Email or username:

Password:

Forgot your password?
Шуро's posts Post Back to profile
Top-level
Иван

@shuro Обновление сертификатов бесплатно и безболезненно, в отличие от зубов

11 Aug 2023 at 4:01 | Wall-to-wall | Open on m.comfycamp.space
32 comments
Шуро

@lumin Я смотрю, эксперты-практики подтянулись в чат :)

Ценник на коммерческий сертификат с вайлдкардами видел? Нихуясе бесплатно. Там в тысячах долларов.

Безболезненно? На Эксченже каком-нибудь безболезненно или на железке? А если это ещё во внутреннем контуре?

Или, может, поддержание внутренней PKI безболезненно?

Я уж даже не хочу начинать, что в коммерции использование сервисов типа Let's Encrypt так себе идея в принципе и это какой-то феерический диссонанс в мозгах у тех, кому сертификат от конкретного CA для конкретной организации сроком на два-три года кажется "потенциально опасным", а когда сертификат стягивается по крону через публичную сеть у хрен пойми кого автоматически раз в месяц и автоматически же распространяется по пучку сервисов без всяких проверок, а а из-за необходимости автообновления этот механизм ещё и работает обычно прямо на прод-хостах - это, сука, гораздо безопаснее :)

@lumin Я смотрю, эксперты-практики подтянулись в чат :)

Ценник на коммерческий сертификат с вайлдкардами видел? Нихуясе бесплатно. Там в тысячах долларов.

Безболезненно? На Эксченже каком-нибудь безболезненно или на железке? А если это ещё во внутреннем контуре?

Или, может, поддержание внутренней PKI безболезненно?

11 Aug 2023 at 6:59 | Open on friends.deko.cloud
Иван

@shuro Не, уж кто-кто, а я точно в этом не эксперт. Как всё сложно и страшно, оказывается.

Но что плохого в публичной сети? Сами данные зашифрованы, получение сертификатов происходит у заранее настроенного сервера, в конце концов можно проверить сертификаты после получения.

11 Aug 2023 at 7:53 | Open on m.comfycamp.space
Шуро

@lumin Всё это лишние тонкие места.

- сторонний сервис может стать банально недоступен, либо забанить тебя
- сервисы типа LE сами по себе очень жирная цель, так как пользуются доверием, имеют огромную базу, но при этом ничего никому не должны
- чтобы проходить валидацию на сервере в публичной сети, надо самому там быть, т.е. у тебя часто на пограничном сервере оказывается даже не сертификат, а механизм валидации. Либо механизм получения сертификата в одном месте, но придётся пилить автоматику, которая будет обновленный сертификат распространять, что не всегда просто и в любом случае требует лишних отверстий.

@lumin Всё это лишние тонкие места.

- сторонний сервис может стать банально недоступен, либо забанить тебя
- сервисы типа LE сами по себе очень жирная цель, так как пользуются доверием, имеют огромную базу, но при этом ничего никому не должны
- чтобы проходить валидацию на сервере в публичной сети, надо самому там быть, т.е. у тебя часто на пограничном сервере оказывается даже не сертификат, а механизм валидации. Либо механизм получения сертификата в одном месте, но придётся пилить автоматику, которая...

11 Aug 2023 at 8:43 | Open on friends.deko.cloud
Iron Bug
@shuro @lumin сделайте проксю с SSL offloading. для небольших сетей с маленьким трафиком (а ваша сеть, насколько я понимаю, небольшая) это проканает.
12 Aug 2023 at 0:03 | Open on friendica.ironbug.org
Iron Bug
@shuro @lumin а без "сторонних сервисов" сделать аутентификацию невозможно. это всегда какие-то CA, которые будут говорить другим, что это именно твой сертификат. самоподписанные скрипты - это то же самое, только ты, какой-то васян, просишь юзеров добавить себя как CA в список доверенных, что куда хуже.
12 Aug 2023 at 0:11 | Open on friendica.ironbug.org
Iron Bug
@shuro @lumin 3 килобакса для бизнеса, который подрос настолько, чтобы ему стал нужен wildcard - это фигня фигнь, по-моему. аренда хостингов намного дороже обходится обычно.
12 Aug 2023 at 0:08 | Open on friendica.ironbug.org
Шуро

@iron_bug @lumin Всё становится интереснее, когда домен не один.

У ряда отраслей, например, нормальная практика работать с отдельными проектами и, в числе прочего, создавать сайт под каждый, причём сайт не всегда страничка-визитка, а и набор сервисов. Может быть набор юрлиц/брендов и всё такое. Добавим туда ебанутый мир ентерпрайзного ПО, где одно требует вайлдкард, другое его наоборот не поддерживает, а третье требует сертификат с именем своего сервисного домена как subject name и ниипет, alt не канает. Всякие железки с вшитым внутрь списком УЦ.

