> лишняя и неочевидная автоматизация в случае чуть более сложного сетапа

ты> а я просто все мордой в инет ткнул и раз в три месяца руками копирую 5 сертов

...

У тебя не конфликтует запуск certbot'a и обслуживание сайта на общем DNS имени? А если бы у тебя разные DNS были привязаны к разным ip? Я-то говорю о том, что у тебя веб-сервера за nat'ом могут быть раскиданы как угодно. И не только web сервера.