Let's Encrypt прописал санкции в соглашение, у Макса отозвали сертификат. Валить с LE или очередная паника?

[anthony18]

Вангую, что у 90 процентов паникующих в этом треде нет даже алерта на экспирацию серта. Минимум джентльмена: blackbox exporter с пробой на https и алертом за 21 и 7 дней, плюс выхлоп acme клиента в лог с алертом на fail. Тогда любой сценарий, хоть отзыв, хоть санкции, хоть просто протухший крон (самая частая причина падений, кстати), вы увидите за две недели, а не из звонка директора. Скучно, зато работает.

[juniorstack]

Кстати про "серты живые, все работает". Уже СЕЙЧАС не работает, только тихо. LE отдает OCSP через Cloudflare, а Cloudflare в РФ лежит через раз, РКН прямо рекомендует с него съезжать. У кого OCSP Must-Staple, у того сайт может тупо не открыться при абсолютно живом сертификате. То есть рубильник не нужно даже дергать, он сам подергивается. И да, LE сворачивает OCSP в пользу CRL, то есть инфраструктура проверки тоже вся у них, как захотят так и повернут.

[lucky1000]

@ama123, Паникеры, у LE сертификаты живут 90 дней. Рубильник у них и так встроен с 2015 года, называется просто перестать продлевать. Почему-то не перестают.

[jpearce]

Валить на НУЦ, чтобы каждый посетитель с айфона увидел предупреждение про незащищенное соединение. Гениальный антикризисный план, бл.

[armstron]

Тот кто выше топит за НУЦ как за спасение: ты в курсе, что гос-корневой центр технически может выпустить серт на ЛЮБОЙ домен? Не на госуслуги, а на любой. На твой банк, на твою почту. И ты предлагаешь людям руками поставить это в систему. Вредительство под видом патриотизма, по-другому не назову.

[lucky1000]

Тот кто писал что 4 июня неслучайно совпало с Max, ты дату публикации соглашения видел где? В телеге? Версии соглашений готовятся месяцами, юристы их не за ночь под новость пишут. Совпадение дат это вся ваша доказательная база, серьезно?

[navspy]

Душный момент, который молча зарубит вашу диверсификацию: CAA записи. Если в DNS прописан issue только для letsencrypt.org (безопасники любят так делать по чеклисту), то резервный УЦ просто откажется выпускать серт, и узнаете вы об этом посреди ночи, когда основной недоступен. Допишите issuer-метки своих резервов: у гугла это pki.goog, у ZeroSSL вообще sectigo.com, у Buypass buypass.com, проверьте по докам. Две минуты в DNS сейчас против разбора инцидента потом.

[svelteops]

@async2025, Если бы готовили рубильник, не публиковали бы изменение в открытом соглашении, которое неделю обсуждает весь интернет. Рубильники так не работают. А вот юристы, которые после кейса с Max перестраховались стандартной формулировкой, работают ровно так.

[sainty]

@mynancy, вы тут полтреда про санкции и заговоры, а у меня вчера реально сайт не открывался, потому что OCSP у LE ходит через Cloudflare, а клаудфлер в РФ лежит через раз, РКН вон вообще рекомендует от него отказываться. вот это проблема, живая, сегодняшняя. но нет, давайте еще десять страниц про пункт 3.1, это же интереснее

[grafanacoder]

@antico, не secure так not secure, привыкайте. через год половина рунета будет с перечеркнутым замочком и все забьют, как забили на впн