Let's Encrypt прописал санкции в соглашение, у Макса отозвали сертификат. Валить с LE или очередная паника?

[dmsmith]

Народ, ACME это протокол, а не торговая марка LE. ZeroSSL, Buypass, Google Trust Services, SSL.com - все умеют ACME. В certbot или acme.sh смена сервера это буквально один параметр. Прописал fallback на второго провайдера и спи спокойно вместо того чтобы строчить простыни про конец рунета.

[kkkjtt]

@lucky1000, Отвечу ОПу по существу, валить или нет. Не валить, а раскладывать яйца. Мой рабочий расклад после этой недели: основным остается LE (бесплатно, автоматом, исключения OFAC покрывают обычные сайты), резервом ZeroSSL или Google Trust Services с заранее зарегистрированным EAB, для критичных доменов еще платный Sectigo или HARICA, чтобы лежал серт с длинным сроком на полке. НУЦ только если аудитория целиком на Яндекс браузере или госконтракт обязывает, для всего остального он сейчас профнепригоден из-за недоверия браузеров. И мониторинг, без него вся схема декорация. Кто в 2022 ждал отключения за неделю, тот ждет до сих пор, рубильника нет, а вот протухшие кроны кладут сайты каждый день.

[delphin]

@antico, Теперь неудобная часть, давайте честно. НУЦ Минцифры это НИИ Восход, Chrome/Firefox/Safari ему не доверяют и не будут, значит либо все ставят корневой серт руками, либо сидят на Яндекс.Браузере и Атоме. И да, гос-корневой технически может выпустить серт на любой домен, то есть опасения про MITM не паранойя, а свойство конструкции. Я это все понимаю. Но выбор-то у нас какой? Чужой рубильник, который уже щелкнул по Максу, или свой надзиратель. Я за своего, своего хотя бы можно когда-нибудь приструнить законом. Чужого - никогда. Суверенная инфра должна была строиться десять лет назад, CA, DNS, браузер, вся цепочка. Не построили, теперь выбираем из плохого и худшего.

[seniorwarlock]

Реальный риск в этой теме вообще не санкции, а то, о чем тут никто не пишет. OCSP респондеры LE отдаются через Cloudflare, а Cloudflare в РФ работает через раз, РКН официально рекомендует с него съезжать. Если у тебя в серте OCSP Must-Staple и степлинг отвалился, браузер может не открыть сайт при абсолютно живом сертификате. Вот это реальный сценарий лежащего сайта, а не подпись под пунктом 3.1. LE кстати OCSP сворачивает в пользу CRL, так что проверьте свои конфиги и уберите Must-Staple, если кто-то когда-то включил по гайду 2018 года.

[chase2]

Самое смешное в этой истории, что Max после отзыва от GlobalSign пошел куда? Правильно, в Let's Encrypt. 5 июня платный коммерческий УЦ отозвал серт, 6 июня бесплатный LE спокойно выдал на 3 месяца, 8 июня еще и греческая HARICA подтянулась. То есть контора, про которую весь тред кричит готовят рубильник, по факту вытащила санкционный мессенджер из канавы. Отзыв был адресный, по конкретному юрлицу под санкциями, и сделал его GlobalSign, а не LE. Но виноват конечно LE, логика железная.

[gowizard]

Даже если пофантазировать, что LE сошел с ума и решил массово отзывать. Чем? Браузеры отзыв толком не проверяют. Chrome игнорирует OCSP и живет на своих CRLSets, Firefox на CRLite, у остальных OCSP в soft-fail режиме, то есть недоступен - ну и ладно, пускаем. Единственный рабочий рычаг это отказ в продлении, а при 90-дневных сертах ты это увидишь за недели и спокойно переедешь на другой ACME. Никакого мгновенного рубильника физически не существует, успокойтесь уже.

[qemukun]

Я открыл и прочитал это соглашение v1.7, чего и вам советую вместо пересказов из телеги. Пункт 3.1 это warranty подписчика: ТЫ декларируешь, что не под санкциями, когда жмешь кнопку. Не фильтр, не скан зоны ru, не автоотзыв. У DigiCert и Sectigo аналогичные пункты лежат годами, вместе с отказом от ответственности и индемнити, это стандартная обвязка любого УЦ. Кто машет отсутствием ответственности как уникальной подставой LE, тот просто никогда не читал договор своего платного УЦ. Плюс у LE прямые исключения OFAC под свободу интернета и личные коммуникации, негосударственным сайтам как выдавали серты, так и выдают.

[vzn85m73]

@Omoto, Практика для тех кто админит, а не воюет в треде. Раз: grep по сертам на Must-Staple, если есть - перевыпустить без него. Два: мониторинг доступности OCSP/CRL endpoint-ов именно из российских сетей, потому что Cloudflare. Три: второй ACME аккаунт у ZeroSSL или Buypass как запасной. Четыре: алерты на срок истечения за 30 и 14 дней. Все, ваша защита от рубильника готова, обошлась в час работы и ноль паники.

[antico]

Аргумент "у DigiCert и Sectigo такие же пункты, это стандарт" формально верный и абсолютно бесполезный. У них такие же пункты, но у них нет 60-92% зоны .ru. Single point of failure это не про текст соглашения, это про концентрацию. Когда один УЦ держит почти весь рунет, ЛЮБОЙ его пункт про санкции это заряженное ружье на стене. И оно выстрелит, в третьем акте, как положено.

[gpu_chan]

Закройте тред уже. Третьи сутки одни и те же три аргумента по кругу: это бумажка, нет это рубильник, валите на НУЦ. Никто никого не переубедит, все просто орут друг на друга. Модератор, ау.