Email or username:

Password:

Forgot your password?
Шуро's posts Post Back to profile
Top-level
Шуро

@iron_bug @lumin Всё становится интереснее, когда домен не один.

У ряда отраслей, например, нормальная практика работать с отдельными проектами и, в числе прочего, создавать сайт под каждый, причём сайт не всегда страничка-визитка, а и набор сервисов. Может быть набор юрлиц/брендов и всё такое. Добавим туда ебанутый мир ентерпрайзного ПО, где одно требует вайлдкард, другое его наоборот не поддерживает, а третье требует сертификат с именем своего сервисного домена как subject name и ниипет, alt не канает. Всякие железки с вшитым внутрь списком УЦ.

И вот имеем кучу среднего размера компаний, у которых по пятьдесят доменов, но собственный УЦ с внешним доверием, на который тут выше настойчиво намекают, им по понятным причинам не светит, да и вообще своя PKI это геморрой отдельного уровня.

12 Aug 2023 at 9:32 | Open on friends.deko.cloud
22 comments
Шуро

@iron_bug @lumin Но да, понятно, что на фоне прочего это явно не основные расходы бизнеса или даже его ИТ-части.

Но бесит.

12 Aug 2023 at 9:35 | Open on friends.deko.cloud
Iron Bug
@shuro @lumin слушай, если у компании действительно много проектов и сервисов, то 3 килобакса для них - это плюнуть и растереть. а если они полтора скрипта пытаются впарить, как "энтрепрайз", и впарить это как кучу разных доменов, которые хостятся на одном сраном локалхсте - ну, жадность фраера сгубила, что называется.
12 Aug 2023 at 9:36 | Open on friendica.ironbug.org
Шуро

@iron_bug @lumin Дело не в деньгах.

Было меньше ебли, стало больше, а лучше не стало. Был выбор шире, стал уже. Вот какого МПХ браузер инвалидирует сертификат на основании длительности его срока действия, его ли это собачье дело? Понятно, что никто не умер, бизнес вообще живуч и ко всему приспосабливается.

12 Aug 2023 at 9:40 | Open on friends.deko.cloud
Iron Bug
@shuro @lumin браузеры ничего не "инвалидируют". библиотеки криптографии проверяют даты действия сертификатикатов. а браузер предупреждает юзера, если они просрочены, это нормально. но он может работать и с просроченными сертификатами, хотя это небезопасно.
12 Aug 2023 at 9:45 | Open on friendica.ironbug.org
Шуро

@iron_bug @lumin Я вот про это:
aboutssl.org/mozilla-reduces-s…

Т.е. сейчас сертификат может быть валидным (срок не истёк, есть доверие к цепочке, совпадает субъект), но срок действия длинноват, понимаешь :)

Понятно, что есть исключения и прочее, но сам факт.

12 Aug 2023 at 9:53 | Open on friends.deko.cloud
Iron Bug
@shuro @lumin ну, мозилла ебанулась уже давно, но это не связано с сертификатами. у них там манагеры власть захватили и всё пошло по звезде.
но 398 дней - это оверхдохуя. обычно сертификаты меняют гораздо чаще. и это уже действительно вопрос безопасности.
12 Aug 2023 at 10:05 | Open on friendica.ironbug.org
Шуро

@iron_bug @lumin > 398 дней - это оверхдохуя

Это годовой сертификат с грейсом в месяц. Т.е. фактически это поддержка сертификатов со сроком не больше года.

12 Aug 2023 at 10:09 | Open on friends.deko.cloud
Iron Bug
@shuro @lumin а тебе чего? настроил ACME и забыл. и пусть бухгалтерия оплачивает сервисы.
12 Aug 2023 at 10:00 | Open on friendica.ironbug.org
Шуро
@iron_bug @lumin См. выше. У кучи ПО и железа и близко нет ACME или возможности приколхозить автообновление.
12 Aug 2023 at 10:06 | Open on friends.deko.cloud
Iron Bug
@shuro @lumin слушай, ACME есть даже на баше, там и "колхозить" нечего. если у тебя есть ssh, то проблем получить сертификат на любом сервере нет.
12 Aug 2023 at 10:09 | Open on friendica.ironbug.org
Шуро

@iron_bug @lumin Во-первых, не везде Линукс. Не везде даже в принципе полноценная ОС, куда можно что-то поставить.

Во-вторых, сертификат не достаточно просто получить, надо ещё обновить его в самом сервисе и это далеко не всегда "nginx -s reload".

