Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Let's Encrypt уменьшит срок действия сертификатов до 45 дней"	+/–
Сообщение от opennews (??), 02-Дек-25, 22:12
Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, объявил о решении поэтапно сократить срок действия выдаваемых TLS-сертификатов с 90 до 45 дней. 10 февраля 2027 года  срок действия сертификатов будет сокращён до 64 дней, а 16 февраля 2028 года - до 45 дней. Опциональная возможность получения сертификатов, действующих 45 дней, появится 13 мая 2026 года... Подробнее: https://www.opennet.me/opennews/art.shtml?num=64363
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 02-Дек-25, 22:12	+7 +/–
Давайте уже тогда сразу сделаем чтобы на каждый новый запрос был свой сертификат. И так к этому всё и идёт.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #10

2. Сообщение от Аноним (2), 02-Дек-25, 22:13	+3 +/–
Так это не let's encrypt. Это все.
Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от xtotec (ok), 02-Дек-25, 22:14	+3 +/–
Интересно, как быстро они взвоют, что их инфраструктура не справляется с возросшей нагрузкой?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26

4. Сообщение от Аноним (13), 02-Дек-25, 22:15	–2 +/–
Да какая разница, хоть до недели. Кто-то их руками тягает что ли?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32, #51

5. Сообщение от skyblade (ok), 02-Дек-25, 22:16	+1 +/–
А я может пропустил что-то, но были ли какие-нибудь реальные ситуации, когда сертификат был украден и кто-то у кого-то трафик перехватывал? Я смог вспомить только ситуацию с jabber.ru, но им никакое сокращение сроков не помогло бы, так как там была операция со стороны каких-то органов и хостер был в сговоре. Им бы там даже однодневные сертификаты не помогли в таком случае.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #18, #49

6. Сообщение от Аноним (8), 02-Дек-25, 22:17	–1 +/–
Давно пора выдавать сертификаты  через госуслуги обновление раз в неделю. Кто не отметился в МФЦ на нары.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #31

8. Сообщение от Аноним (8), 02-Дек-25, 22:18	+4 +/–
Главное чтобы твой сервер постоянно ходил и в ножки кланялся уважаемым людям. А они уже знают как тебя "посчитать".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #13

9. Сообщение от Аноним (13), 02-Дек-25, 22:19	–1 +/–
> Им бы там даже однодневные сертификаты не помогли в таком случае. Скорее всего помогли бы. Выше шанс заметить, что у тебя сервак в оффлайн вываливается на несколько секунд каждый день.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

10. Сообщение от Аноним (10), 02-Дек-25, 22:19	+/–
Уже были проекты по внедрению постоянно заменяемых сертификатов, действующих считанные часы https://opennet.ru/51797-tls
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

11. Сообщение от Аноним (11), 02-Дек-25, 22:21	+/–
Как вы обновляете сертификаты для нескольких субдоменов? Сам LE такие сертификаты обновлять автоматически отказывается, требуя выполнения "DNS challenge" — всовывания заданой строки в TXT record. Дёргать bind9 из под портянки запущеной от рута не хочется, но выбора скоро не будет...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #24, #30

12. Сообщение от Аноним (10), 02-Дек-25, 22:21	+/–
А разве CA/Browser Forum  не убьёт этим всю отрасль удостоверяющих центров? В коммерческих CA весь смысл был, что можно было сертификат на три года взять.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #16, #22

13. Сообщение от Аноним (13), 02-Дек-25, 22:24	+/–
Ну, получи вайлдкард сертификат. И что там тогда считать будут? Через ДНС и то больше инфы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

14. Сообщение от Аноним (13), 02-Дек-25, 22:29	+/–
> Как вы обновляете сертификаты для нескольких субдоменов? Да так и обновлял. Пока их не накопилось большое количество. Тогда при переезде и первом запуске, Caddy побежал радостно получать все их по новой, тогда и попал под ограничение. Так что если их много, просто надо по времени разнести первое получение. Если скрипт тупенький и рвется их обновить в одно и то же время, то будет тот же результат.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #19

15. Сообщение от Аноним (15), 02-Дек-25, 22:37	+1 +/–
Туда им и дорога
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

16. Сообщение от Аноним (13), 02-Дек-25, 22:38	–1 +/–
> что можно было сертификат на три года взять Чтобы их распечатать и на стену повесить?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

17. Сообщение от Аноним (21), 02-Дек-25, 22:40	–2 +/–
Ну почти: - https://habr.com/ru/articles/968218/ - https://opennet.ru/56830-tls
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

18. Сообщение от Anonim (??), 02-Дек-25, 22:40	+/–
А что за ситуация с jabber.ru?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #21

19. Сообщение от Аноним (11), 02-Дек-25, 22:40	–1 +/–
У меня проблема другого плана, используется один сертификат для кучи субдоменов(git.tld.com, chat.tld.com...). Их нельзя просто так обновить без добавления TXT record в zone-file, сам certbot отказывается. После каждого такого челленджа ту TXT запись удалял, а теперь подумал, а не стал бы бот обновлять сертификаты будь она там? Хотя предположуч что строка генерируется для каждого реквеста, а не для каждого сертификата.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #23

