The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Максимальное время жизни TLS-сертификатов сократят с 398 до 47 дней"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Максимальное время жизни TLS-сертификатов сократят с 398 до 47 дней"  +/
Сообщение от opennews (??), 14-Апр-25, 13:25 
Участники ассоциации CA/Browser Forum, являющейся площадкой для координации совместной работы производителей браузеров и удостоверяющих центров, проголосовали за   сокращение максимального времени жизни TLS-сертификатов. Максимальное время действия TLS-сертификатов будет сокращено с 398 до 47 дней, если в дальнейшем CA/Browser Forum не пересмотрит принятое решение. Помимо времени действия сертификатов решено заметно сократить и сроки повторного использования данных валидации объектов: для SAN  (Subject Alternative Name, когда один сертификат охватывает несколько ресурсов, например, действует сразу для нескольких доменов) срок будет сокращен с  398 до 10 дней, а для не-SAN - с  825 до 398 дней...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63069

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +109 +/
Сообщение от Анонимemail (1), 14-Апр-25, 13:25 
они там совсем поехавшие или да?
Ответить | Правка | Наверх | Cообщить модератору

5. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –1 +/
Сообщение от Аноним (5), 14-Апр-25, 13:28 
Борьба с зеркалами "пиратских" сайтов . Кто среди поддержавших видите ?
Ответить | Правка | Наверх | Cообщить модератору

11. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +5 +/
Сообщение от анон (?), 14-Апр-25, 13:34 
а при чём тут пиратские сайты, если любой серт можно отозвать?
но странное хотят сделать, закрытый ключ никто менять же не будет, получается на один и тот же ключ будут генериться новые серты, что на нет сводит всю безопасность.
Ответить | Правка | Наверх | Cообщить модератору

20. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +2 +/
Сообщение от Неанон (?), 14-Апр-25, 13:42 
> закрытый ключ никто менять же не будет

Так это от тулинга, который сертификаты запрашивает, зависит же. У меня cert-manager ротирует приватный ключ при каждом запросе сертификата, например.

Ответить | Правка | Наверх | Cообщить модератору

13. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +4 +/
Сообщение от faremail (??), 14-Апр-25, 13:34 
Как это поможет бороться с зеркалами? Что мешает зеркалам настроить автоматическое обновление сертификатов? Ну будет у зеркала обновляться серт раз в месяц, а не раз в 3 месяца. Не вижу тут никаких побед над зеркалами
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

26. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –2 +/
Сообщение от Аноним (5), 14-Апр-25, 13:47 
В первом же абзаце . З... каждые 10 дней обновлять .
Ответить | Правка | Наверх | Cообщить модератору

69. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +6 +/
Сообщение от ivan1986email (?), 14-Апр-25, 15:09 
А какая в данном случае разница на сколько дней крон настраивать?
Ответить | Правка | Наверх | Cообщить модератору

137. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +2 +/
Сообщение от pakitostaremail (?), 14-Апр-25, 17:58 
Для бесплатных никакой, а вот если серт куплен?) И нужно его распихать хостов так на 30-40 да и в разные сервисы в тч на винде?
Ответить | Правка | Наверх | Cообщить модератору

161. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от Аноним (161), 14-Апр-25, 19:22 
А в чём проблема ? У меня както сертификаты (и ЛЕ и из своего ЦА для внутренних сервисов и прочего теста/дева) выписываются в одном месте и распихиваются туда, где им должно быть (распихать купленные руками сертификаты тем же способом никто не запрещает, полодить их там же рядом). А дальше всё как то само куда надо попадает и применяется.. Автоматизация и прочая оркестрация позволяют это сделать. В том числе в некоторые внешние сервисы.

Винду де нержим'с, но вроде как, там всё тоже автоматизируется, судя по долетающим из за забора словам. В худшем случае повер шел вам в руки.

Ответить | Правка | Наверх | Cообщить модератору

191. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –6 +/
Сообщение от Аноним (191), 14-Апр-25, 22:03 
> В худшем случае повер шел

Повершелл покрывает примерно 95% всего, что можно настроить в Windows Server и того, что там крутится. С консистентным синтаксисом, структурами данных, доступом к реестру, пайпами, с концепцией модулей и хорошей документацией. Я такого со времён почившей OS/2 и Rexx не помню. Вся эта мануальная терапия на юниксоподобных и весёлые приключения Седа, Авка и Грепа в стране Десяти Разных Форматов Конфигов вызывает сегодня недоумение. Держу в курсе, довелось сходить за забор и разобраться как там люди живут. Есть чему поучиться.

Ответить | Правка | Наверх | Cообщить модератору

206. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –1 +/
Сообщение от Аноним (206), 14-Апр-25, 23:07 
"В худшем" это не про то что поврешел плох, а в том что "в лучшем" у вас уже есть готовая система которая сможет притащить, в том числе, и нужный сертификат в нужное место. А вот  если нет, то да, придётся засучить рукава и немного накалякать скриптов.
Ответить | Правка | Наверх | Cообщить модератору

209. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +4 +/
Сообщение от Аноним (-), 14-Апр-25, 23:19 
> Повершелл покрывает примерно 95% всего, что можно настроить в Windows Server и
> того, что там крутится. С консистентным синтаксисом, структурами данных, доступом к
> реестру, пайпами, с концепцией модулей и хорошей документацией.

Поэтому...
1) Вы е...ь с километровыми командами - и полунерабочим автодополнением. Что поднимает продуктивность на новый уровень. Как замена метлы на лом у дворника! Так вы выглядите - по сревнению с любым линуховым девопсом. Просто посмотрите как они работают и осознайте где вы в этой схеме.

2) Ломовое время старта. Особенно бесит в виртуалках всяких. Пока этот крап запустится, в линухе можно будет все что хотел уже сделать и забыть про него.

3) Типизация - круто придумано. Только не для ad-hoc автоматизации по месту. Если кто хотел хардкорный програмизм он и так нет мог взять. А в шелле ЭТО только делает мозг и нагибает решение задач и затраты времени. В результате

4) Голимая дефолтная терминалка которая даже XFCE не конкурент - приятным бонусом. Это то что юзеры винды заслуживают.

5) Оставшиеся 5% запросто жрут 85% времени, на манер принципа 20/80.

> Я такого со времён почившей OS/2 и Rexx не помню. Вся эта мануальная терапия
> на юниксоподобных и весёлые приключения Седа, Авка и Грепа

....позволяет решать практические задачи, в сроки за которые вы первую страницу мана даже не прочитаете, нафиг. И скриптики дурацкие, особенно на 1 раз, чтобы не возякать как абизяне 200 операций куками - не тот код который надо монументально выписывать! Это вообще в половине случаев - делается на 1 раз. Отпедалил разовую задачу и забыл.

В этом смысле powershell ужасен. Зачем он как именно шелл такой нужен - майкрософт его знает! Хотя судя по WSL - они тоже не в курсе зачем.

> в стране Десяти Разных Форматов Конфигов вызывает сегодня недоумение.

Намного лучше реестр, блин. С нев.... числом ключей и параметров, нулем документации на них - особенно быстро и под рукой, НЕВОЗМОЖНОСТЬЮ ВОТКНУТЬ КОМЕНТ что это вообще и как юзать, никаким поиском, и вообще кривой и дурной софтиной для его менеджмента.

Поэтмоу вы уж извините - но вы офигеете с разницы во времени например за которое я типовой нжинкс вкачу VS то же самое но вы и IIS допустим. А если это про девопс сделает, охренею даже я. Где вы в этой иерархии... ну... майкрософт абажур вон кажется и то на линя хочет. Как бы намекает. И бэк для офиса с нета на хруст. А вы - отработанный материал с этим знанием. Уж простите, но для корп это - нормальноо. Не проблема MS что вы делать будете с объемным - и стремительно протухающим - знанием.

Ответить | Правка | К родителю #191 | Наверх | Cообщить модератору

255. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +2 +/
Сообщение от Аноним (255), 15-Апр-25, 09:46 
> Поэтому...
> 1) Вы е...ь с километровыми командами - и полунерабочим автодополнением.

Это просто циферный до сих пор в документацию не смог. Как ему десяток раз тут не рассказывали про алиасы и psreadline. Что зелен виноград, psreadline повторить не можешь?
А ещё подпрыгиваешь c sed-awk-grep-jq и остальным чертом в ступе когда у них всё встроено.
И работает на практически любой ОС. А ещё подключается опенсурсный дотнет. Тут ты делаешь губками вот так О.

> 2) Ломовое время старта. Особенно бесит в виртуалках всяких. Пока этот крап запустится, в линухе можно будет все что хотел уже сделать и забыть про него.

Время старта зависит от возможностей. Если у тебя кривульки только тру-фал0с могут присваивать переменные и дергать команды, кто тебе буратин. Охота скорости собирай в нейтив и подпрыгивай от радости. А мне возможность распарсить по быстрому json и поменять что угодно дороже ваших чистых уних-вей пайпов.

> 3) Типизация - круто придумано. Только не для ad-hoc автоматизации по месту. Если кто хотел хардкорный програмизм он и так нет мог взять. А в шелле ЭТО только делает мозг и нагибает решение задач и затраты времени.

Как раз оно отлично работает и помогает от всякой ереси в стиле обрезался не там символ, выдало непонятно какую какшу и текста. А уж цмдлеты от сторонних производителей вообще красоты. А ты дальше пыжься с шелом и продуктами по типу всферы.

> 4) Голимая дефолтная терминалка которая даже XFCE не конкурент - приятным бонусом. Это то что юзеры винды заслуживают.

Это у тебя десткая травма. С времен когда тыреный вин ставил. Сейчас wt в рот как говорится всем твоим шелам даст не нагибаясь.

> ....позволяет решать практические задачи, в сроки за которые вы первую страницу мана даже не прочитаете, нафиг. И скриптики дурацкие, особенно на 1 раз, чтобы не возякать как абизяне 200 операций куками - не тот код который надо монументально выписывать! Это вообще в половине случаев - делается на 1 раз. Отпедалил разовую задачу и забыл.

Ты ещё своё неумение при всех размазываешь.
Кем надо быть что бы не нагулить alias в ps.

> В этом смысле powershell ужасен.

Попробуй стихи поучить. Говорят расширяет когнитивные способности.

> Намного лучше реестр, блин. С нев.... числом ключей и параметров, нулем документации на них - особенно быстро и под рукой, НЕВОЗМОЖНОСТЬЮ ВОТКНУТЬ КОМЕНТ что это вообще и как юзать, никаким поиском, и вообще кривой и дурной софтиной для его менеджмента.

Намного лучше, да. Реестр почти весь нужный задокументирован. Есть cim который стандарт.
А у тебя что? На каждую софтинку вот такая неимоверная кривулина https://github.com/haproxytech/dataplaneapi
Зато своя, самописная. Не то что там стандарты придумали непонятные.

> Поэтмоу вы уж извините - но вы офигеете с разницы во времени например за которое я типовой нжинкс вкачу VS то же самое но вы и IIS допустим. А если это про девопс сделает, охренею даже я. Где вы в этой иерархии...

И здесь ты сел в лужу. То что ты тут отпыжился делается точно так же простым ансиблем. Если совсем по вин-вей то powershell dsc. Но ты же не в курсе, это же думать, читать надо.

> майкрософт абажур вон кажется и то на линя хочет. Как бы намекает.

Как бы намекает что кроликов разводят, 294-х.

>  И бэк для офиса с нета на хруст. А вы - отработанный материал с этим знанием. Уж простите, но для корп это - нормальноо. Не проблема MS что вы делать будете с объемным - и стремительно протухающим - знанием.

Есть новые данные кроме помоек с линкедина где ты этой инфой побирался? А то тоы так ни одной ссылки официальной на полный переход не привёл. По написаному коду от мс резко возросшему на раст не привёл.

Самому то не стыдно лгать?