И вот имеем кучу среднего размера компаний, у которых по пятьдесят доменов, но собственный УЦ с внешним доверием, на который тут выше настойчиво намекают, им по понятным причинам не светит, да и вообще своя PKI это геморрой отдельного уровня.

@iron_bug @lumin Всё становится интереснее, когда домен не один.

У ряда отраслей, например, нормальная практика работать с отдельными проектами и, в числе прочего, создавать сайт под каждый, причём сайт не всегда страничка-визитка, а и набор сервисов. Может быть набор юрлиц/брендов и всё такое. Добавим туда ебанутый мир ентерпрайзного ПО, где одно требует вайлдкард, другое его наоборот не поддерживает, а третье требует сертификат с именем своего сервисного домена как subject name и ниипет, alt не...

12 Aug 2023 at 9:32 | Open on friends.deko.cloud
Шуро

@iron_bug @lumin Но да, понятно, что на фоне прочего это явно не основные расходы бизнеса или даже его ИТ-части.

Но бесит.

12 Aug 2023 at 9:35 | Open on friends.deko.cloud
Iron Bug
@shuro @lumin слушай, если у компании действительно много проектов и сервисов, то 3 килобакса для них - это плюнуть и растереть. а если они полтора скрипта пытаются впарить, как "энтрепрайз", и впарить это как кучу разных доменов, которые хостятся на одном сраном локалхсте - ну, жадность фраера сгубила, что называется.
12 Aug 2023 at 9:36 | Open on friendica.ironbug.org
Шуро

@iron_bug @lumin Дело не в деньгах.

Было меньше ебли, стало больше, а лучше не стало. Был выбор шире, стал уже. Вот какого МПХ браузер инвалидирует сертификат на основании длительности его срока действия, его ли это собачье дело? Понятно, что никто не умер, бизнес вообще живуч и ко всему приспосабливается.

12 Aug 2023 at 9:40 | Open on friends.deko.cloud
Iron Bug
@shuro @lumin браузеры ничего не "инвалидируют". библиотеки криптографии проверяют даты действия сертификатикатов. а браузер предупреждает юзера, если они просрочены, это нормально. но он может работать и с просроченными сертификатами, хотя это небезопасно.
12 Aug 2023 at 9:45 | Open on friendica.ironbug.org
Шуро

@iron_bug @lumin Я вот про это:
aboutssl.org/mozilla-reduces-s…

Т.е. сейчас сертификат может быть валидным (срок не истёк, есть доверие к цепочке, совпадает субъект), но срок действия длинноват, понимаешь :)

Понятно, что есть исключения и прочее, но сам факт.

12 Aug 2023 at 9:53 | Open on friends.deko.cloud
Iron Bug
@shuro @lumin ну, мозилла ебанулась уже давно, но это не связано с сертификатами. у них там манагеры власть захватили и всё пошло по звезде.
но 398 дней - это оверхдохуя. обычно сертификаты меняют гораздо чаще. и это уже действительно вопрос безопасности.
12 Aug 2023 at 10:05 | Open on friendica.ironbug.org
Шуро

@iron_bug @lumin > 398 дней - это оверхдохуя

Это годовой сертификат с грейсом в месяц. Т.е. фактически это поддержка сертификатов со сроком не больше года.

12 Aug 2023 at 10:09 | Open on friends.deko.cloud
Iron Bug
@shuro @lumin а тебе чего? настроил ACME и забыл. и пусть бухгалтерия оплачивает сервисы.
12 Aug 2023 at 10:00 | Open on friendica.ironbug.org
Шуро
@iron_bug @lumin См. выше. У кучи ПО и железа и близко нет ACME или возможности приколхозить автообновление.
12 Aug 2023 at 10:06 | Open on friends.deko.cloud
Iron Bug
@shuro @lumin слушай, ACME есть даже на баше, там и "колхозить" нечего. если у тебя есть ssh, то проблем получить сертификат на любом сервере нет.
12 Aug 2023 at 10:09 | Open on friendica.ironbug.org
Шуро

@iron_bug @lumin Во-первых, не везде Линукс. Не везде даже в принципе полноценная ОС, куда можно что-то поставить.

Во-вторых, сертификат не достаточно просто получить, надо ещё обновить его в самом сервисе и это далеко не всегда "nginx -s reload".

У нас вон на одном сервисе вендор сегодня сертификат обновляет и в плане простой на час на эту операцию, я не думаю, что это им просто ночью в субботу скучно и делать нечего, решили подольше положить.