20. Сообщение от Аноним (20), 02-Дек-25, 22:44	+/–
> В связи с сокращением срока действия сертификатов Let's Encrypt рекомендовал пользователями не обновлять сертификаты в ручном режиме, а перейти на автоматические системы управления сертификатами. Ай-яй-яй?
Ответить | Правка | Наверх | Cообщить модератору

21. Сообщение от Аноним (21), 02-Дек-25, 22:53	+/–
https://opennet.ru/59965-mitm
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

22. Сообщение от Аноним (22), 02-Дек-25, 23:00	+/–
3 года давно нельзя, давно уже 13 мес ограничение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

23. Сообщение от Аноним (13), 02-Дек-25, 23:02	+/–
> используется один сертификат для кучи субдоменов(git.tld.com, chat.tld.com...) То есть у тебя сейчас вайлдкард сертификат, который выдается на *.tld.com? Могу только рассказать, как у меня сделано. Сам решай, подходит тебе это или нет. Стоит Caddy, который на 90% работает в качестве реверс прокси и получает один сертификат *.tld.com на всё. Для Caddy есть плагины для разных провайдеров DNS, которые автоматизируют процесс прописывания TXT записи. Для моего регистратора не было подходящего, переводить управление всем доменом к другому не хотелось. Но, на сколько я помню, в dns-challenge TXT запись не обязательно должна прописываться для _acme-challenge.tld.com. Можно на _acme-challenge.tld.com повесить CNAME, например, на _acme.something.tld.com. В NS записи для something.tld.com прописать NS сервера DNS провайдера для которого есть плагины для Caddy. И в настройках Caddy есть параметр "dns_challenge_override_domain" в который можно прописать _acme.something.tld.com. В итоге сторонний сервис у меня рулит только ненужным поддоменом something.tld.com, Caddy через API этого сервиса подпихивает нужную TXT запись и получает вайлдкард сертификал *.tld.com. А дальше с этим сертификатом проксирует условные git.tld.com, chat.tld.com.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

24. Сообщение от penetrator (?), 02-Дек-25, 23:07	+/–
сделай API key у твоего регистрара и создавай DNS записи, жди потом запускай certbot я написал в конце концов этот баш скрипт с помощью ботов а есть регистрары у которых плагины есть для certbot
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #54

25. Сообщение от Аноним (25), 02-Дек-25, 23:09	+/–
Self signed наше всё! Сарказм, если что.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27

26. Сообщение от кек (?), 02-Дек-25, 23:29	+1 +/–
Биллинг сгладит боль от повышенных запросов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

27. Сообщение от кек (?), 02-Дек-25, 23:32	+/–
В каждой шутке есть доля шутки ну ты пон скорее всего будем опять скоро друг дружке серты подписывать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #42

28. Сообщение от Аноним (28), 02-Дек-25, 23:36	+1 +/–
> новые требования ассоциации CA/Browser Forum, которым должны следовать производители браузеров и удостоверяющие центры. Как так получилось, что есть целая ассоциация, указывающая как жить производителям браузеров и УЦ?  А если их нах послать и не выполнять их требования?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29, #34, #35, #36, #41

29. Сообщение от Аноним (29), 02-Дек-25, 23:45	+1 +/–
Вероятно, это ассоциация делает предложения от которых невозможно отказаться. Новый мировой порядок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

30. Сообщение от Аноним (30), 02-Дек-25, 23:46    Скрыто ботом-модератором	+/–
certbot certonly --preferred-challenges dns --issuance-timeout 200 --email <email> --manual -d '*.<domain>' -d '<domain>' и да, для этого он просит DNS challenge, но разве это какая-то проблема?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

31. Сообщение от Аноним (31), 02-Дек-25, 23:46    Скрыто ботом-модератором	+/–
Ну это годится только для нацианальных сертификатов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

32. Сообщение от Аноним (32), 02-Дек-25, 23:48	+/–
До сих пор есть динозаврусы, которые лапами меняют cert.crt и priv.key, а потом service nginx reload, как диды завещали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #38

33. Сообщение от 12yoexpert (ok), 02-Дек-25, 23:49	+1 +/–
> сертификаты в первую очередь существуют для обеспечения коммуникации между просителем (чаще всего представителем низших сословий или классов в иерархии общества) и государем (с) википедия
Ответить | Правка | Наверх | Cообщить модератору

34. Сообщение от Аноним (13), 02-Дек-25, 23:49    Скрыто ботом-модератором	+/–
> А если их нах послать и не выполнять их требования? Кто и кого будет посылать? Некий CA всех остальных? Ну, пущай посылает. Браузеры будет всё равно с 2029 года выдавать ошибку "ERR_CERT_VALIDITY_TOO_LONG". Некий Браузер всех остальных? Ну, пущай посылает, ничего не поменяется. Будет принимать сертификаты с большим сроком, но всё равно никто не будет к нему с ними приходить, потому что никто не будет их выдавать. ЦА (НЕ CA) будет посылать? Смешно, каким образом... Тут для успешного посыла, а не пуканья в лужу, надо, чтобы какая-то CA объединилась с каким-нибудь Браузером... Тогда один может выдавать длинные сертификаты, а другой на них не ругаться. И для успешности сего действа, еще основать CA/Browser Forum 2.0 (blackjack edition with sluts)... Короче, хорошая хахашечка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