Ответить | Правка | Наверх | Cообщить модератору

127. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от какая разница (?), 14-Апр-25, 17:41 
То есть вы серьёзно уверены, что в Mozilla, Google, Microsoft знают, что на торрентах вроде rutracker или pornolab можно скачать что-то запрещённое и из-за этого проголосовали "за"?
Телевизор хоть иногда выключайте что ль..
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

163. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –2 +/
Сообщение от Dima (??), 14-Апр-25, 19:25 
А по телеку про это говорят? Выключи себе инет хоть на месяц, а то у тебя голова мусором забилась
Ответить | Правка | Наверх | Cообщить модератору

166. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от Аноним (-), 14-Апр-25, 19:31 
> Борьба с зеркалами "пиратских" сайтов . Кто среди поддержавших видите ?

Скорее, просто цензура. Удобно же - не выписал серт, сайт ушел в даун начав пугать пользователей страшилками.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

58. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +2 +/
Сообщение от 12yoexpert (ok), 14-Апр-25, 14:56 
плати подписку и не выпендривайся
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

72. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –5 +/
Сообщение от Аноним (72), 14-Апр-25, 15:13 
398 до 47 дней

Это нормальная практика. Некоторые банки каждый раз генерируют разный cvc, зарубежные.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

169. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +3 +/
Сообщение от Аноним (-), 14-Апр-25, 19:32 
> Это нормальная практика. Некоторые банки каждый раз генерируют разный cvc, зарубежные.

Это булшит. Все эти временные сертификаты вдолгую - постоянно отваливаются. И если у вас тимы размером с тиму админов того банка нет - у вас ж@па будет, особенно если всяких (суб)доменов куча и проч.

Ответить | Правка | Наверх | Cообщить модератору

194. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –2 +/
Сообщение от Аноним (191), 14-Апр-25, 22:10 
Вне зависимости от того нужен 1 сертификат или 1000 сертификатов, это решённая задача. Всё, что нужно — две виртуалки на разных серверах (или разных планетах, если у вас диванно-опеннетный случай) и день времени. Чтобы была «ж@па», нужно сесть на собственные руки и терпеливо ждать, пока она настанет.
Ответить | Правка | Наверх | Cообщить модератору

210. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +3 +/
Сообщение от Аноним (-), 14-Апр-25, 23:38 
> Вне зависимости от того нужен 1 сертификат или 1000 сертификатов, это решённая задача.

Да неужели, блин! А я то по эксплуатационному опыту самого разного - сильно иного опыта наелся в разных инсталляциях!

1) Во первых конфигурации бывают разные. У разных людей. Вы пойдете и нарулите им всем все в лучшем виде, бесплатно? Или...?
2) Софт тоже бывает - разный. Разной степени фичастости и кривизны.
3) На этой почве можно конкретно покушать д@рьма лаптем. Ведь здесь и сейчас все работает. А окарауливать сервак 48 дней чтобы узнать прокатило ли с именно этим комбо, именно в том софте, именно так - кто будет? Правильно - никто!

Так что суммарно - число факапов, отвалов и недоступности просто кратно увеличится. Особенено у тех кто не банк и не может себе тиму админов 24/7 набрать. С LE это уже так то заметно - никогда не знаешь удастся ли зайти на вот этот сайт завтра или таки - вот те TLS error вместо этого?!

> Всё, что нужно — две виртуалки на разных серверах

Вот так просто? А на вон ту виртуалку в клауде - мне тоже виртуалку надо? Еще одну? Или...? Да я в принципе и тут с вами болтаю - из виртуалки. Сюда тоже виртуалку надо? :)

> (или разных планетах, если у вас диванно-опеннетный случай) и день времени.

А на какую планету кроме Земли вы смогли виртуалки доставить? Уже прямо интересно.

> Чтобы была «ж@па», нужно сесть на собственные руки и терпеливо ждать, пока она настанет.

На самом деле все проще: туповэйтить 48 дней для проверки никто не будет - и оно обречено отваливаться там и тут. Проверено Lets Encrypt'ом! Это то как оно реально работает. Вот реально знаю дофига сервисов - падающих примерно раз в месяц. Именно поэтому. Видимо, нанять команду админов как тот банк по зубам далеко не всем. Но вы конечно можете считать что интернет это гугл и банк, и хватит с вас, конечно.

Ответить | Правка | Наверх | Cообщить модератору

268. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от User (??), 15-Апр-25, 11:57 
Я так предполагаю, что адреса своим виртуалкам вы статикой выдаете с записью в блокнотик? Как можно такую важную операцию какому-то ДыхаЦыПэ на откуп отдавать - он же постоянно "ломаицца" будит!!!
Ответить | Правка | Наверх | Cообщить модератору

307. Скрыто модератором  +1 +/
Сообщение от нах. (?), 16-Апр-25, 07:32 
Ответить | Правка | Наверх | Cообщить модератору

309. Скрыто модератором  +/
Сообщение от User (??), 16-Апр-25, 08:18 
Ответить | Правка | Наверх | Cообщить модератору

2. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +10 +/
Сообщение от Аноним (5), 14-Апр-25, 13:25 
Лучше бы сократили Гималаи протоколов и шифров .
Ответить | Правка | Наверх | Cообщить модератору

49. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (49), 14-Апр-25, 14:27 
План по валу. Смысл анализировать существующий, если в очереди еще 3 стоят. )
Ответить | Правка | Наверх | Cообщить модератору

3. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от chestersh (ok), 14-Апр-25, 13:25 
Ничего личного. Бизнес.
Ответить | Правка | Наверх | Cообщить модератору

4. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –17 +/
Сообщение от Аноним (-), 14-Апр-25, 13:26 
Ну наконец-то кто-то озаботился сертификатами которые живут годами.
А потом внезапно протухают.

С учетом скорости развития IT технологий, я бы вообще поставил 32 дня.
Ну чтобы админчиги не расслаблялись.

Ответить | Правка | Наверх | Cообщить модератору

23. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +4 +/
Сообщение от Аноним (161), 14-Апр-25, 13:45 
Вообще то админу глубоко фиолетово сколько дней вписать в автовыписывалке... хоть 1..

и точно так же забыть где оно живёт. для раз в год поменять покупной серт автоматизации скорее всего не было никогда, соотв туда хотя бы раз в году кто то заходил.. а к роботам вообще ходить не будут.

Ответить | Правка | Наверх | Cообщить модератору

129. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (191), 14-Апр-25, 17:45 
> для раз в год поменять покупной серт автоматизации скорее всего не было никогда

Давно есть, но не у всех и не для всех. Я ещё в начале 2000х писал портянку для автоапдейта сертификатов через SOAP API у одного довольно известного в те годы УЦ. Наша система у них сертификаты автоматом запрашивала и скачивала, а они по факту счета выставляли для оплаты. Так я впервые познакомился с клиентскими сертификатами и способами их использования, а так же с тем фактом, что репутация компании таки стоит денег. Когда знакомый из другой компании тоже захотел автоматизировать сертификаты через АПИ, с их компанией разговор был весьма короток: мы вас не знаем, поэтому только по предоплате, и только вручную через веб-интерфейс, и только после ручной же валидации. Что логично, я через API мог получить серт на вообще любой домен.

Ответить | Правка | Наверх | Cообщить модератору

149. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (161), 14-Апр-25, 18:53 
то что она там есть "в принципе" не отменяет факта, что "скорее всего нет" в 99.99% случаев у тех, кто им платит.. особенно за 1 сайт раз в году. и эти, раз в году, точно не будут писать и отлаживать каких то там скриптов... 5 минут погуглить, поставить церт бот, некст некст, и всё, на годы забыть про церты вообще.. и да, в результате церт будет от ЛЕ а не от тех кому они платили до сих пор...
Ответить | Правка | Наверх | Cообщить модератору

180. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от нах. (?), 14-Апр-25, 20:12 
> Что логично, я через API мог получить серт на вообще любой домен.

боюсь это тогда не про твою репутацию, а про довольно известного УЦ. Надеюсь, это тот китайский который на подcpa4никах вылетел из доверенных в браузерах?

При этом тех кто через апи выдает сертификат только твоему домену (от которого у тебя токен) - таки еще лет пять назад было ненулевое количество.

Ответить | Правка | К родителю #129 | Наверх | Cообщить модератору

195. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (191), 14-Апр-25, 22:14 
> лет пять назад было ненулевое количество

Я про двадцать три года назад говорю. Сертификаты через API и десять лет назад не были проблемой.

Ответить | Правка | Наверх | Cообщить модератору

38. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (38), 14-Апр-25, 14:04 
shareware?
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

51. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от Аноним (49), 14-Апр-25, 14:30 
Каждое изменение в системе безопасности это риск. Если хочешь скрыть воровство - предложи переезд или реформу.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

93. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +2 +/
Сообщение от Аноним (49), 14-Апр-25, 15:48 
>Ну чтобы админчиги не расслаблялись.

Админы "не потеют" - админы автоматизируют. )

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

211. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +2 +/
Сообщение от Аноним (-), 14-Апр-25, 23:41 
>>Ну чтобы админчиги не расслаблялись.
> Админы "не потеют" - админы автоматизируют. )

А оно потом один хрен отваливается. Да еще потом не в 100% случаев и не сразу. И ждать 48 дней чтобы это узнать никто ессно не будет - так что "как сдохнет опять так и приходите". Теперь плашки о сбое TLS будут встречать вас чаще. В разы. И только.

Ответить | Правка | Наверх | Cообщить модератору

105. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +5 +/
Сообщение от Аноним (105), 14-Апр-25, 16:37 
В итоге 98-99% сайтов станут с протухшими crt. А простые пользователи все просто забьют на все эти проверки, причём по умолчанию. И получим нечто не отличающееся от нешифрованного http 90-x. Видать к этому и давят.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

115. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –5 +/
Сообщение от Аноним (115), 14-Апр-25, 17:01 
А никто не даст им забить на проверки. Что правильно.
Ответить | Правка | Наверх | Cообщить модератору

330. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (330), 17-Апр-25, 18:47 
> А никто не даст им забить на проверки. Что правильно.

Форки/патчи браузеров никто не отменял.

Ответить | Правка | Наверх | Cообщить модератору

173. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от Аноним (173), 14-Апр-25, 19:42 
> Ну наконец-то кто-то озаботился сертификатами которые живут годами.
> А потом внезапно протухают.

Они и с всякими lets encrypt протухают только в путь. И в мало-мальски большой инфре из за них постоянно что-то отпадает. Теперь отпадать будет больше и чаще.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

6. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +3 +/
Сообщение от Аноним (6), 14-Апр-25, 13:28 
т.е. уходим на LE и платники нам не нужны?
Ответить | Правка | Наверх | Cообщить модератору

41. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +2 +/
Сообщение от Аноним (41), 14-Апр-25, 14:14 
LE от такой нагрузки загнутся.
Ответить | Правка | Наверх | Cообщить модератору

64. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Pahanivo (ok), 14-Апр-25, 15:04 
Ну и какой вывод по поводу "кому это надо"? ))
Ответить | Правка | Наверх | Cообщить модератору

116. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (115), 14-Апр-25, 17:01 
От какой? Дурачков платить за воздух почти не осталось, все и так на LE.
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

150. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от Аноним (150), 14-Апр-25, 19:02 
Хотите что бы опять "Дуров, отдай ключи!"?
И да, с просроченными цертами, как бы декларируется, ничего не восстановить...
Ответить | Правка | Наверх | Cообщить модератору

266. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Молодой Смузихлёб (?), 15-Апр-25, 11:49 
Не загнутся, они в Январе наконец исправили рейтлимиты, что нагрузка на БД упала на 80%. Теперь они грозятся выпускать шестидневные сертификаты
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

7. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +8 +/
Сообщение от Аноним (7), 14-Апр-25, 13:28 
почему не 1 день?
Ответить | Правка | Наверх | Cообщить модератору

88. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +3 +/
Сообщение от Аноним (88), 14-Апр-25, 15:36 
Почему не 1 час?
Ответить | Правка | Наверх | Cообщить модератору

185. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +3 +/
Сообщение от Аноним (185), 14-Апр-25, 21:15 
почему не 1 секунда?
Ответить | Правка | Наверх | Cообщить модератору

207. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +2 +/
Сообщение от Аноним (206), 14-Апр-25, 23:11 
Уникальные ключ+сертификат на каждый запрос, же. А если запросов нет, ото всё равно перевыпускать 60 раз в секунду.
Ответить | Правка | Наверх | Cообщить модератору

263. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от n00by (ok), 15-Апр-25, 11:34 
В такой схеме ключ не нужен. И оно "не ломаемо" -- одноразовый блокнот. :) Но появляется третья сторона... любопытный, так сказать, тренд.
Ответить | Правка | Наверх | Cообщить модератору

8. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +2 +/
Сообщение от Аноним (8), 14-Апр-25, 13:31 
Вы если хотите переходите, нас только не трогайте. Сами по ситуации решим какими сертификатами нам пользоваться.
Ответить | Правка | Наверх | Cообщить модератору

10. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от Аноним (-), 14-Апр-25, 13:33 
> Вы если хотите переходите, нас только не трогайте. Сами по ситуации решим какими сертификатами нам пользоваться.

