Let's Encrypt прописал санкции в соглашение, у Макса отозвали сертификат. Валить с LE или очередная паника?

[norym]

@taichi, Каждый год один и тот же тред. В 22-м валили с LE, потом хоронили рунет, теперь опять чемоданное настроение. Рунет жив, серты негосударственным сайтам выдаются как выдавались, у LE прямым текстом исключения OFAC про свободу интернета и личные коммуникации. Паникеры, вы хоть раз угадали? Хоть один раз?

[rburr]

@py_wizard, А я вам скажу что тут самое смешное. Этот весь цирк выгоден ОБЕИМ сторонам. Американцам - рычаг давления, нашим - идеальный повод загнать всех на НУЦ Минцифры. А гос-корневой серт это что? Правильно, возможность выпустить сертификат на ЛЮБОЙ домен. Гмаил, телега, банк - все читается посередине. Спектакль с Максом разыгран как по нотам, чтобы народ сам, добровольно, с песнями понес корневой серт себе в систему. MITM as a service, добро пожаловать.

[kernel2025]

Самое смешное в этой истории: госмессенджер Max после отзыва побежал за БЕСПЛАТНЫМ сертом Let's Encrypt на три месяца. Импортозамещение здорового человека. Потом, правда, добрали еще греческий HARICA, видимо для солидности, два флага лучше одного.

[Bowden]

@pharside, Самая смешная часть истории, которую все пропускают. У Max серт отозвал GlobalSign, ПЛАТНЫЙ коммерческий УЦ, 5 июня. И куда Max побежал на следующий день? Правильно, на тот самый бесплатный Let's Encrypt, который тут хоронят. Взяли серт на 3 месяца, а 8 июня для подстраховки добавили еще и греческую HARICA. То есть юрлицо, по которому реально прилетели санкции, прямо сейчас спокойно живет на LE. И из этого делается вывод, что LE готовит рубильник по всей зоне ru. Логика уровня бог.

[Thebossman]

@navspy, и сейчас ему в ответ набегут с ты проплачен, агент, против отечественного УЦ выступаешь. классика жанра. ребят, то что Chrome, Firefox и Safari НУЦ не доверяют, это не позиция, это факт. спорить можно о чем угодно, но не об этом

[taichi]

@barbs, от 60 до 92 процентов это конечно мощная статистика, вилка как у социологов перед выборами. может еще от 0 до 100 сразу, чтоб наверняка

[barbs]

По делу, без паники. Certbot из коробки fallback не умеет, поэтому если у вас все на certbot и крон, вы зависите от одного CA чисто технически, а не юридически. Варианты: acme.sh или lego, оба умеют переключать сервер. ZeroSSL бесплатный, но нужен EAB ключ (регаешься, берешь kid и hmac, прописываешь один раз). Buypass работает вообще без регистрации и дает 180 дней вместо 90. Google Trust Services тоже ACME, но EAB выдается через гугловую консоль, кому она доступна. Главное: прогоните тестовый выпуск с резервного CA сейчас, на стейджинге, а не когда renewal упадет в проде ночью.

[py_wizard]

Тред поделился на две секты и обе невыносимы. Первая: все пропало, 4 июня в соглашении появилась запятая, значит завтра отключат весь .ru, срочно переезжаем. Вторая: ничего не было, ничего не будет, GlobalSign сам отвалился, Apple сама выпилила Max из стора, совпадение. Истина скучнее: отзыв был адресный, по конкретному юрлицу под санкциями, а не по доменной зоне, но скучное никто читать не хочет, на скучном холивар не построишь. Поэтому будет еще двадцать страниц взаимных обвинений, а потом тред умрет до следующего обновления соглашения. Ставлю чай.

[pharside]

А мне наоборот успокоители подозрительны. Не паникуйте, это стандартный пункт, у всех такой. Ага. У GlobalSign тоже было стандартное соглашение, а потом Max остался без серта за один день. Так что не надо тут с умным видом гладить по голове.

[fpga87]

@kernel2025, ОП, у тебя в заголовке готовят рубильник, а по фактам юридический пункт, который у DigiCert и Sectigo дословно такой же, плюс дисклеймеры об ответственности, которые есть у любого УЦ на планете. Это называется кликбейт. Минус в карму, жаль ее тут нет.