Email or username:

Password:

Forgot your password?
Top-level
Иван

@shuro Не, уж кто-кто, а я точно в этом не эксперт. Как всё сложно и страшно, оказывается.

Но что плохого в публичной сети? Сами данные зашифрованы, получение сертификатов происходит у заранее настроенного сервера, в конце концов можно проверить сертификаты после получения.

3 comments
Шуро

@lumin Всё это лишние тонкие места.

- сторонний сервис может стать банально недоступен, либо забанить тебя
- сервисы типа LE сами по себе очень жирная цель, так как пользуются доверием, имеют огромную базу, но при этом ничего никому не должны
- чтобы проходить валидацию на сервере в публичной сети, надо самому там быть, т.е. у тебя часто на пограничном сервере оказывается даже не сертификат, а механизм валидации. Либо механизм получения сертификата в одном месте, но придётся пилить автоматику, которая будет обновленный сертификат распространять, что не всегда просто и в любом случае требует лишних отверстий.

@lumin Всё это лишние тонкие места.

- сторонний сервис может стать банально недоступен, либо забанить тебя
- сервисы типа LE сами по себе очень жирная цель, так как пользуются доверием, имеют огромную базу, но при этом ничего никому не должны
- чтобы проходить валидацию на сервере в публичной сети, надо самому там быть, т.е. у тебя часто на пограничном сервере оказывается даже не сертификат, а механизм валидации. Либо механизм получения сертификата в одном месте, но придётся пилить автоматику, которая...

Iron Bug
@shuro @lumin сделайте проксю с SSL offloading. для небольших сетей с маленьким трафиком (а ваша сеть, насколько я понимаю, небольшая) это проканает.
Iron Bug
@shuro @lumin а без "сторонних сервисов" сделать аутентификацию невозможно. это всегда какие-то CA, которые будут говорить другим, что это именно твой сертификат. самоподписанные скрипты - это то же самое, только ты, какой-то васян, просишь юзеров добавить себя как CA в список доверенных, что куда хуже.
Go Up