Да вас и никто не трогает.
Ребята решили для себя.
Просто не ходите на сайты которые поддерживают такие политики и все будет ок.


Ответить | Правка | Наверх | Cообщить модератору

15. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от анон (?), 14-Апр-25, 13:36 
>>Просто не ходите на сайты которые поддерживают

Из браузеров, которые поддерживают (^_^)

Ответить | Правка | Наверх | Cообщить модератору

74. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +7 +/
Сообщение от Аноним (74), 14-Апр-25, 15:16 
Браузеры пользователей будут выдавать ошибку на "слишком долгоживущие" сертификаты. Они этим решением трогают очень даже вообще всех.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

130. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (191), 14-Апр-25, 17:47 
Скажи своим пользователям, чтобы твоим браузером пользовались, делов-то. Ребята для своих браузеров решили только. В твой не полезут, не переживай.
Ответить | Правка | Наверх | Cообщить модератору

155. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (155), 14-Апр-25, 19:11 
Так ведь все браузеры их.
Ответить | Правка | Наверх | Cообщить модератору

160. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (160), 14-Апр-25, 19:21 
Ой да ладно, чтобы опеннетный программист и не написал свой браузер? Тут половина это делает даже не вставая с дивана.
Ответить | Правка | Наверх | Cообщить модератору

331. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (330), 17-Апр-25, 18:50 
Сделать форк браузера с исправленным восприятием сертификатов несложно. Даже скорее всего где-то в недрах конфига будет готовая опция.
Ответить | Правка | К родителю #155 | Наверх | Cообщить модератору

146. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +2 +/
Сообщение от _kp (ok), 14-Апр-25, 18:28 
Будут выдавать ошибку "живой сертификат". :/
Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору

190. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от Аноним (190), 14-Апр-25, 22:02 
Ну Вы как специально гумус для холивара подложили.

Решайте пожалуйста побыстрее, там с процессором, операционкой и конечно с браузером,
а то пока все форки какие-то и здесь тоже надо решать уже что-то, а то все OpenSSL шатают.

Понимаете когда-то очень давно в 1985 году кто-то решил, что ничего своего не нужно и можно в глобализацию, т.е. отказаться от своих нараоботок хотя там тоже все было очень печально, но что-то делали.

И вот уже добрые 50 лет происходит рассказываение о том что сами тут решим, а чего решим продолжаем ли пользоваться MS-Windows и MS-Office или нет?

Я понимаю если бы на этом фоне какой-то ну скажем Касперский разрабатывал там какой-нибудь KasperskyOS похожий на Widnows 95 и был таким непризнанным героем, но нет же...

Вообщем ладно.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

250. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от 1 (??), 15-Апр-25, 09:32 
Если бы в 85 ... в 1969 не хочешь ? Вот что нефть животворящая делает !.
"- Сможешь построить летучий корабль ?
- Куплю !"
И всё, вместо БЭСМ - IBM/360.
Ответить | Правка | Наверх | Cообщить модератору

264. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от n00by (ok), 15-Апр-25, 11:38 
Почему 69-й? Разве не Хрущёв привёз кукурузу, начав глобальное импортом замещение?
Ответить | Правка | Наверх | Cообщить модератору

265. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от 1 (??), 15-Апр-25, 11:41 
Потому как тогда было принято решение о переходе на технологии межделмаша. В СССР ЕС серии.
Ответить | Правка | Наверх | Cообщить модератору

269. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от n00by (ok), 15-Апр-25, 11:58 
В общем, нет противоречий, вопрос лишь "как считать". Такое решения за день не принимается, а перед тем требуется подготовить почву.
Ответить | Правка | Наверх | Cообщить модератору

332. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (330), 17-Апр-25, 18:52 
Нет. Кукуруза была своя.
Ответить | Правка | К родителю #264 | Наверх | Cообщить модератору

277. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от нах. (?), 15-Апр-25, 15:50 
Внезапно, старик Лебедев - и в гроб сходя - благословил.

Видимо прекрасно сам понимая, что с наколеночным клоном CDC (который еще и "ой, нипалуцилась")  тягаться с промышленной разработкой совершенно бессмысленно.

И если партия требует летучий корапь - надо просто куп... э, нет, сп-ть у проклятых буржуев!

(И причем бы тут нефть, если ее за ЕС ни одной капли не заплачено, всю сами вылакали.)

Ответить | Правка | К родителю #250 | Наверх | Cообщить модератору

311. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от n00by (ok), 16-Апр-25, 09:47 
В Википедиях пишут, что был противником.
Ответить | Правка | Наверх | Cообщить модератору

9. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –7 +/
Сообщение от Аноним (9), 14-Апр-25, 13:33 
Если такое случится, это вызовет всплеск альтернативных браузеров: Palemoon, Librewolf, etc.
Firefox прямая дорога в /dev/null
Ответить | Правка | Наверх | Cообщить модератору

17. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +3 +/
Сообщение от Аноним (-), 14-Апр-25, 13:39 
> Если такое случится, это вызовет всплеск альтернативных браузеров: Palemoon, Librewolf, etc.

Это уже случилось - решение принято.
Будет некий переходной период с сокращением сроков.

> Firefox прямая дорога в /dev/null

Тогда за ним сразу пойдут паравозом все либервульфы, паленки и прочие паразиты.
А новые не появятся тк это надо код писать, а не только удалять.

Ответить | Правка | Наверх | Cообщить модератору

27. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +2 +/
Сообщение от Аноним (-), 14-Апр-25, 13:48 
> Если такое случится, это вызовет всплеск
> альтернативных браузеров: Palemoon, Librewolf, etc.

С чего вдруг?
Как раз у васянных браузеров начнутся проблемы что сайты не открываются.
У них и сейчас с этим не все хорошо, а станет вообще жесть.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

33. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Ivan_83 (ok), 14-Апр-25, 13:58 
Это не так, они просто не будут это зименение к себе затаскивать и показывать идиотскую ошибку.
Ответить | Правка | Наверх | Cообщить модератору

57. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (5), 14-Апр-25, 14:50 
Когда вместо ошибки подсунут отказ в соединении - взвоют .
Ответить | Правка | Наверх | Cообщить модератору

94. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +3 +/
Сообщение от Ivan_83 (ok), 14-Апр-25, 15:52 
Кто им подсунет отказ в соединении то?
Вы вообще поняли как это работает?

Есть вебсервер с сертификатом на 100 лет.
Есть веб браузер который подключается к этому серверу и проверяет у себя сертификат.

Теперь вот эти "Ч"удаки решили добавить в браузер проверку чтобы сертификат имел ограниченный срок действия и если оно превышает лимит то браузер будет показывать "ошибку".

Я написал что достаточно отломать это со стороны браузера чтобы продолжить нормальную жизнь.
Куда вы там собрались подсовывать отказ в соединении?


Учтите что это только для браузеров, я даже не уверен что супер "Ч"удаки из мозиллы засунут это в nss вместо браузера.
А уж другие пейсатели криптолиб и подавно не станут в свои реализации такое пихать, потому что TLS есть и в других местах, в том числе корпоративных инфраструктурах.

Ответить | Правка | Наверх | Cообщить модератору

117. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от Аноним (5), 14-Апр-25, 17:03 
Забываете что соединение двустороннее и запросто перекроют краник не понимающему сертификат браузеру . Пока нет из за лишнего шума , но уже явная "забота о безопасности" готовится . Про "быстрее внедрять новые криптоалгоритмы" прямо сказано .
Ответить | Правка | Наверх | Cообщить модератору

126. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +3 +/
Сообщение от Аноним (126), 14-Апр-25, 17:40 
Кто перекроет? Сайт, которому это ограничение не интересно, или браузер, который это ограничение не проверяет? Вы вообще поняли что написали?
Ответить | Правка | Наверх | Cообщить модератору

186. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от Ivan_83 (ok), 14-Апр-25, 21:45 
Идите подучите матчасть.
Ответить | Правка | К родителю #117 | Наверх | Cообщить модератору

229. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (-), 15-Апр-25, 04:12 
> Теперь вот эти "Ч"удаки решили добавить в браузер проверку чтобы сертификат имел
> ограниченный срок действия и если оно превышает лимит то браузер будет
> показывать "ошибку".
> Я написал что достаточно отломать это со стороны браузера чтобы продолжить нормальную жизнь.

Да, и еще раздать всем пользователям правильный браузер. С точки зрения админа того сервака. Мелочи какие, гуглю подвинуть с пьедестала. И прочие мазилы. Этих то даже реально пожалуй, но вот гугл сделает из вас лого хрома не хуже чем из эмблемки офиса и винды.

Ответить | Правка | К родителю #94 | Наверх | Cообщить модератору

334. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (330), 17-Апр-25, 19:13 
> Мелочи какие, гуглю подвинуть с пьедестала. И прочие мазилы. Этих то даже реально пожалуй, но вот гугл сделает из вас лого хрома не хуже чем из эмблемки офиса и винды.

Если слишком много сайтов перестанут открываться, то гугля с мозиллой еще как подвинутся.

Это как в некоторой другой стране технология из трех букв нафиг никому, кроме админов, не нужна была, даже не слышали о ней, а как слишком много сайтов просто так перестали быть доступны, так даже домохозяйки узнали.

Ответить | Правка | Наверх | Cообщить модератору

44. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (49), 14-Апр-25, 14:16 
Это как? У меня есть открытый ключ долгодействующего сертификата. Что помешает мне доверять ему долго? Только содержание этого сайта. Честный браузер лишь посредник.
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

77. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (161), 14-Апр-25, 15:20 
А зачем ? Это в первую очередь коснётся ЦА, тоесть если ЦА вдруг сегодня там воздержался, а потом, вдруг, решит продолжить выписывать длинные сертификаты, то он просто останется без клиентов, ибо в массовых браузерах его сертификаты перестанут работать.

А самоподписанных и сейчас 13 мес не касается, и скорее всего и дальше ну будет 47 дней касаться. Ставите свой ЦА, выписываете на нём 2-х летний серт и продолжаете пользоваться уже сейчас, хоть к сафари хоть в хроме без всякой пересборки и СМС.

Ответить | Правка | Наверх | Cообщить модератору

85. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (49), 14-Апр-25, 15:32 
Ответ выл в контексте: если "васянские" (скорректированные) не будут признавать этот сговор, то сайты с длинными сертификатами они не смогут открывать. Есть сайт с длинным сертификатом, есть посредник (скорректированный на признание длинных сертификатов). Что в этой цепочке не работает?  
Ответить | Правка | Наверх | Cообщить модератору

100. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от Аноним (161), 14-Апр-25, 16:03 
Вам негде взять сертификат выписанный валидным пулиичным ЦА со сроком дольше оговоренного "уважаемымми людьми". Они их просто не выписывают таких. Если их на таком поймают, то они запросто поедут вслад за Симантиком. Свой самоподписанный вам никто не запрещал и не запрещает хоть на 100 лет выписывать, но работать он будет только у вас (ну и кому вы еще впарите свой приватный ЦА).
Ответить | Правка | Наверх | Cообщить модератору

189. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (49), 14-Апр-25, 21:56 
>решит продолжить выписывать длинные сертификаты, то он просто останется без клиентов, ибо в массовых браузерах его сертификаты перестанут работать
>Вам негде взять сертификат выписанный валидным пулиичным ЦА со сроком дольше оговоренного "уважаемымми людьми". Они их просто не выписывают таких.

