Comments 19
Вы можете, конечно, перевыпускать сертификат каждые 3 месяца, но обязательно следите за сроками.
…
Автоматическое обновление. Этот способ подразумевает, что вы принимаете автоматические настройки, предусмотренные Центром сертификации. И тут нужно понимать, что вы таким образом даёте свое согласие на то, что ЦС может вносить изменения по своему усмотрению в ПО и настройки вашего сервера.
Бред и бред же: с сертом от других ЦС обновлять можно только руками (так что следить и следить, да еще ходить по всяким личным кабинетам, чтобы забрать серт), а что автообновление сертификата позволяет «вносить изменения по своему усмотрению в ПО и настройки вашего сервера» — это прямо раскидистая клюква.
Теперь, правда, GlobalSign себя загнал в ловушку: если сделают автообновление их сертификатов, то подпадут под свою же «критику номер два», если не сделают — отгребают по своей критике про то, что «следить надо».
Но самое важное: GS стыдливо замалчивает момент того, что в 99% случаев вполне хватает DV-сертификатов (чем и занимается LE), и отличные, в принципе, серты от GS как бы нужны (и стоят своих денег) только для оставшегося 1%.
LE борется за безопасность — чуть не единственные, кто сразу же среагировал и начал думать над решением. Платные ЦС обычно молчат тихо и патчат по возможности, но не публично: потому что им не выгодно привлекать к сертификатам внимание в разрезе доверия к ним.
Общий маркетинг сертификатов — если вы за них не платите, вам не доверяют, но если вы платите за них, проблемы сами собой пропадают. А чем больше вы платите, тем меньше проблем. Фигушки, как говорится — 99% посетителей сайтов EV отметят только по приятному зеленому цвету в адресной строке, но на том дело и закончится.
Притом заслуга здесь не их, а авторов списка ЦС, встренного в браузер — кто в нем оказался, никак не останется без денег, даже если будет вести себя как можно более вызывающе (вспомним тему с Symantec). Некая цифровая
Перевыпуск сертификата можно осуществить тремя способами: вручную, за счет настройки планировщика задач cron или автоматически
одного не понял: почему крон — это не "автоматически", и что такое тогда "автоматически"?
Видимо, под "автоматически" имеется в виду автоматический режим официального клиента, который работает с правами root и, в теории, может быть скомпрометирован. Хотя под капотом он всё равно cron использует. Под вторым вариантом, видимо, подразумевают ручную настройку клиента с ограниченными правами.
ну или нужен сложный танец с бубном что бы мониторить валидность сертификата, срок действия сертификата и успешность процеса обновления.
А задержка с выпуском в прод wildcard сертификатов это очень грустно. Буквально сидел и ждал когда настанет 27-е февраля…
3. Если вдруг произойдёт взлом бесплатного сертификата, то денежную компенсацию никто вам не предоставит.впервые слышу про взлом выданных сертификатов. Там уж скорее были случаи, когда выдавались вторые, и третьи сертификаты.
По этому все ссылки с UTM-метками utm_campaign=lets%20encrypt
3. Если вдруг произойдёт взлом бесплатного сертификата, то денежную компенсацию никто вам не предоставит.
А были случаи когда кто то выплачивал эту компенсацию?
А сурьезным нужно оно в т.ч. и для повышения своего рейтинга в момент выхода на IPO, например — мол, они таки не плюют на безопасность, и платят вот каким ответственным ЦА.
Цепочка веры друг в друга, да.
Let's Encrypt выдаёт очень много сертификатов вредjносным сайтам, которые используются для фишинга. Например, между 1 января 2016 года и 6 марта 2017 года Let's Encrypt выдал сертификаты для 15 720 доменов со словом “PayPal” в названии
А ведь до этого кто-то зарегистрировал эти домены. Что-то не слышно крика что «регастраторы выдают слишком много доменных имен, использующихся для фишинга».
- Если вдруг произойдёт взлом бесплатного сертификата, то денежную компенсацию никто вам не предоставит.
Я тут посмотрел размер гарантий для расширенных сертификатов.
1,25 миллиона долларов США для OrganizationSSL и 1,5 миллиона долларов США ExtendedSSL.
Интересно, а прецеденты были?
А то так можно с одним взломанным сертификатом и бизнес прикрыть.
Кстати, не вижу размера гарантийных обязательств для самого дешевого сертификата (кстати, 294$ за обычный сертификат на год, серьёзно?!).
Let's Encrypt отложил выпуск wildcard-сертификатов из-за проблем безопасности