Let's Encrypt прописал санкции в соглашение, у Макса отозвали сертификат. Валить с LE или очередная паника?

[juniorredteam]

@Omoto, Про исключения OFAC, свободу интернета и личные коммуникации, на которые тут ссылаются. Ребята, эти исключения живут в том же документе, который LE правит в одностороннем порядке. 3 июня пункта 3.1 не было, 4 июня появился. Точно так же 4 числа какого-нибудь месяца исключения исчезнут, и вы об этом узнаете из changelog. Строить инфраструктуру страны на доброй воле чужого юрдокумента это не инженерия, это рулетка.

[jennifer26]

@gpu_chan, Каждый раз одно и то же. Любая новость про сертификаты, и в тред набегают советчики переходить на отечественный НУЦ. Вам методичку когда обновляли? Гос УЦ с корневым сертом технически может выпустить серт на ЛЮБОЙ домен, хоть на гугл, хоть на ваш банк, и браузер с установленным корнем сожрет это молча. MITM по дизайну, именно поэтому Mozilla и Google этот корень к себе не пустили и не пустят. Я не говорю, что завтра начнут слушать трафик, но архитектурно ты сам несешь ключи от своего TLS в НИИ Восход. Кто советует это как подстраховку для коммерческого сайта, тот либо не понимает, как работает PKI, либо понимает слишком хорошо.

[alansmit]

Реальный технический риск тут вообще не пункт 3.1, а то, про что в треде почти никто не пишет. LE раздает OCSP через Cloudflare, а Cloudflare в РФ работает через раз, РКН официально рекомендует от него отказываться. Если у вас в серте OCSP Must-Staple и stapling на сервере отвалился, браузер может не открыть сайт при полностью живом сертификате. Вот это ловите в мониторинге, а не санкционные параграфы. Хорошая новость: LE сам сворачивает OCSP в пользу CRL, так что само рассосется. Пока что уберите must-staple, если он у вас есть, и проверьте, что nginx нормально кеширует stapled ответ.

[bunmaker]

Тем кто выше топит за НУЦ как за спасение. Откройте сайт с сертом Минцифры из обычного хрома или с айфона. Получите предупреждение во весь экран, потому что Chrome, Firefox и Safari этому корню не доверяют и не собираются. Варианты: заставить юзера руками ставить корневой серт (удачи объяснить это бухгалтерии контрагента) или пересадить всех на Яндекс браузер или Atom. У меня треть трафика с маков и айфонов плюс иностранные клиенты дергают API. Перевод на НУЦ это не подстраховка, это гарантированный отвал части аудитории прямо сейчас в обмен на риск, который пока существует только в голове ОПа.

[Version]

Слушайте, а вам не кажется странным, как дружно в этот тред набежали успокоители? "Это просто гарантия подписчика", "LE не сканирует ru", "отзыв адресный". Прямо хором, прямо одними формулировками. Кому выгодно, чтобы 90% рунета продолжало сидеть на одном иностранном УЦ и не дергалось? Вот и думайте, кто тут паникер, а кто вредитель. Я свои домены уже дублирую, а вы дальше слушайте убаюкивания.

[slypmp]

@antico, Все эти ZeroSSL, Buypass, Google Trust Services, которые тут советуют как альтернативу - вы юрисдикции смотрели вообще? США, Норвегия, США. Это не диверсификация, это перекладывание яиц из одной натовской корзины в соседнюю. При первом же общем пакете санкций они лягут все хором, у них комплаенс одинаковый. Единственная альтернатива вне этого контура - НУЦ. Да, кривой. Да, Chrome и Firefox его не знают. Но он хотя бы не отключается письмом из минфина США.

[Omoto]

Тем кто выше топит за НУЦ Минцифры как спасение. Chrome, Firefox и Safari корень НУЦ не знают. Совсем. Твой сайт у обычного посетителя с андроидным хромом будет not secure с красным замком. Лечится либо ручной установкой корня (удачи объяснить это бабушке), либо Яндекс Браузером или Атомом. Ты предлагаешь обменять гипотетический риск, который пока существует только в одном pdf, на гарантированную потерю всех, кто не на росбраузерах. Гениальный план.

[Sjobs]

@mynancy, Кто не успел тот опоздал, как обычно. Я еще в 22-м говорил: своя CA, свой DNS, свои зеркала пакетов. Надо мной ржали. Теперь сидим считаем проценты зависимости от Let's Encrypt. Делайте выводы сами: НУЦ + дубль от кого угодно второго, и скрипт переключения. Кто сейчас поленится, тот потом будет в этом же треде ныть.

[navspy]

Душная справка для тех, кто нашел в соглашении LE страшные пункты про отсутствие ответственности и indemnification и бегает с ними по треду. Откройте subscriber agreement DigiCert. Откройте Sectigo. Там то же самое, слово в слово по смыслу. Любой УЦ на планете пишет, что ни за что не отвечает, а ты его еще и защищаешь в суде, если что. Это стандартный шаблон индустрии лет двадцать как. Подавать это как уникальную подставу LE может только человек, который ни одного CA agreement в жизни не читал.

[puto]

Опять проплаченный успокоитель пришел, ага. Мне LE платит бесплатными сертификатами, озолотился уже.