Email or username:

Password:

Forgot your password?
Top-level
Шуро
@iron_bug @lumin См. выше. У кучи ПО и железа и близко нет ACME или возможности приколхозить автообновление.
13 comments
Iron Bug
@shuro @lumin слушай, ACME есть даже на баше, там и "колхозить" нечего. если у тебя есть ssh, то проблем получить сертификат на любом сервере нет.
Шуро

@iron_bug @lumin Во-первых, не везде Линукс. Не везде даже в принципе полноценная ОС, куда можно что-то поставить.

Во-вторых, сертификат не достаточно просто получить, надо ещё обновить его в самом сервисе и это далеко не всегда "nginx -s reload".

У нас вон на одном сервисе вендор сегодня сертификат обновляет и в плане простой на час на эту операцию, я не думаю, что это им просто ночью в субботу скучно и делать нечего, решили подольше положить.

Iron Bug replied to Шуро
@shuro @lumin это у них просто админы криворукие.
и да, я не думаю, что на маздае нет нужных скриптов. ACME - очень тупой протокол. можно самому написать скрипт, на коленке. и наверняка кто-то это уже сделал.
Шуро replied to Iron
@iron_bug @lumin Админы работают с ПО и устройствами, которые нужны бизнесу, далеко не везде замена сертификатов проходит легко и/или без прерывания сервиса.
Iron Bug replied to Шуро
@shuro @lumin ну, значит сервисы настолько кривые. и руки из жопы не у админов, а у разработчиков. обычно это не вопрос и сертификаты выпускают с небольшим перекрытием дат и просто постепенно перекатываются на новые.
я вот много лет работаю с сетями и телекомом и ни у кого не возникало заявлений типа "вы тут без сети посидите часик, а мы тут сертификаты менять будем". или "вы тут без сотовой связи посидите, у нас надо поменять сертификаты".
всё это делается штатно, по расписанию. одни сертификаты создаются, на них перекатываются, старые отзываются. вообще никаких проблем. и при этом всё это работает с огромным количеством всяческого железа.
@shuro @lumin ну, значит сервисы настолько кривые. и руки из жопы не у админов, а у разработчиков. обычно это не вопрос и сертификаты выпускают с небольшим перекрытием дат и просто постепенно перекатываются на новые.
я вот много лет работаю с сетями и телекомом и ни у кого не возникало заявлений типа "вы тут без сети посидите часик, а мы тут сертификаты менять будем". или "вы тут без сотовой связи посидите, у нас надо поменять сертификаты".
Шуро replied to Iron
@iron_bug @lumin Да, многое решаемо, но это часто вопрос затрат. Если сервис действительно критический, то там появляются всякие шлюзы приложений, кластеры и вообще меняется подход.
Iron Bug replied to Шуро
@shuro @lumin ну признай уже, что твои претензии сводятся к бардаку конкретно в вашей системе, а не к CA и сертификатам. и тем более к браузерам, когда там больше года длительность сертификата поддерживается. потому что у дргих проблем нет.
Iron Bug replied to Шуро
@shuro @lumin а если ты хочешь прямо вот бесшовной замены, чтобы сессии не порвались (например, в телекоме, стриминге мультимедии и проксировании для защиты от всяких дидосов такое есть) - тогда проксирование в зубы и вперёд. такие решения тоже есть. и там тоже меняются сертификаты, представь себе. и миллионы юзеров этого не замечают, потому что правильно настроены серверы.
Шуро replied to Iron
@iron_bug @lumin Да, у нас кое-что переведено на такие шлюзы приложений, с ними проблем меньше.
Iron Bug replied to Шуро
@shuro @lumin ну вот, собственно.
все проблемы решаемы. просто надо приложить усилия.
Шуро replied to Iron
@iron_bug @lumin Вообще всё в этом мире решаемо :))
Iron Bug replied to Шуро
@shuro @lumin да, так оно и есть. но что касается IT, то я имею некоторый опыт в решении таких проблем, поэтому считаю их решаемыми на практике, а не чисто теоретически.
top.ofthe.top replied to Iron

> > я имею некоторый опыт в решении таких проблем, поэтому считаю их решаемыми на практике, а не чисто теоретически.

Ну это ты любительница мартышкиного труда порешать проблем. Но гораздо лучше проблем избегать.

Go Up