Вы уж определитесь с предположениями. То найдутся такие, то не найдутся, потому что иначе заговорщики их "расстреляют".

Ответить | Правка | Наверх | Cообщить модератору

224. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (206), 15-Апр-25, 01:43 
В предыдущие разы, когда то макс. сроки снижали до 1 года, то СТ делали обязательным, не нашлось среди СА Дартаньянов желающих писать против ветра. Есть подозрение, что и сейчас не найдётся, ибо чревато изгнанием из Рая. Чьи в лесу шишки им там давно известно. Поэтому, "если" - это был такой пример вне реальности. И не будет в природе сертификатов от публичных ЦА к следующему марту, превышающих 250 дней. К августу все ЦА поправят свои выписывалки в соответствии с новыми веяниями.  Поэтому крики, что браузер надо срочно патчить или валить на какой то другой, они смысла не имеют.
Ответить | Правка | Наверх | Cообщить модератору

335. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (330), 17-Апр-25, 19:23 
> В предыдущие разы, когда то макс. сроки снижали до 1 года, то СТ делали обязательным, не нашлось среди СА Дартаньянов желающих писать против ветра. Есть подозрение, что и сейчас не найдётся, ибо чревато изгнанием из Рая.

Есть же российские сертификаты сайтов, сами сайты и браузеры (Яндекс-браузер, Chromium-GOST, может еще что) для доступа к таким сайтам, которые вне этой системы находятся.  Пока это все сильно локальное и мало кому нужное, но если те, чьи в лесу шишки, чересчур надоедят всем, то Web вполне и разделиться может - прецедент посылания на мпх шишковладельцев уже есть.  

Ответить | Правка | Наверх | Cообщить модератору

31. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Ivan_83 (ok), 14-Апр-25, 13:57 
Не, тем кто собирает с сисходников достаточно будет пропатчить немного перед сборкой :)
Я себе ФФ давно уже так патчю.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

68. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (68), 14-Апр-25, 15:08 
>патчю

колпачекю

Ответить | Правка | Наверх | Cообщить модератору

178. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –3 +/
Сообщение от Аноним (178), 14-Апр-25, 19:52 
>Я себе ФФ давно уже так патчю.

А потом ты проснулся и вспомнил, что у нищих сборочных ферм не бывает. А не-нищие интегрированы в элиту и весь этот беспредел поддерживают.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

188. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от Ivan_83 (ok), 14-Апр-25, 21:47 
Пока что фф собирается минут за 20 а хромиум часа за 4-6, на придушенном по частоте и -8 потоков проце 5950x.
Даже на коредуба фф можно собрать часов за шесть, ИМХО.
Каждый день собирать не надо, можно раз в месяц или реже.
Ответить | Правка | Наверх | Cообщить модератору

205. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (205), 14-Апр-25, 22:59 
>Даже на коредуба фф можно собрать часов за шесть, ИМХО.

Не хватит памяти. А 6 часов на "коре дуба" у меня юзерспейс OpenWRT собирался, без ядра.

Ответить | Правка | Наверх | Cообщить модератору

222. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Ivan_83 (ok), 15-Апр-25, 01:19 
Чёй то не хватит!?
8гб для ддр2 или 16гб для ддр3 + своп.
Для ФФ более чем, для хромиума с натягом и свопом.
Ответить | Правка | Наверх | Cообщить модератору

283. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (283), 15-Апр-25, 17:09 
И собирать в один поток, а нето уйдёт в вечный своп
Ответить | Правка | Наверх | Cообщить модератору

294. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Ivan_83 (ok), 15-Апр-25, 20:26 
Кому вы это рассказываете!?
Я до 2018 года сидел на коредуо на десктопе и собирал это всё.
Хромиум тогда легче заметно был, но всё же.
ФФ кажется с тех пор не шибко растолстел.
Ответить | Правка | Наверх | Cообщить модератору

40. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (40), 14-Апр-25, 14:11 
Спасибо, посмеялся.

У этих палемуно-либрявуфов нет вообще бюджетов добавлять что-то своё новое в код, поэтому если фокс всё, эти все форки засохнут автоматически.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

198. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –2 +/
Сообщение от Омнонном (?), 14-Апр-25, 22:26 
Какие бюджеты, овен? Бюджеты нужны для распила бабла, для добавления ф-кальных фич, которые скармливают скоту как "своё новое" достаточно шимпанзе. И овнов, которые это глотают.
Ответить | Правка | Наверх | Cообщить модератору

314. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от blkkid (?), 16-Апр-25, 11:46 
разработчики питаются фотосинтезом, я так понимаю?
Ответить | Правка | Наверх | Cообщить модератору

336. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (330), 17-Апр-25, 19:27 
Для отключения маразма с сертами достаточно, чтобы компилировать слегка пропатченное свое. Большой бюджет тут не нужен, это даже один человек не сильно напрягаясь может потянуть.
Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

60. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Nastey93 (ok), 14-Апр-25, 14:57 
Пара негодующих на фоне обычных пользователей погоды не сделает, а для обычных пользователей ничего не изменится
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

104. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +3 +/
Сообщение от Аноним (104), 14-Апр-25, 16:37 
А толку? Тут теория игр. Выбирай:

1. ты прогибаешься и твой сайт открывается у скота
2. твой сайт открывается только у альтернативно одарённых с альтернативными браузерами

Choose wisely. И угадай, кого все владельцы сайтов выберут.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

193. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (190), 14-Апр-25, 22:06 
Все просто выберут то что будет решать поставленную задачу. В гос секторе даже никто думать не будет FireFox или Yandex Browser с альтернативной базой CA.

Просто одним утром произойдет умирание и забывание компаний, которые так долго выходили на рынки где все эти Facebook, Instagram и прочее?

Все это заменили чем-то или в ближайшее время заменят если уж совсем сложэно станет.

Ответить | Правка | Наверх | Cообщить модератору

184. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от BrainFucker (ok), 14-Апр-25, 20:51 
> Если такое случится, это вызовет всплеск альтернативных браузеров: Palemoon, Librewolf, etc.

Не вызовет. Мало кто будет устанавливать альтернативный браузер из-за того что у них в Хроме не открылся ваш любительский сайт.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

333. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (333), 17-Апр-25, 18:56 
> не открылся ваш любительский сайт

А зачем он на него заходил? Если сайт ему нужен то конечно он поставит и будет пользоваться, если не нужен то и обсуждать нечего.

Ответить | Правка | Наверх | Cообщить модератору

337. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от BrainFucker (ok), 20-Апр-25, 10:04 
А откуда он может знать нужен или нет, он по ссылке перешёл. Чтобы понять что сайт нужный, нужно получить к нему доступ и посмотреть содержимое.
Ответить | Правка | Наверх | Cообщить модератору

12. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +5 +/
Сообщение от Аноним (161), 14-Апр-25, 13:34 
как замена роботом раз в час сертификата "позволит быстрее внедрять новые криптоалгоритмы" ?

натянуть сову на глобус оно поможет.

Ответить | Правка | Наверх | Cообщить модератору

21. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от нитгитлистер (?), 14-Апр-25, 13:42 
не вызовет вообще ни разу ни когда тут даже шамана не прокси. всплеск ПО (любого) вызывается деньгами а не болтологией.
Ответить | Правка | Наверх | Cообщить модератору

22. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от нитгитлистер (?), 14-Апр-25, 13:45 
прошу прощения сайт глюкнул коммент предназначался посту выше
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

16. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от aga (?), 14-Апр-25, 13:36 
это получается для вебмаккак (для меня в том числе) для разделенных фронтендов чтобы избегать CORS тоже придется обновлять серты?
Ответить | Правка | Наверх | Cообщить модератору

19. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –1 +/
Сообщение от Аноним (19), 14-Апр-25, 13:41 
47 дней норм, у нас на горизонте другие проблемы.
https://www.interfax.ru/digital/1017951
Ответить | Правка | Наверх | Cообщить модератору

34. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –1 +/
Сообщение от Аноним (5), 14-Апр-25, 13:58 
А когда все хостеры на ECH перейдут - рубильник выключат . И так в местном траффике доля старых протоколов в 5+ раз взлетела после наезда на клауд (плюс доля незашифрованного в 2 раза) .
Ответить | Правка | Наверх | Cообщить модератору

199. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от Омнонном (?), 14-Апр-25, 22:27 
CF сам по себе проблема. Причём не только у нас, а у всех нас (у тех кто там тоже)
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

242. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от нах. (?), 15-Апр-25, 08:45 
> CF сам по себе проблема. Причём не только у нас, а у всех нас (у тех кто там тоже)

использую CF для обхода блокировок. Тех, которые _там_ а не РКНовских.
(а что они подглядывают в трафик - так это... они и так в него подглядывают)

Ответить | Правка | Наверх | Cообщить модератору

112. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –1 +/
Сообщение от нах. (?), 14-Апр-25, 16:49 
для всего что в браузере хоть как-то появляется - да (то есть для любых фронтендов - да)

длинные сертификаты можно использовать только там, где кроме нодыжс никто на них не посмотрит (но и это неточно, потому что код-то ctrl-c/ctrl-v из хромонога)

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

156. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –1 +/
Сообщение от penetrator (?), 14-Апр-25, 19:13 
а что такое "разделенные фронты и CORS" и причем тут сертификаты

ты хостишь одно приложение на разных доменах? ну так если бы нет, то все равно обновить для одного домена пришлось бы раз в n дней

что-то я не понимаю вебмакаk логику, объясните мне кто-нибудь

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

24. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (24), 14-Апр-25, 13:45 
ух как один браузер вертит всеми на конце
Ответить | Правка | Наверх | Cообщить модератору

28. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –1 +/
Сообщение от Аноним (-), 14-Апр-25, 13:50 
>  ух как один браузер вертит всеми на конце

Там первые в списке ябло с сафари.
Который по сути монопольный на ios, а все остально огрызки над вебвью.
Так что не нужно гнать на гугл, там все хороши.

Ответить | Правка | Наверх | Cообщить модератору

113. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от нах. (?), 14-Апр-25, 16:50 
> Там первые в списке ябло с сафари.

Вообще-то они последние. Они дважды топили инициативу запрета коротких сертификатов, но, видимо, в конце-концов получили предложение, от которого невозможно отказаться.

Ответить | Правка | Наверх | Cообщить модератору

134. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (191), 14-Апр-25, 17:53 
Всё было куда проще, им предложили самостоятельно тащить весь OCSP, за себя и за того парня. В Эппле посчитали сколько это будет стоить и решили, что действительно не так уж и плохо короткие сертификаты.
Ответить | Правка | Наверх | Cообщить модератору

147. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +2 +/
Сообщение от Аноним (161), 14-Апр-25, 18:30 
Ну сафарям то как раз должно быть не очень важно, а вот чё так строем сказали "да" коммерческие ЦА, не ясно. понято же, что если сертификат не раз в год, а раз в месяц менять, то даже самый тупой админ пойдёт искать пути автоматизации, и найдёт скорее всего церт бот и ЛЕ, а не неясно как у того, кому он по 1000$ в год относил до сего дня (даже если у тех есть своё чтото для автоматизации, то это не вот то, что в каждом утюге в примерах в мануале приложено, даже если цертбот и этого умеет, то это же надо конфиг поправить, а уж если нет, то будет ой.).

ну и масс хостеры тоже пострадают, клиенты массово переедут к тем, кто из коробки умеют ЛЕ (а в случае если тот хостер не на 10 клиентов, то ему придётся таки денег в ЛЕ нести, чтобы массово церты автоматом на хостинг выписывать, лимиты на халяву там есть)

Ответить | Правка | К родителю #113 | Наверх | Cообщить модератору

148. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от нах. (?), 14-Апр-25, 18:53 
> Ну сафарям то как раз должно быть не очень важно, а вот чё так строем сказали "да"
> коммерческие ЦА, не ясно

курочка по зернышку клюет. Автоматизация коммерческого перевыпуска тоже вполне возможна - некоторые из них давно уже и acme умеют тоже. (просто с авторизацией, а не "дай любой email")

> ну и масс хостеры тоже пострадают

narod.ru давно немодно. У массхостеров хостятся владельцы полноценных доменов, а не пятого уровня. А на них никаких лимитов нет. И они давно уже тоже автоматизировались - этих-то вот никому и не было жалко.

Ответить | Правка | Наверх | Cообщить модератору

152. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (161), 14-Апр-25, 19:08 
Но лимиты там не только на домен... и хостеры тянущие на 1 ип 100500 мелких лендингов через мышевозякание есть. и лимит у ЛЕ есть и на ИП откуда идут запросы, тоже. И на 1 акаунт есть.. понятно что если у вас ВПСки, то изнури ВПСки оно может выписываться самим клиентом, но это не всем подходит. Как минимум комуто придётся чтото колхозить, чтобы вписаться в лимиты и выписывать церты клиентам. Особенно нашим хостерам, тут заплатить, на данном этапе, не то, что жаба душит, а не очень деньги ходят напрямую. особенно елси это единстенный платёж за пределы страны.надо искать маршруты.
А с народом как раз просто всё, 1 раз выписывается *.народ.ру и все под ним и живут. тут если надо принять много клиентских доменов и плотно упхать по ИП, без оплаты в сторону ЛЕ, то возникают проблемы.
Ответить | Правка | Наверх | Cообщить модератору

165. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –5 +/
Сообщение от Аноним (160), 14-Апр-25, 19:28 
Как бы тебе объяснить… Понимаешь, проблемы каких-то там лендингов — это только их собственные проблемы. Захостить лендинг стоит $0.0/мес.+домен. Для этого достаточно не жить в стране-изгое и иметь валидную кредитную карту. У тебя на лендинге столько трафика нет, чтобы он хотя бы в $1 обошёлся. Классические хостеры мертвы, просто не все это ещё осознали.
Ответить | Правка | Наверх | Cообщить модератору

29. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (29), 14-Апр-25, 13:51 
Ну так это самый свободный и открытый браузер.
Помню как Сообщество™ на овно исходило и гнобило IE.
Писали письма в поддержку и тд.

Ну чтошъ, кушайте щв06одьку полной ложкой))

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

162. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (24), 14-Апр-25, 19:24 
какой толк от ваших однодневных сертификатов, когда корневые лежат по 5 лет?
Ответить | Правка | Наверх | Cообщить модератору

218. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от безразницы (?), 15-Апр-25, 01:11 
вы не путайте, это другое, это кого надо сертификаты по пять лет
Ответить | Правка | Наверх | Cообщить модератору

284. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (24), 15-Апр-25, 17:13 
> вы не путайте, это другое, это кого надо

ровно тех, кому вы доверили "свою безопасТность"

Ответить | Правка | Наверх | Cообщить модератору

30. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (19), 14-Апр-25, 13:56 
https://www.opennet.dev/opennews/art.shtml?num=62906
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

197. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (190), 14-Апр-25, 22:16 
Вы так говорите как будто альтернативу не сделают за пару часов.
Сейчас такое время, что импортозаместят и передадут на поддержку какому-нибудь Сберу и будет свой срепный браузер с традиционными ценностями, а за разработку Google скажут спасибо. И тут же в Google уволят 1000 программистов, которые с удовольствием вернуться и продолжат разрабатывать Google Chrome как бы он теперь не назывался.

Как показывает практика с Nginx вполне рабочая схема. Более того я даже думаю, что многие вопросы не решаемые годами начнут наконец-то решать ...

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

213. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (24), 15-Апр-25, 00:18 
> Как показывает практика с Nginx вполне рабочая схема.

кек, его все меньше и меньше используют, застыл. И задачи которые он решал, сейчас не актуальны.

Ответить | Правка | Наверх | Cообщить модератору

32. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +5 +/
Сообщение от Аноним (32), 14-Апр-25, 13:57 
>GoDaddy

Скамеры выпускают сертификаты, дожили. Это дискредитация всей идеи.

Ответить | Правка | Наверх | Cообщить модератору

35. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Ivan_83 (ok), 14-Апр-25, 13:59 
Я только недавно себе выпустил самоподсной серт до 2051 года, вертел я их всех с их хотелкалками.
Ответить | Правка | Наверх | Cообщить модератору

37. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +2 +/
Сообщение от Аноним (37), 14-Апр-25, 14:02 
интернет Вам не доверяет, а доверяет лишь вон тем...
Ответить | Правка | Наверх | Cообщить модератору

214. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (190), 15-Апр-25, 00:22 
Я тем не доверяю, а Ивану можно доверять, но если только буду знать кто он такой и откуда появился. Может он такой же как те... которым нельзя доверять...
Ответить | Правка | Наверх | Cообщить модератору

52. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +2 +/
Сообщение от User (??), 14-Апр-25, 14:31 
Можете общаться с котом совершенно безопасно, да!
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

253. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от 1 (??), 15-Апр-25, 09:40 
Это надо ещё проверить, какой у него сертификат ...
Ответить | Правка | Наверх | Cообщить модератору

261. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от User (??), 15-Апр-25, 11:12 
> Это надо ещё проверить, какой у него сертификат ...

Хвост-и-усы у него - что тут еще проверять? А серту криптана он доверяет... пока миска полная.

Ответить | Правка | Наверх | Cообщить модератору

55. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –1 +/
Сообщение от Аноним (-), 14-Апр-25, 14:46 
Что помешает им след шагом отказывать в доступе от самоподписанных сертификатов?
И повертреть тебя)?
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

99. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Ivan_83 (ok), 14-Апр-25, 15:58 
Они бы с радостью и http тоже бы за копали с радостью, только никакого другого бутстрапа и прочего для всяких девайсов не предусмотрено.

И опять же, это приведёт только к тому что меинтейнеры добавят патчи которые этот функционал уберут.

Ответить | Правка | Наверх | Cообщить модератору

136. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +2 +/
Сообщение от нах. (?), 14-Апр-25, 17:56 
> И опять же, это приведёт только к тому что меинтейнеры добавят патчи которые этот
> функционал уберут.

ох эти виликие майнтейнеры, которым море переплюнуть как делать нефига!

Как там с rss, ftp, manifest v2 ? Майнтейнеры уже победили, особенно вот первое? (архисложнейшая ж задача - имея встроенный парсер xml, который из браузера никуда не делся)

Ответить | Правка | Наверх | Cообщить модератору

219. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Ivan_83 (ok), 15-Апр-25, 01:15 
Пожалуй ты прав, но по другой причине :)
Тот же ФФ обязывает меинтейнеров не менять ничего там или отказатся от названия+лого, поэтому все эти "меинтейнеры" фактически просто форкнули браузеры и теперь это всякие либревульфы и прочие кромите.

А касательно "rss, ftp, manifest v2" - а кому оно надо?
Я RSS пробовал лет 15 назад и как то не срослось.
FTP - понадобился за последние 10 лет ровно один раз - конфиг в железку поправить.
Манифест - опять же мимо меня пролетело как то.

Ответить | Правка | Наверх | Cообщить модератору

243. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от нах. (?), 15-Апр-25, 08:51 
> Тот же ФФ обязывает меинтейнеров не менять ничего там или отказатся от названия+лого,
> поэтому все эти "меинтейнеры" фактически просто форкнули

практически все кроме шерстяного как раз поменяли название и лого.

В остальном, кроме пары _измененных_ (т.е. сделанных не ими) настроек - не отличаются ничем. А шерстяной просто хронически не в состоянии в одиночку гнаться за современным вебом, который еще и намеренно пакостят так чтобы он почти не мог работать на немодном браузере.

> А касательно "rss, ftp, manifest v2" - а кому оно надо?

вот и с твоими сертами так будет - "я пробовал 15 лет назад, что-то не впечатлило - сейчас ведь у всех однодневные, зачем мне это еще и где-то патчить хз где"

Разумеется оно никому не надо, поскольку браузерами не открывается. А пока открывалось - было везде. Файлы, прикинь, раздавали протоколом предназначенным именно для потоковой отдачи огромных бинарников, а не гипертекста с парой картинок. Не надо было пицот раз обновлять главную сайта чтобы увидеть, поменялось там чего или нет - достаточно было глянуть букмарки. Ну и рекламой теперь можешь наслаждаться в полный рост.


Ответить | Правка | Наверх | Cообщить модератору

288. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Ivan_83 (ok), 15-Апр-25, 17:29 
Да уж, даже с ФФ обычным бывает не работает или глючит.
Мне уже пришлось дорасти до "хакинга" - удалять отдельные DOM через консоль ФФ чтобы оно местами работало.

Насчёт меня и однодневных - наверное к этому и придёт. )

Ну вот кому ты про FTP рассказываешь?)
Для обычного юзера он как раз часто был проблемной штукой чтобы просто скачать, ибо там какой то непонятный пассивный режим нужно было чтобы оно работало и бывало ещё какие то ALG в роутерах и прочая магия. Тогда как по хттп оно просто качалось всегда без проблем.
С точки зрения протокола - они оба текстовые с возможностью передачи бинарных данных.
И основная фишка FTP это возможность скопировать файл между двумя хостами оставатья на третьем хосте. Но я никогда этим не пользовался ибо когда FTP был - у меня не было никаких хостов за пределами домашней сетки, а теперь есть ssh+scp/rsync делающий примерно тоже самое.
И файлы по ftp я буквально пару раз заливал куда то.
По хорошему FTP мог бы жить, если бы МС не пыталось сделать корявый WebDAV и умело монтировать FTP как диск.


В RSS вроде тоже умудрялись пихать рекламу. Я рекламу на unbound вырезаю (яндекс пришлос целиком вырезать :) ).

Ответить | Правка | Наверх | Cообщить модератору

65. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от супер утка (?), 14-Апр-25, 15:05 
А они вертели тебя.
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

70. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +2 +/
Сообщение от Pahanivo (ok), 14-Апр-25, 15:09 
Ога, теперь на своём уютном сайтеге предлагай установить всем еще и свой самопальный рут ...
без которого толку от твоего самоподписного чуть меньше, чем нифига.
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

91. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –4 +/
Сообщение от Аноним (49), 14-Апр-25, 15:42 
Блогер с миллионной аудиторией может это сделать.
Ответить | Правка | Наверх | Cообщить модератору

132. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +5 +/
Сообщение от нах. (?), 14-Апр-25, 17:52 
> Блогер с миллионной аудиторией может это сделать.

нет, потому что у миллионной аудитории - лапки.
Останется с тремя нердами и одной тульпой. Нердов на самом деле было шесть, но у троих шапочка из фольги запрещает установку чужих сертификатов или нажать кнопку "ок, я лучше тебя знаю"

Ответить | Правка | Наверх | Cообщить модератору

237. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –1 +/
Сообщение от Аноним (237), 15-Апр-25, 08:11 
Это пять!
Убил на повал ;)
Ответить | Правка | Наверх | Cообщить модератору

97. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Ivan_83 (ok), 14-Апр-25, 15:55 
Ходите ко мне по http, сертификат для своих=домашних.
Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

133. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от нах. (?), 14-Апр-25, 17:53 
Я надеюсь, сертификат на другом ip и другом домене?
А то модный-современный браузер все равно, даже при явном указании протокола, полезет по https, напорется на невалидный сертификат и не факт что покажет что-то кроме пустой белой страницы с двумя строчками неведомой xepни.

Ответить | Правка | Наверх | Cообщить модератору

220. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Ivan_83 (ok), 15-Апр-25, 01:16 
На том же, я ж дома хостюсь на dyndns и целей зохватить весь мир у меня нет.
Ответить | Правка | Наверх | Cообщить модератору

238. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +2 +/
Сообщение от Аноним (237), 15-Апр-25, 08:14 
Так и запишем, планов по порабощению Мира не имеет! ;)
Ответить | Правка | Наверх | Cообщить модератору

244. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от нах. (?), 15-Апр-25, 08:54 
ну вот мне пришлось отказаться от поддержки не-https сайта. Потому что т-порылые браузеры лезли по протоколу который явно им сказано было не использовать, напарывались не на то что ожидали и ой... пустая белая страница с двумя строчками неведомой фигни и без кнопки продолжить.