У нас вон на одном сервисе вендор сегодня сертификат обновляет и в плане простой на час на эту операцию, я не думаю, что это им просто ночью в субботу скучно и делать нечего, решили подольше положить.

12 Aug 2023 at 10:15 | Open on friends.deko.cloud
Iron Bug replied to Шуро
@shuro @lumin это у них просто админы криворукие.
и да, я не думаю, что на маздае нет нужных скриптов. ACME - очень тупой протокол. можно самому написать скрипт, на коленке. и наверняка кто-то это уже сделал.
12 Aug 2023 at 10:17 | Open on friendica.ironbug.org
Шуро replied to Iron
@iron_bug @lumin Админы работают с ПО и устройствами, которые нужны бизнесу, далеко не везде замена сертификатов проходит легко и/или без прерывания сервиса.
12 Aug 2023 at 10:24 | Open on friends.deko.cloud
Iron Bug replied to Шуро
@shuro @lumin ну, значит сервисы настолько кривые. и руки из жопы не у админов, а у разработчиков. обычно это не вопрос и сертификаты выпускают с небольшим перекрытием дат и просто постепенно перекатываются на новые.
я вот много лет работаю с сетями и телекомом и ни у кого не возникало заявлений типа "вы тут без сети посидите часик, а мы тут сертификаты менять будем". или "вы тут без сотовой связи посидите, у нас надо поменять сертификаты".
всё это делается штатно, по расписанию. одни сертификаты создаются, на них перекатываются, старые отзываются. вообще никаких проблем. и при этом всё это работает с огромным количеством всяческого железа.
@shuro @lumin ну, значит сервисы настолько кривые. и руки из жопы не у админов, а у разработчиков. обычно это не вопрос и сертификаты выпускают с небольшим перекрытием дат и просто постепенно перекатываются на новые.
я вот много лет работаю с сетями и телекомом и ни у кого не возникало заявлений типа "вы тут без сети посидите часик, а мы тут сертификаты менять будем". или "вы тут без сотовой связи посидите, у нас надо поменять сертификаты".
12 Aug 2023 at 10:34 | Open on friendica.ironbug.org
Шуро replied to Iron
@iron_bug @lumin Да, многое решаемо, но это часто вопрос затрат. Если сервис действительно критический, то там появляются всякие шлюзы приложений, кластеры и вообще меняется подход.
12 Aug 2023 at 10:44 | Open on friends.deko.cloud
Iron Bug replied to Шуро
@shuro @lumin ну признай уже, что твои претензии сводятся к бардаку конкретно в вашей системе, а не к CA и сертификатам. и тем более к браузерам, когда там больше года длительность сертификата поддерживается. потому что у дргих проблем нет.
12 Aug 2023 at 10:50 | Open on friendica.ironbug.org
Iron Bug replied to Шуро
@shuro @lumin а если ты хочешь прямо вот бесшовной замены, чтобы сессии не порвались (например, в телекоме, стриминге мультимедии и проксировании для защиты от всяких дидосов такое есть) - тогда проксирование в зубы и вперёд. такие решения тоже есть. и там тоже меняются сертификаты, представь себе. и миллионы юзеров этого не замечают, потому что правильно настроены серверы.
12 Aug 2023 at 10:47 | Open on friendica.ironbug.org
Шуро replied to Iron
@iron_bug @lumin Да, у нас кое-что переведено на такие шлюзы приложений, с ними проблем меньше.
12 Aug 2023 at 10:49 | Open on friends.deko.cloud
Iron Bug replied to Шуро
@shuro @lumin ну вот, собственно.
все проблемы решаемы. просто надо приложить усилия.
12 Aug 2023 at 10:51 | Open on friendica.ironbug.org
Шуро replied to Iron
@iron_bug @lumin Вообще всё в этом мире решаемо :))
12 Aug 2023 at 10:55 | Open on friends.deko.cloud
Iron Bug replied to Шуро
@shuro @lumin да, так оно и есть. но что касается IT, то я имею некоторый опыт в решении таких проблем, поэтому считаю их решаемыми на практике, а не чисто теоретически.
12 Aug 2023 at 11:08 | Open on friendica.ironbug.org
top.ofthe.top replied to Iron

> > я имею некоторый опыт в решении таких проблем, поэтому считаю их решаемыми на практике, а не чисто теоретически.

Ну это ты любительница мартышкиного труда порешать проблем. Но гораздо лучше проблем избегать.

12 Aug 2023 at 13:58 | Open on top.ofthe.top
Go Up