35. Сообщение от Gemorroj (ok), 02-Дек-25, 23:53	+/–
полагаю, в этой ассоциации все те же "уважаемые" люди из гуглов и прочих клаудфларей, которые думают о твоей "безопасности".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

36. Сообщение от Аноним (31), 02-Дек-25, 23:55	+/–
Так в этой организации кто в совете директоров? Уважаемые люди в совете: Google, Microsoft,...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

37. Сообщение от Аноним (32), 02-Дек-25, 23:56	+/–
Тут есть ещё какой приятный и даже основной эффект, помимо безопасности. Новые правила в том числе нацелены сделать ручное обновление сертификатов максимально неудобным. Настолько неудобным, чтоб иного пути, кроме как автоматизации (даже с адской жопоболью) не осталось. Вообще. И это даже не скрывается особо, в рассылках так точно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39

38. Сообщение от Аноним (13), 02-Дек-25, 23:58	–2 +/–
В любом обществе есть люди с девиантным поведением. Только как это относится к этой новости? Мне надо их пожалеть? Они сами добровольно выбрали этот путь. Более того, у них есть масса альтернатив, так что эта ситуация не из разряда - "делаю руками, а што еще можно поделать, такова жизнь!"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

39. Сообщение от Аноним (13), 03-Дек-25, 00:00	+/–
> помимо безопасности Убрать человеческий фактор = повысить безопасность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #43, #46, #50

40. Сообщение от Аноним (43), 03-Дек-25, 00:05	+1 +/–
Да что за бред-то. Злоумышленники и за 5 минут уложатся, зато всем остальным страдать.
Ответить | Правка | Наверх | Cообщить модератору

41. Сообщение от Аноним (41), 03-Дек-25, 00:05	+/–
> The Certification Authority Browser Forum (CA/Browser Forum) is a voluntary gathering of Certificate Issuers and suppliers of Internet browser software and other applications that use certificates (Certificate Consumers). Так сами её и организовали. Это скорее к автору новости вопрос по поводу - кто, кому и чего должен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

42. Сообщение от Аноним (21), 03-Дек-25, 00:06	+/–
https://www.opennet.me/opennews/art.shtml?num=56830
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

43. Сообщение от Аноним (43), 03-Дек-25, 00:08    Скрыто ботом-модератором	–1 +/–
иди уроки учи
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

44. Сообщение от Аноним (49), 03-Дек-25, 00:16	+/–
Да просто гебня попросила, сказала "Злые преступники пользуются вашей этой PKI, либо оказывайте содействие в перехвате - либо сядете все как соучастники". При такой постоянной смене сертификатов и не узнаешь, что гебня выпустила свой через LE.
Ответить | Правка | Наверх | Cообщить модератору

46. Сообщение от Аноним (49), 03-Дек-25, 00:17	+/–
госбезопасность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

47. Сообщение от Аноним (47), 03-Дек-25, 00:22	+/–
И что изменится? Если будет доступ к инфраструктуре, то злоумышленники также раз в 45 дней будут перевыпускать сертификат. Если криптоалгоритм окажется уязвимым, то для этого есть отзыв сертификата (уже делали в том числе и LE). Проблем прибавляется, а вот очевидной пользы примерно никакой.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #48

48. Сообщение от Аноним (29), 03-Дек-25, 00:26	+/–
Если делают, значит кому-то это выгодно с той или иной точки зрения. Думай кому.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

49. Сообщение от Аноним (49), 03-Дек-25, 00:28	+/–
Подозреваю, что перехват не прекратили, а просто добавили в инфраструктуру хостера софт, дамп памяти машины делающий и ключ извлекающий. TEE-аттестация не поможет - Intel как надо подпишет системный анклав.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

50. Сообщение от Аноним (50), 03-Дек-25, 00:29	+/–
>Убрать человеческий фактор = повысить безопасность. Особенно когда автоматизация выглядит как curl http://certuri?host=myhost | sudo sh
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #52

51. Сообщение от pinigin (ok), 03-Дек-25, 00:36	+/–
Когда требуется верификация через DNS. Например, для доменных имён корпоративного интранета.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #53

52. Сообщение от Аноним (13), 03-Дек-25, 00:40	+/–
Дураков хватает, что теперь, ничего не делать? Или ты за то, чтобы усложнить процесс выдачи, чтобы большинство самописных отвалилось? ИМХО, сейчас нормальный баланс. Можно для себя и на коленке какую-то лапшу накидать, но тут и требования к безопасности минимальные. А там где нужна безопасность, там тебе не дадут этого сделать. Во всяком случае есть все условия для этого.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

53. Сообщение от Аноним (13), 03-Дек-25, 00:43	+/–
> Когда требуется верификация через DNS. Расскажи подробнее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

54. Сообщение от Аноним (11), 03-Дек-25, 01:06	+/–
Там у человека свой авторитативный DNS сервер.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема