Let's Encrypt прописал санкции в соглашение, у Макса отозвали сертификат. Валить с LE или очередная паника?

[VueMaster]

LE отдает OCSP через Cloudflare, а Cloudflare в РФ лежит через раз, РКН прямо рекомендует с него съезжать

Вот это в точку, и про это почти никто не думает в треде, все застряли на пункте 3.1. Полез проверять свои серты и нашёл на двух старых проектах OCSP Must-Staple, включённый ещё по гайду из 2019. То есть сайт мог лечь не от санкций, а от того что Cloudflare моргнул и стейпл не пришёл, при живом серте. Снял Must-Staple, повесил отдельный мониторинг на доступность OCSP, а не только на то что страница открывается. Спасибо, ушёл чинить прод пока не прилетело.

[joseph23]

Пошла тема про суверенитет, скажу про импортозамещение, потому что серты это только верхушка айсберга. Проблема не в Let's Encrypt как таковом, проблема в том что вся цепочка чужая: УЦ, браузеры, корневые хранилища, CDN, DNS, даже OpenSSL, на котором всё это крутится, пишется не у нас. Отозвать серт это меньшее из того что технически могут.

И вот тут грустно. Импортозамещение у нас пока в основном на бумаге и в реестре Минцифры. Берут опенсорсный проект, переклеивают шильдик, заносят в реестр, отчитываются. Astra Linux и РЕД ОС это Debian и RHEL с косметикой и сертификатом ФСТЭК, отечественный браузер это Chromium с яндексовой мордой, свой УЦ это форк типовых решений на базе НИИ Восход. Само по себе форкать опенсорс нормально, весь мир так делает. Плохо то что это подают как технологический суверенитет, а по факту ты так же зависишь от апстрима, который завтра закроет тебе доступ к репозиториям или подсунет в обновление что угодно. Реальный суверенитет это когда есть инженеры, способные этот код развивать и аудировать, а не только переименовывать.

По сертификатам конкретно. Технологический риск реальный, тут паникёры частично правы. Не в том что LE завтра всех вырубит, а в том что у страны нет своего рабочего звена доверия, которому доверяли бы мировые браузеры. НУЦ есть, но Chrome и Firefox его не признают и не признают, пока это политическое решение, а не технический аудит через CA/Browser Forum. Замкнутый круг. Импортозамещение в крипто это не переименовать openssl в гост-ssl, а годами строить инфраструктуру и репутацию, которую за квартал по указу не сделать.

Короче риск есть, но лечится он не лозунгами и реестром, а длинной скучной инженерной работой, на которую обычно не хватает терпения, потому что отчитаться надо к декабрю.

[async2025]

@chase2, Тот кто выше пишет "паника, успокойтесь, LE никого не отзывает" - вы это серьезно или методичку отрабатываете? GlobalSign тоже никого не отзывал, пока не отозвал. За один день. Адресно, говорите, по юрлицу? А завтра адресно по списку из пары тысяч юрлиц, послезавтра по реестру. Механизм обкатан на Максе, дальше масштабирование.

[PyLover]

@rburr, Перечитал тред. Половина постов это пересказ одного телеграм-канала разными словами, четверть реклама НУЦ от людей, которые слово MITM пишут с ошибкой, и пара адекватов. Гос-корневой УЦ технически может выпустить серт на ЛЮБОЙ домен, хоть на gmail.com, и твой росбраузер его молча съест. Вот где надо параноить, а не в пункте 3.1. Но параноим мы почему-то выборочно, в сторону где страшнее заголовок.

[pythonfan]

Раз тред уже расползся на панику и конспирологию, разложу по фактам. Я этим занимаюсь по работе, инфра и PKI, серты руками трогаю каждый день.

Про соглашение. Версия 1.7 добавила в 3.1 гарантию подписчика, что он не под комплексными санкциями. Это твоя декларация в момент выпуска, а не новый технический фильтр у LE. Никакого автоматического сканирования зоны .ru и веерного отзыва нет и не анонсировано. Наоборот, у LE есть прямые исключения: выдача негосударственным лицам в России и Иране разрешена под лицензии OFAC на свободу интернета и поправку про личные коммуникации. Для обычного бизнеса, блога, магазина не поменялось ничего. Пункты про отсутствие ответственности и возмещение убытков, которыми тут пугают, лежат в соглашении любого УЦ, включая DigiCert и Sectigo. Это стандартный шаблон индустрии, а не уникальная подстава именно Let's Encrypt.

