Comments 27
Это тот случай, когда работаешь и получаешь колоссальное удовлетворение от работы.
Бесплатно, автоматизировано, заменяет дармоедов, работает для всех и везде — это то, как я тоже вижу посыл всего IT.
Дай вам Бог здоровья, ребята!
И для того, чтобы весь инет накрылся медным тазом, достаточно всего одной точки воздействия. Это ли не прекрасно?
Таких точек-одиночек очень много: Google, Microsoft и др. И мир до сих пор не рухнул.
Перестаньте пугать народ.
Неправда. Сертификат действует 3 месяца и обновляется минимум за месяц до окончания. Таким образом, если Let's Encrypt накроется, у Вас будет целых 1–3 месяца на выпуск сертификатов в других местах.
Разумеется, часть сервисов (наименее поддерживаемых) может не уложиться в этот срок, но глобальной катастрофы не наступит.
Наоборот — Вы умный лев :) !
а) Сейчас вполне себе находится какой-нибудь positive ssl по цене около 5 долларов в год
б) Для кого как но менять сертификат раз в год или раз в три месяца таки есть разница для тех кто делает эту смену в ручную (что единственно правильное решение ибо насколько надо не заботиться о безопасности чтобы какой-нибудь certbot себе на сервер устанавливать !)
Comodo-шный сертификат стоит $3.77 в год — не такие большие деньги.
Т.е. для разработки и домашних страничек — никаких проблем. А для продакшена лучше использовать что-то с минимальными гарантиями работоспособности.
И про «дармоедов» тоже не согласен. Каких-то денег это должно стоить, поддерживать те же CRL и Timestamp сервера.
единственно правильное решение ибо насколько надо не заботиться о безопасности чтобы какой-нибудь certbot себе на сервер устанавливать
Как я понимаю, вы лично провели аудит всего используемого на вашем сервере ПО? И все миллионы строк исходников Linux прочитали, и nginx (или какой у вас там сервер) и тысяч всяких утилит типа ssh, bash, mv, cp и всех-всех-всех их зависимостей (например, openssl)? И каждый их апдейт тоже проверяете? Мне кажется, с такой квалификацией и производительностью вам не составит труда просмотреть и исходники certbot. Благо он тоже OpenSource и его кодовая база значительно меньше большинства используемых вами программ. А если не нравится именно он, то есть куча альтернативных реализаций. А с учётом вашей квалификации, вы можете и свою реализацию легко написать. Там протокол не особо сложный, его реализовать гораздо проще, чем провести аудит ядра Linux.
Если вашим аргументом будет «я использую только популярное OpenSource ПО, на исходники которого смотрят миллионы глаз», то с учётом доли Let's encrypt certbot определённо относится к этой категории ПО, причём в отличии от многого другого ПО, эти миллионы глаз реально могут быстро просмотреть каждую строчку его кода и каждый апдейт чего не скажешь про тот же Linux, в некоторых подсистемах которого хорошо разбираются считанные единицы программистов.
Дело, конечно, хорошее, если бы не фактическое отсутствие альтернатив (помимо платных и очень платных).
А что мешает России или Китаю создать свою точку (зону) сертификации?
И получится так https://m.habr.com/ru/post/272207/
Уверен они к подобному и идут.
Автоматическая замена сертификатов по протоколу ACME исключает возможность подобных инцидентов.
До тех пор пока не происходят изменения протокола, хоть о них и предупреждают заранее. Окажется на каком-то из серверов необновленный dehydrated/certbot — и обнаружится это спустя 1-3 месяца после введения изменений.
Позвольте мне сливать свои данные, хотя бы, безопасно.
Замочек не гарант серьёзности, и никогда им не был. Если человек замочек наверху увидел, то и домен на ошибки почекать должен. Ну а горбатого, как говорится..
Let's Encrypt выдал миллиард сертификатов