Ответить | Правка | К родителю #220 | Наверх | Cообщить модератору

316. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Pahanivo (ok), 16-Апр-25, 12:30 
> ну вот мне пришлось отказаться от поддержки не-https сайта. Потому что т-порылые
> браузеры лезли по протоколу который явно им сказано было не использовать,
> напарывались не на то что ожидали и ой... пустая белая страница
> с двумя строчками неведомой фигни и без кнопки продолжить.

Мда, особенно бесит когда строишь реверс прокси через какой-нибудь клодфллаер и переключаешь режимы для проверки ... то кеш мозги трахает, то браузгер лезет куда не просят ...

Ответить | Правка | Наверх | Cообщить модератору

320. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (37), 17-Апр-25, 09:16 
http в броузерах скоро тоже запретят

и если кто не понял- кто выпускает сертификаты, тот владеет интернетом

Ответить | Правка | К родителю #97 | Наверх | Cообщить модератору

87. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (283), 14-Апр-25, 15:35 
Осталось только как то понять, что этот сертификат действительно ваш, а не mitm-а
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

96. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от Ivan_83 (ok), 14-Апр-25, 15:55 
Я их дома пинню к девайсам, а остальным мои сертификаты не нужны, для вас и обычного http хватит.
Но я не запрещаю посторонним ходить по мне по https, так что хотите принимайте - хотите нет, mitm не моя проблема, мой сайтег не предоставляет регистрацию/авторизацию, только ознакомительный просмотр.
Ответить | Правка | Наверх | Cообщить модератору

168. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (160), 14-Апр-25, 19:31 
> только ознакомительный просмот

Да и смотреть там особо нечего, так что никто и не ходит.

Ответить | Правка | Наверх | Cообщить модератору

221. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Ivan_83 (ok), 15-Апр-25, 01:16 
Так и есть :)
Ответить | Правка | Наверх | Cообщить модератору

236. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Имя (?), 15-Апр-25, 07:53 
> обычного http хватит

Мне вот не хватило.
Авторы броузеров принудительно блокируют часть фич в случае обычного http.
Например, нельзя в буфер обмена текст закинуть, если у вас не https.
https://developer.mozilla.org/en-US/docs/Web/API/Clipboard/w...

Ответить | Правка | К родителю #96 | Наверх | Cообщить модератору

245. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от нах. (?), 15-Апр-25, 09:09 
А нельзя как-нибудь сделать чтобы и по https тоже никто не лазил в буфер?

Когда мне понадобится что-то скопировать - я обойдусь без их помощи.

(и разумеется, да, сама идея что https дает индульгенцию от всего - совершенно бредовая)

Ответить | Правка | Наверх | Cообщить модератору

114. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от нах. (?), 14-Апр-25, 16:52 
дык а толку от него теперь, когда Браузер будет показывать вместо твоего сайта пустое белое окно с парой строчек бессмысленной xepни и без кнопки "продолжить"? Они именно так это сделают.


Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

231. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от Аноним (-), 15-Апр-25, 04:20 
> Я только недавно себе выпустил самоподсной серт до 2051 года, вертел я
> их всех с их хотелкалками.

Осталось только пользователям правилльные браузеры "от ивана" раздать чтобы они на это не бухтели.

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

36. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (37), 14-Апр-25, 14:01 
Сертификаты минцифры ж так не будут?
Ответить | Правка | Наверх | Cообщить модератору

47. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +2 +/
Сообщение от Аноним (47), 14-Апр-25, 14:24 
Коенчно, нет. Они же самые надёжные.
Ответить | Правка | Наверх | Cообщить модератору

76. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Pahanivo (ok), 14-Апр-25, 15:19 
> Сертификаты минцифры ж так не будут?

Так же не будут, умножай цену минимум на 2 ...
Они же скрепные, тут понимать надо!

Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

128. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (128), 14-Апр-25, 17:41 
хотя если срок будет в 10 раз короче и платить надо будет в 10 раз чаще...

то про два раза у минцифры это какое-то пугание ежа...

Ответить | Правка | Наверх | Cообщить модератору

215. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (190), 15-Апр-25, 00:23 
Странно, а я вот наоборот вижу, что цены в 10 раз дешевле.
Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

232. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (232), 15-Апр-25, 05:12 
они разве платные?
Ответить | Правка | Наверх | Cообщить модератору

39. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от Аноним (49), 14-Апр-25, 14:11 
Ещё один шаг в направлении вытеснения человека из его жизни. Приближает манипулирование интернетом.
Пока будет выдавать ошибку. Какой следующий шаг? Не открывать? Налицо "закрепление себя в процессе". Если раньше "на поклон" приходилось ходить раз в год, то в будущем - раз в месяц. Матрица атакует.
Ответить | Правка | Наверх | Cообщить модератору

42. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –1 +/
Сообщение от Аноним (19), 14-Апр-25, 14:14 
>Какой следующий шаг?

Белые списки:
https://rkn.gov.ru/press/news/news74921.htm

Ответить | Правка | Наверх | Cообщить модератору

71. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от Аноним (49), 14-Апр-25, 15:12 
Зачем смешивать доверие протоколу шифрования и посредничество между сайтом и посетителем этого сайта?
Ответить | Правка | Наверх | Cообщить модератору

73. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –1 +/
Сообщение от Аноним (49), 14-Апр-25, 15:14 
Речь идет о протоколах шифрования VPN
Ответить | Правка | Наверх | Cообщить модератору

63. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +3 +/
Сообщение от Аноним (63), 14-Апр-25, 15:04 
Раньше ошибки сертификата можно было игнорировать нажатием кнопки, теперь кнопку убрали.
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

125. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (47), 14-Апр-25, 17:40 
В каком браузере?  А то при заходе в Сбер Falkon'ом возможность игнорировать имеется.
Ответить | Правка | Наверх | Cообщить модератору

204. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –1 +/
Сообщение от Аноним (205), 14-Апр-25, 22:54 
Falkon - не браузер.
Ответить | Правка | Наверх | Cообщить модератору

43. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +2 +/
Сообщение от OpenEcho (?), 14-Апр-25, 14:15 
> Кроме того, короткодействующие сертификаты станут стимулом для внедрения автоматических систем управления сертификатами, избавленными от человеческого фактора.

Одну проблему заменяют другой проблемой, можно подумать что автоматические системы святы, не ломаемы, без багов и вообще без факторов...

Ответить | Правка | Наверх | Cообщить модератору

170. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (160), 14-Апр-25, 19:33 
10 лет существования LE наглядно показывают, что скрипт лажает на порядки реже по сравнению с человеками.
Ответить | Правка | Наверх | Cообщить модератору

208. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от OpenEcho (?), 14-Апр-25, 23:16 
> 10 лет существования LE наглядно показывают, что скрипт лажает на порядки реже
> по сравнению с человеками.

И как это поможет овнеру если система скомпроментированна ?
Автомат в таком случае поможет только атакующему, т.к.  админ будет наивно верить что "все на автомате", а то самый скрипт в бэкграунде оказывается уже и не совсем тот cert-manager/lego/dehydrated, а засланный казачок... да даже не трогая целостность обновилки, вредный трафик будет теперь под надежным зашифрованном соединении.

Вся эта пляска с сертификатами исключительно - контроль за интернетом, а не переживание за клиентские коннекты где кроме банков основной трафик про кошечек, мат, пранки и который и так на всех парах шарится между всеми без секретов.

Ответить | Правка | Наверх | Cообщить модератору

262. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –1 +/
Сообщение от User (??), 15-Апр-25, 11:29 
>> 10 лет существования LE наглядно показывают, что скрипт лажает на порядки реже
>> по сравнению с человеками.
> И как это поможет овнеру если система скомпроментированна ?

SSL защищает не _владельца ресурса_, а преимущественно _пользователей_ если что. Причем не только от "утечки plain-text password'а при передаче" - но и от подстановки всякоего жыеса ин-зе-миддл, ну и вопрос доверия тудой-сюдой обеспечивает. Фиговенько конечно - но оно в распределенной недоверенной среде вообще товар дефицитный.
Плюс - "компроментация" воооовсе не основной источник проблем при использования СыСыЕля. Вот такого чтоб кто-йто сертификат спер и ин-зе-миддл устроил я за 25+ лет работы по тырдырпрайсам если честно ни разу не видел - а чтоб из за просроченного серта система той или иной степени критичности в неудобосказуемую позу свернулась - два\три раза в год наблюдаю.

> Автомат в таком случае поможет только атакующему, т.к.  админ будет наивно
> верить что "все на автомате", а то самый скрипт в бэкграунде
> оказывается уже и не совсем тот cert-manager/lego/dehydrated, а засланный казачок... да
> даже не трогая целостность обновилки, вредный трафик будет теперь под надежным
> зашифрованном соединении.

Модель угроз разная. Утечка серта путем тыринга увольняющимся Одмином не детектируется никак, а активный интрудер - вполне себе следы оставляет.
Ну и да, повторюсь - лично мне основной профит скорее в том, чтобы не понадобилось ИБ в очередной раз доказывать, что ACME+SCEP организации таки нужен, и что "лист замены сертификатов" в исполнительной документации конечной системы нихрена их не заменяет


> Вся эта пляска с сертификатами исключительно - контроль за интернетом, а не
> переживание за клиентские коннекты где кроме банков основной трафик про кошечек,
> мат, пранки и который и так на всех парах шарится между
> всеми без секретов.

Модель угроз, ага. Вам провайдер рекламу в трафик не пихал? Ну вот по тому в последнее время и не, что http в дикой природе считай что и не осталось.

Ответить | Правка | Наверх | Cообщить модератору

274. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +2 +/
Сообщение от Pahanivo (ok), 15-Апр-25, 14:11 
> SSL защищает не _владельца ресурса_, а преимущественно _пользователей_ если что. Причем
> не только от "утечки plain-text password'а при передаче" - но и
> от подстановки всякоего жыеса ин-зе-миддл, ну и вопрос доверия тудой-сюдой обеспечивает.

Защищает от кого - вот в чем вопрос, от скрипткидов и мамкиных кулхацкеров - не более. Когда любой CA, чей корень у тебя в систему прописан может выписать любой серт - это так себе защита на уровне "от гос-ва". Зря что ли распихиваются везде корни от всякой минцифры и т.п., т.е. подконтрольные гос-ву CA. Попробуй хоть маленько задуматься хоть маленько - защита это, или таки контроль. Нельзя же быть таким тепленьким.

Ответить | Правка | Наверх | Cообщить модератору

275. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –2 +/
Сообщение от User (??), 15-Апр-25, 14:57 
>> SSL защищает не _владельца ресурса_, а преимущественно _пользователей_ если что. Причем
>> не только от "утечки plain-text password'а при передаче" - но и
>> от подстановки всякоего жыеса ин-зе-миддл, ну и вопрос доверия тудой-сюдой обеспечивает.
> Защищает от кого - вот в чем вопрос, от скрипткидов и мамкиных
> кулхацкеров - не более. Когда любой CA, чей корень у тебя
> в систему прописан может выписать любой серт - это так себе
> защита на уровне "от гос-ва". Зря что ли распихиваются везде корни
> от всякой минцифры и т.п., т.е. подконтрольные гос-ву CA. Попробуй хоть
> маленько задуматься хоть маленько - защита это, или таки контроль. Нельзя
> же быть таким тепленьким.

Ну вот в диапазоне между первыми и последними есть мно-ооого кого еще - от сотрудников провайдеров до работников датацентров, включая хитровымудренных любителей физического подключения к оборудованию в подъезде и разворачивателей free wifi в общественных местах.
Вот на гос-во (Особенно не родное) в этом контексте мне больмень все равно (И ему на меня плевать, ага) - а вот на прочих-равных уже и не очень: - но у вас в плаще-и-шляпе может быть другая.