Про Макса. Серт отозвал GlobalSign, платный коммерческий УЦ с ручной верификацией, и отзыв адресный: приложение связано с конкретным лицом под санкциями, за это же его убрали из App Store. Это не прецедент массового отзыва по .ru, это точечная работа по одному юрлицу. То, что он потом перешёл на LE, а затем на HARICA, наоборот показывает, что бесплатный автомат без ручного ревью выдал серт даже санкционному сервису. Странный рубильник, который вытаскивает жертву из канавы.

Где реальный риск, его тут пара человек верно назвали, а остальные проскочили. Не санкции, а доступность валидации. LE отдаёт OCSP через инфраструктуру, которая в РФ нестабильна, а сам OCSP уже выводится в пользу CRL. Если включён OCSP Must-Staple и стейпл не пришёл, клиент может не открыть сайт при живом и не отозванном сертификате. Вот это чинят инженерно, а не сменой TLD.

Что делать на практике, без политики.
1. Не завязывайтесь на один УЦ. ACME (certbot, acme.sh, lego) с фоллбэком: основной LE, резерв ZeroSSL, Buypass, Google Trust Services. Все по одному протоколу, переключение это пара строк конфига. Да, юрисдикции у них западные, но одновременный одномоментный отказ всех сразу куда менее вероятен, чем проблема у одного, а перевыпуск у вас автоматический.
2. Уберите Must-Staple, если не понимаете последствий, и мониторьте срок и доступность валидации, а не только то, что сайт открывается.
3. Автоматизируйте перевыпуск. При нормальной автоматике отзыв или отказ одного УЦ это перевыпуск за минуты, а не ночной аврал на проде.
4. НУЦ Минцифры держите как опцию строго для аудитории внутри РФ и понимайте цену. Chrome, Firefox и Safari ему не доверяют, посетителю нужен корневой сертификат или российский браузер, иначе он видит ошибку. Для сайта с зарубежными клиентами это прямой минус. И отдельно, честно для обеих сторон спора: государственный корневой в системе это про доверие к государству как к стороне, способной выпустить валидный серт на любой ваш домен. Это не паранойя, это свойство конструкции, оценивайте трезво, без лозунгов и в ту, и в другую сторону.

Итог. Соглашение это юридическая страховка УЦ, а не рубильник. Массового отзыва по .ru на сегодня нет, и технически он маловероятен, потому что сломает слишком много и ударит по самому LE. Реальные риски это адресные санкции против конкретных организаций и доступность OCSP, и оба закрываются инженерно: диверсификация УЦ, автоматика, мониторинг. Повода в одну ночь переезжать на гос-серт я не вижу. А вот отказоустойчивость по сертификатам стоило сделать ещё вчера, и вся эта новость хороший повод наконец дойти до неё руками, а не нервами.

[async2025]

по делу, без паники: у нас отдел неделю назад накатил план Б на случай отзыва. повесили мониторинг CT-логов на свои домены через crt.sh с алертом, и заранее прогрели второй УЦ как fallback в acme-клиенте. переключение через dns-01 тестировали, минут пятнадцать ручной работы если что. серты могут отозвать у кого угодно и когда угодно, поэтому runbook на отзыв должен лежать готовым, а не писаться в момент инцидента.

[grafanacoder]

тред правильно отделяет факты от методичек. добавлю по технике: отзыв у Max это про санкционный комплаенс конкретного УЦ, а не про Let's Encrypt как технологию. бесплатный LE как раз политически нейтральнее коммерции, у него нет офиса который можно прижать санкциями. бежать с LE на платный американский серт это менять шило на мыло, если боишься именно отзыва. свой НУЦ с корневым в системных хранилищах это отдельная многолетняя боль, а не решение на завтра.