12 Aug 2023 at 10:15 | Open on friends.deko.cloud
Iron Bug replied to Шуро
@shuro @lumin это у них просто админы криворукие.
и да, я не думаю, что на маздае нет нужных скриптов. ACME - очень тупой протокол. можно самому написать скрипт, на коленке. и наверняка кто-то это уже сделал.
12 Aug 2023 at 10:17 | Open on friendica.ironbug.org
Шуро replied to Iron
@iron_bug @lumin Админы работают с ПО и устройствами, которые нужны бизнесу, далеко не везде замена сертификатов проходит легко и/или без прерывания сервиса.
12 Aug 2023 at 10:24 | Open on friends.deko.cloud
Iron Bug replied to Шуро
@shuro @lumin ну, значит сервисы настолько кривые. и руки из жопы не у админов, а у разработчиков. обычно это не вопрос и сертификаты выпускают с небольшим перекрытием дат и просто постепенно перекатываются на новые.
я вот много лет работаю с сетями и телекомом и ни у кого не возникало заявлений типа "вы тут без сети посидите часик, а мы тут сертификаты менять будем". или "вы тут без сотовой связи посидите, у нас надо поменять сертификаты".
всё это делается штатно, по расписанию. одни сертификаты создаются, на них перекатываются, старые отзываются. вообще никаких проблем. и при этом всё это работает с огромным количеством всяческого железа.
@shuro @lumin ну, значит сервисы настолько кривые. и руки из жопы не у админов, а у разработчиков. обычно это не вопрос и сертификаты выпускают с небольшим перекрытием дат и просто постепенно перекатываются на новые.
я вот много лет работаю с сетями и телекомом и ни у кого не возникало заявлений типа "вы тут без сети посидите часик, а мы тут сертификаты менять будем". или "вы тут без сотовой связи посидите, у нас надо поменять сертификаты".
12 Aug 2023 at 10:34 | Open on friendica.ironbug.org
Шуро replied to Iron
@iron_bug @lumin Да, многое решаемо, но это часто вопрос затрат. Если сервис действительно критический, то там появляются всякие шлюзы приложений, кластеры и вообще меняется подход.
12 Aug 2023 at 10:44 | Open on friends.deko.cloud
Iron Bug replied to Шуро
@shuro @lumin ну признай уже, что твои претензии сводятся к бардаку конкретно в вашей системе, а не к CA и сертификатам. и тем более к браузерам, когда там больше года длительность сертификата поддерживается. потому что у дргих проблем нет.
12 Aug 2023 at 10:50 | Open on friendica.ironbug.org
Iron Bug replied to Шуро
@shuro @lumin а если ты хочешь прямо вот бесшовной замены, чтобы сессии не порвались (например, в телекоме, стриминге мультимедии и проксировании для защиты от всяких дидосов такое есть) - тогда проксирование в зубы и вперёд. такие решения тоже есть. и там тоже меняются сертификаты, представь себе. и миллионы юзеров этого не замечают, потому что правильно настроены серверы.
12 Aug 2023 at 10:47 | Open on friendica.ironbug.org
Шуро replied to Iron
@iron_bug @lumin Да, у нас кое-что переведено на такие шлюзы приложений, с ними проблем меньше.
12 Aug 2023 at 10:49 | Open on friends.deko.cloud
Iron Bug replied to Шуро
@shuro @lumin ну вот, собственно.
все проблемы решаемы. просто надо приложить усилия.
12 Aug 2023 at 10:51 | Open on friendica.ironbug.org
Шуро replied to Iron
@iron_bug @lumin Вообще всё в этом мире решаемо :))
12 Aug 2023 at 10:55 | Open on friends.deko.cloud
Iron Bug replied to Шуро
@shuro @lumin да, так оно и есть. но что касается IT, то я имею некоторый опыт в решении таких проблем, поэтому считаю их решаемыми на практике, а не чисто теоретически.
12 Aug 2023 at 11:08 | Open on friendica.ironbug.org
top.ofthe.top replied to Iron

> > я имею некоторый опыт в решении таких проблем, поэтому считаю их решаемыми на практике, а не чисто теоретически.

Ну это ты любительница мартышкиного труда порешать проблем. Но гораздо лучше проблем избегать.

12 Aug 2023 at 13:58 | Open on top.ofthe.top
Lyyn ☮️

@shuro @lumin Let's Encrypt выдаёт вайлдкард сертификаты. Говорю как пользователь. Тоже бесплатно, конечно.

12 Aug 2023 at 10:18 | Open on mastodon.ml
Go Up