Ответить | Правка | Наверх | Cообщить модератору

278. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от pavel_simple. (?), 15-Апр-25, 15:54 
>[оверквотинг удален]
>> маленько задуматься хоть маленько - защита это, или таки контроль. Нельзя
>> же быть таким тепленьким.
> Ну вот в диапазоне между первыми и последними есть мно-ооого кого еще
> - от сотрудников провайдеров до работников датацентров, включая хитровымудренных любителей
> физического подключения к оборудованию в подъезде и разворачивателей free wifi в
> общественных местах.
> Вот на гос-во (Особенно не родное) в этом контексте мне больмень все
> равно (И ему на меня плевать, ага) - а вот на
> прочих-равных уже и не очень: - но у вас в плаще-и-шляпе
> может быть другая.

тебе чел говорит, что были ca, которые раздавили первому попавшемуся рутовые серты, без разница какое там государство посередине если _каждый_ умудряется встать посередине

Ответить | Правка | Наверх | Cообщить модератору

279. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от User (??), 15-Апр-25, 16:13 
>[оверквотинг удален]
>> Ну вот в диапазоне между первыми и последними есть мно-ооого кого еще
>> - от сотрудников провайдеров до работников датацентров, включая хитровымудренных любителей
>> физического подключения к оборудованию в подъезде и разворачивателей free wifi в
>> общественных местах.
>> Вот на гос-во (Особенно не родное) в этом контексте мне больмень все
>> равно (И ему на меня плевать, ага) - а вот на
>> прочих-равных уже и не очень: - но у вас в плаще-и-шляпе
>> может быть другая.
> тебе чел говорит, что были ca, которые раздавили первому попавшемуся рутовые серты,
> без разница какое там государство посередине если _каждый_ умудряется встать посередине

Ну, не "первому попавшемуся", а крупным производителям железок, продаваемым крупным же тырдырпрайзам - и да, этих CA у вас в системе скорее всего уже нет. Так же как и CA минцифры у меня - не доверяем CA сталбыть не ставим его рутовый серт. Что не так-то?

Ответить | Правка | Наверх | Cообщить модератору

308. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от pavel_simple. (?), 16-Апр-25, 08:10 
>[оверквотинг удален]
>>> равно (И ему на меня плевать, ага) - а вот на
>>> прочих-равных уже и не очень: - но у вас в плаще-и-шляпе
>>> может быть другая.
>> тебе чел говорит, что были ca, которые раздавили первому попавшемуся рутовые серты,
>> без разница какое там государство посередине если _каждый_ умудряется встать посередине
> Ну, не "первому попавшемуся", а крупным производителям железок, продаваемым крупным же
> тырдырпрайзам - и да, этих CA у вас в системе скорее
> всего уже нет. Так же как и CA минцифры у меня
> - не доверяем CA сталбыть не ставим его рутовый серт. Что
> не так-то?

всё так, кроме того что сама система порочна изначально

Ответить | Правка | Наверх | Cообщить модератору

310. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от User (??), 16-Апр-25, 08:20 
> всё так, кроме того что сама система порочна изначально

Оу. Так с этим, в общем-то _здесь_ никто особо и не спорит. Ибо "жизнь такова, какова она есть и больше никакова"(С)


Ответить | Правка | Наверх | Cообщить модератору

315. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Pahanivo (ok), 16-Апр-25, 12:26 
> Ну, не "первому попавшемуся", а крупным производителям железок, продаваемым крупным же
> тырдырпрайзам - и да, этих CA у вас в системе скорее
> всего уже нет. Так же как и CA минцифры у меня
> - не доверяем CA сталбыть не ставим его рутовый серт. Что
> не так-то?

Нука нука расскажи как среднестатистическому хомяку погрохать руты на своем розовеньком смартфончике с андроидом на борту ...

Ответить | Правка | К родителю #279 | Наверх | Cообщить модератору

317. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от User (??), 16-Апр-25, 12:54 
>> Ну, не "первому попавшемуся", а крупным производителям железок, продаваемым крупным же
>> тырдырпрайзам - и да, этих CA у вас в системе скорее
>> всего уже нет. Так же как и CA минцифры у меня
>> - не доверяем CA сталбыть не ставим его рутовый серт. Что
>> не так-то?
> Нука нука расскажи как среднестатистическому хомяку погрохать руты на своем розовеньком
> смартфончике с андроидом на борту ...

Ну, у меня на гнусмасе - настройки - безопасность и конфиденциальность - другие настройки безопасности - сертификаты безопасности - там галками, а что?

Ответить | Правка | Наверх | Cообщить модератору

276. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от OpenEcho (?), 15-Апр-25, 15:13 
> SSL защищает не _владельца ресурса_, а преимущественно _пользователей_ если что.

Т.е., если ресурс скомпроментирован и гонит чухню через не протухший сертификат - это защита пользователей ?

> но и от подстановки всякоего жыеса ин-зе-миддл,

Вот это и есть одна из целей единоличных правителей мира сего, чтоб все было под единым их контролем, а то ишь, какие-то там Казахстаны решили свой собсвенный СА внедрить. Они ведь святые! Не то что там всякие бобики мелкие


> ну и вопрос доверия тудой-сюдой обеспечивает.

Т.е. можно смело доверять "честным" СА находящимся под контролем всего нескольких стран ? А ничего, что "100%-ой честности" не было нигде и никогда. Ничего что уже полностью взяли управу полностью над браузерами и теперь подкручивают под них СА - только одна маленькая группа "сильных мира сего"?

> Вот такого чтоб кто-йто сертификат спер и ин-зе-миддл устроил я за 25+ лет работы по тырдырпрайсам если честно ни разу не видел

Странно... не слышали за 25+ лет про компроментации в ДигиНотар, СтартКом, Комодо, ТуркТруст, CNNIC, Симантик (и все кто под ним ВериСайн, ГеоТраст,РапидССЛ)

Про ваши тырдырпрайсы не знаю, но знаю такие случаи у других

> просроченного серта система той или иной степени критичности в неудобосказуемую позу свернулась

Так то надежная обратня связь, хелсчек по технически :) При условии что СА не скопроментирован, шифрование от этого не хромает, так как единственное что тригерится - просрочка, но подписанты те же, ничего не поменялось, все зашифрованно и так же на самом деле надежно, а обломившиеся клиенты "автоматом" пришлют тикеты :)

>  что ACME+SCEP организации таки нужен

Так никто и не спорит, что надо. Просто сжатие верификации до одного месяца будет тригерить как миниум раз в месяц коротенький даунтайм пока серваки рестартуют чтоб применить новый сертификат и быть готовым к тому, что кто-то внес "простенькое" изменение в конфиги и "забыл" верифицировать со всеми вытекающими даунтаймами и уже не короткими.

Все это делается чтоб отсечь не угодные и облажавшиеся СА, а не забота про конечные серваки по всему миру, ну и автоматический health-check работающих ресурсов, чтоб обновлять ИИ только актуальными данными и убирать из говорилки старьё


>  Вам провайдер рекламу в трафик не пихал?

Все верно, зачем много гопников, всё должно быть поделенно на "раёны" и принадлежать только нескольким крутым паханам

> что http в дикой природе считай что и не осталось.

Ну да, подрулили так, что теперь смартнутые девопсы даже в пределах локалхоста гоняют IPC через хттпс

Ответить | Правка | К родителю #262 | Наверх | Cообщить модератору

281. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от User (??), 15-Апр-25, 16:22 
>> SSL защищает не _владельца ресурса_, а преимущественно _пользователей_ если что.
> Т.е., если ресурс скомпроментирован и гонит чухню через не протухший сертификат -
> это защита пользователей ?

Да-да, от гопников в подворотне они ТОЖЕ не защищают. Выкинуть, срочно выкинуть!
"Модель угроз" и "модель нарушителя" - КЛЮЧЕВЫЕ вещи в ИБ. Без понимания "от чего" и "от кого" мы хотим защититься - все остальное бессмысленно.

>> но и от подстановки всякоего жыеса ин-зе-миддл,
> Вот это и есть одна из целей единоличных правителей мира сего, чтоб
> все было под единым их контролем, а то ишь, какие-то там
> Казахстаны решили свой собсвенный СА внедрить. Они ведь святые! Не то
> что там всякие бобики мелкие

Ну вот и не доверяют ни минцифре ни казахстанскому CA примерно никто, кроме тех, кого "доверять" заставляют под угрозой "отключим газ!". И да, от этой угрозы SSL ТОЖЕ не защищает!

>> ну и вопрос доверия тудой-сюдой обеспечивает.
> Т.е. можно смело доверять "честным" СА находящимся под контролем всего нескольких стран
> ? А ничего, что "100%-ой честности" не было нигде и никогда.

0\100 - почти всегда ложная дихотомия.

> Ничего что уже полностью взяли управу полностью над браузерами и теперь
> подкручивают под них СА - только одна маленькая группа "сильных мира
> сего"?

Конечно ничего. Альтернативы - хуже. Нет, вы можете конечно попробвать еще раз уеб-оф-труст-бу-жпж, но вангую что снова не взлетит.

>> Вот такого чтоб кто-йто сертификат спер и ин-зе-миддл устроил я за 25+ лет работы по тырдырпрайсам если честно ни разу не видел
> Странно... не слышали за 25+ лет про компроментации в ДигиНотар, СтартКом, Комодо,
> ТуркТруст, CNNIC, Симантик (и все кто под ним ВериСайн, ГеоТраст,РапидССЛ)
> Про ваши тырдырпрайсы не знаю, но знаю такие случаи у других

Я в них не работал. А вот в газпромах-лукойлах-сибурах-суэках-тплюсах - не, не слышал.

>> просроченного серта система той или иной степени критичности в неудобосказуемую позу свернулась
> Так то надежная обратня связь, хелсчек по технически :) При условии что
> СА не скопроментирован, шифрование от этого не хромает, так как единственное
> что тригерится - просрочка, но подписанты те же, ничего не поменялось,
> все зашифрованно и так же на самом деле надежно, а обломившиеся
> клиенты "автоматом" пришлют тикеты :)

Да-да, только ИБ сплошь и рядом verify full просит и на ПСИ провеяет - а так ничего, да. Где-то, наверное, не просит - там "и та-аа-ак сойдет!"

>>  что ACME+SCEP организации таки нужен
> Так никто и не спорит, что надо. Просто сжатие верификации до одного
> месяца будет тригерить как миниум раз в месяц коротенький даунтайм пока
> серваки рестартуют чтоб применить новый сертификат и быть готовым к тому,
> что кто-то внес "простенькое" изменение в конфиги и "забыл" верифицировать со
> всеми вытекающими даунтаймами и уже не короткими.

Ухтыж. Разве что в совсем уж легасях - тех, кто принципиально не умеет без перезагрузки не так, чтобы много осталось, да и они в реальной жизни уже по куче реплик размотаны, так что тоже не критично. Т.е. конечно всегда найдется "нитакусик" - но он и сейчас находится: "Я сертификат поменял, а про перезагрузить не написано - год назад Вася делал, он уволился..."

> Все это делается чтоб отсечь не угодные и облажавшиеся СА, а не
> забота про конечные серваки по всему миру, ну и автоматический health-check
> работающих ресурсов, чтоб обновлять ИИ только актуальными данными и убирать из
> говорилки старьё

Да-да, конечно.

>>  Вам провайдер рекламу в трафик не пихал?
> Все верно, зачем много гопников, всё должно быть поделенно на "раёны" и
> принадлежать только нескольким крутым паханам

Угу. Лучше платить налоги, чем общаться с кучей гопников, все правильно. К этому и пришли.

>> что http в дикой природе считай что и не осталось.
> Ну да, подрулили так, что теперь смартнутые девопсы даже в пределах локалхоста
> гоняют IPC через хттпс

Ну, я через wireguard стараюсь - но выходит не всегда. Ибэ бывает удивительно поибэ...

Ответить | Правка | Наверх | Cообщить модератору

45. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (45), 14-Апр-25, 14:17 
Про SAN сертификаты написали, а что про wildcard септификаты?
Ответить | Правка | Наверх | Cообщить модератору

48. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (47), 14-Апр-25, 14:25 
Удостоверящие Цетры тоже хотят кушать. Кушать чаше и больше.
Ответить | Правка | Наверх | Cообщить модератору

53. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (49), 14-Апр-25, 14:38 
У машины обслуживания мира кризис управления. )
Ответить | Правка | Наверх | Cообщить модератору

54. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (5), 14-Апр-25, 14:46 
А серты ведь не только раздавать , но и проверять и отзывать надо . Мало им хром наспамил в своё время - ничему не научились .
Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

84. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (84), 14-Апр-25, 15:31 
Вот чтоб всем этим не заниматься их и делаю короткоживущими. Пока вся бюрократия провернётся он уже и сам того.
Ответить | Правка | Наверх | Cообщить модератору

56. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (56), 14-Апр-25, 14:47 
>с марта 2029 года - до 47 дней.

Ну, так до этого еще дожить нужно. Одни обещают Скайнет и ядерную войну в 2029, другие - метеорит и прочие "интересные события".

Ответить | Правка | Наверх | Cообщить модератору

62. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от Аноним (62), 14-Апр-25, 15:02 
Смотря на то, как бурно нейросети развиваются, вероятность скайнета через 4 года уже совсем не нулевая.
Ответить | Правка | Наверх | Cообщить модератору

107. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –1 +/
Сообщение от Аноним (104), 14-Апр-25, 16:41 
Пожайлуйста, поскорее. Я про скайнет и ядерную войну. Ибо лучше сдохнуть в радиоактивный пепел, чем Новый Мировой Порядок.
Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

196. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (196), 14-Апр-25, 22:15 
Нет уж!

DRM в каждый процессор и ПО! "Подписка" на воду (по аналогии с мобильными операторами за интернет).
Также плата за использование кириллицу родственниками Кирилла и Мефодия... И не забудьте заплатить тому автору, которому вы "вдохновились" чтобы написать ваш комментарий.
(Здесь должна быть около скрытая контекстная реклама.)

Ответить | Правка | Наверх | Cообщить модератору

271. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от Молодой Смузихлёб (?), 15-Апр-25, 12:17 
> "Подписка" на воду

Ты уже её платишь, это называется "коммунальные услуги"

Ответить | Правка | Наверх | Cообщить модератору

61. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (61), 14-Апр-25, 15:02 
Разумеется, корпорастия хочет, чтобы вы ПОСТОЯННО шлялись в сети - полный контроль за хомячками. А не будешь выходить в сеть - протухнет сертификат! Всё просто.
Ответить | Правка | Наверх | Cообщить модератору

95. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (-), 14-Апр-25, 15:54 
> А не будешь выходить в сеть - протухнет сертификат! Всё просто.

Ты всегда пожешь принести свежих сертификатов на дискетке.
И все у тебя будет работать :)

Ответить | Правка | Наверх | Cообщить модератору

67. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +7 +/
Сообщение от Аноним (61), 14-Апр-25, 15:08 
Может тогда ну его к монаху, этот httpS ? Просто перейдём обратно на HTTP. Много ли сайтов, где у вас прям до зарезу нужна зашифрованность?? Просто придурки натолкали везде TLS, будто сраные статейки не прочесть без шифров.
Ответить | Правка | Наверх | Cообщить модератору

75. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от Аноним (19), 14-Апр-25, 15:17 
https://opennet.ru/52444-spam
Ответить | Правка | Наверх | Cообщить модератору

79. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от Аноним (79), 14-Апр-25, 15:24 
Его браузеры скоро перестанут открывать)
Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

81. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (-), 14-Апр-25, 15:26 
> Может тогда ну его к монаху, этот httpS ? Просто перейдём обратно на HTTP.

А если у сайта просто не будет https версии?

> Много ли сайтов, где у вас прям до зарезу нужна зашифрованность?

Это уже создатель сайта сам решит.

> Просто придурки натолкали везде TLS, будто сраные статейки не прочесть без шифров.

А это от очень зависит)
Например если там что-то про воров и жуликов, или о том что "система прогнила и только полностью менять" то за статейку можно получить статейку.

Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

82. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +3 +/
Сообщение от Аноним (74), 14-Апр-25, 15:28 
Вы уже отключили в своём браузере поддержку js и css? Да даже в html много приколов можно натворить. Вы просто кажется забыли (или не знали), как охотно ваш провайдер побежит встраивать вам в трафик самую разную рекламу прямо в тело сайта и подменять ссылки на рефералки.
Шифрование и аутентификация нужны. Просто, походу, скоро придёт разделение на тех, кто нихрена не понимает и башляет бабки за воздух этим гоудядям, и тех, кто каждый сайт начнёт как в ssh добавлять в белый список при первом подключении.
Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

90. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +3 +/
Сообщение от Аноним (84), 14-Апр-25, 15:40 
Они и сейчас это делают если очень сильно хотят. В основном мобильные операторы. Ещё и десять всплывающих окон на каждом партнёрском сайте для имитации ручной верификации платных подписок. Отписок и подписок по кругу. Благо сейчас их с этим немного прижали.
Ответить | Правка | Наверх | Cообщить модератору

202. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Омнонном (?), 14-Апр-25, 22:38 
Кстати, забавно, что это не подпадает УК РФ 272-273 (не видел дел), хотя статьи именно это и описывают.
Ответить | Правка | Наверх | Cообщить модератору

83. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (83), 14-Апр-25, 15:28 
Было бы здравым, чтобы было http, https и https+. Последний - с подписанным сертификатом, если кому-то нужно, а предпоследний - просто шифрованный; этого вполне многим было бы достаточно. Нешифрованный совсем - слишком уж голо... Однако лепить в одно - и доверие к сертификационным центрам, и шифрование данных - может оказаться черезмерным и нарушает свободу человека на ограниченную безопасность, если его таковая устраивает.
Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

98. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +3 +/
Сообщение от fidoman (ok), 14-Апр-25, 15:57 
Можно https-dane
Ответить | Правка | Наверх | Cообщить модератору

249. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от Tron is Whistling (?), 15-Апр-25, 09:29 
DANE завязан на DNSSEC, который ещё хуже, чем сертификаты со сроком жизни в 10 дней.
Ответить | Правка | Наверх | Cообщить модератору

179. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (83), 14-Апр-25, 20:05 
Кое-что не до конца продумано. Такой https получается весьма уязвимым для активных атак, в которых злоумышленник может построить свой фиктивный сервис. В качестве альтернативы в голову приходит пока что только обмен ключами между пользователями.
Ответить | Правка | К родителю #83 | Наверх | Cообщить модератору

86. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (283), 14-Апр-25, 15:33 
>Много ли сайтов, где у вас прям до зарезу нужна зашифрованность??

Абсолютно все. В противном случае будет mitm, и самым лучшим последствием будет встраивание рекламы.

Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

108. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от ФСБКН (?), 14-Апр-25, 16:44 
>Может тогда ну его к монаху, этот http

Да, пожалуйста, перейдите поскорее. Нам как раз нужен на вас полный компромат, на каждого.

Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

92. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –1 +/
Сообщение от Аноним (9), 14-Апр-25, 15:42 
Удивительно, что в этом CA/Browser Forum не оказалось Let's Encrypt, у которых TTL сертификатов 90 дней. Я так понимаю, что срок 47 дней сделан в пику Let's Encrypt - коммерческие СА счеты сводят.
Ответить | Правка | Наверх | Cообщить модератору

102. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (161), 14-Апр-25, 16:07 
поинтересуйтесь кто у ЛЕ родители.... они тут были. за него не переживайте.
Ответить | Правка | Наверх | Cообщить модератору

110. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (19), 14-Апр-25, 16:47 
https://en.wikipedia.org/wiki/Internet_Security_Research_Group
Ответить | Правка | Наверх | Cообщить модератору

216. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от fuggy (ok), 15-Апр-25, 00:25 
То-то они жаловались что нет сил больше поддерживать OCSP. А тут раз в месяц новые сертификаты генерировать.
Ответить | Правка | К родителю #102 | Наверх | Cообщить модератору

225. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –1 +/
Сообщение от Аноним (206), 15-Апр-25, 01:48 
ну раз в месяц подписывать явно дешевле, чем каждый день по 100 раз за час отвечать на OCSP. Я так понимаю они заранее знали, что оно так обернётся и это был один из этапов по подготовке.
Ответить | Правка | Наверх | Cообщить модератору

296. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от нах. (?), 15-Апр-25, 21:04 
подписывалка у них (да и у всех) упирается в ОДИН сильно безопастный ящик, потому что у сертификатов есть серийник.
И они давно уже просили беспокоить их пореже, и даже какие-то костыли в свой кривой скрипт на эту тему впиндюрили, чтоб не раз в час, а хотя бы раз в неделю приходил.

А отвечать на ocsp - можно с хоть мильена коробочек, да еще и кэширующих.

Но, видимо, уважаемые их очень-очень попросили, и они взяли под козырек. А не будут брать - отключат газ.

Ответить | Правка | Наверх | Cообщить модератору

106. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +2 +/
Сообщение от Аноним (106), 14-Апр-25, 16:39 
Упс, отвалятся все старые принтеры и другие устройства, в которых эти сертификаты защиты и без танцев с бубнами их не обновить.
Ответить | Правка | Наверх | Cообщить модератору

109. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (104), 14-Апр-25, 16:45 
Не корневые сертификаты, а конечные.
Ответить | Правка | Наверх | Cообщить модератору

111. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (283), 14-Апр-25, 16:48 
>Предполагается, что генерация короткодействующих сертификатов позволит быстрее внедрять новые криптоалгоритмы в случае выявления уязвимостей в ныне действующих, а также сократит угрозы безопасности.

С учётом огромного парка оборудования, порой китайского, неподдерживаемого уже в момент поступления на склад, уязвимости никуда не денутся. А люди просто перестанут обращать на это внимание. Мало ли умельцев в своё время отключали обновления той же винды?

Ответить | Правка | Наверх | Cообщить модератору

119. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (119), 14-Апр-25, 17:10 
Смотрю эту страницу с 15 летнего телефона. Верстка в порядке, на сертификат уже ругается.
Ответить | Правка | Наверх | Cообщить модератору

143. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от Аноним (-), 14-Апр-25, 18:14 
Почему 47? Не 45, не 50, а именно 47 - что это за число такое?
Ответить | Правка | Наверх | Cообщить модератору

203. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от RM (ok), 14-Апр-25, 22:39 
как вариант - потому что простое (prime)
Ответить | Правка | Наверх | Cообщить модератору

223. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от Анонимemail (223), 15-Апр-25, 01:24 
47 х 60 х 60 х 24 = 4060800
Ответить | Правка | К родителю #143 | Наверх | Cообщить модератору

272. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (-), 15-Апр-25, 13:24 
И что это такое?
Ответить | Правка | Наверх | Cообщить модератору

144. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –1 +/
Сообщение от анонон (?), 14-Апр-25, 18:16 
Одобряю, может админы в моей конторе наконец-то научатся обновлять сертификаты автоматически
Ответить | Правка | Наверх | Cообщить модератору

145. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (145), 14-Апр-25, 18:23 
Я что-то всё ещё не вижу, как это помогает безопасности. Ухудшает только - все забьют. У кого-то часто уводят прям сертификаты вместе с доменом "совершенно случайно" чтобы сделать митм?
Ответить | Правка | Наверх | Cообщить модератору

151. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Анонимemail (151), 14-Апр-25, 19:03 
Иб...лись ?
каждые два месяца покупать новый серт и заливать его на сервисы
они предсатавляют сколько это волокиты и работы в финтех компаниях ?
Ответить | Правка | Наверх | Cообщить модератору

153. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (-), 14-Апр-25, 19:09 
> каждые два месяца покупать новый серт и заливать его на сервисы

не покупать, а перегенерировать

> они предсатавляют сколько это волокиты и работы в финтех компаниях ?

Это запуск скрипта по крону, какая волокита?

Ответить | Правка | Наверх | Cообщить модератору

182. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –1 +/
Сообщение от нах. (?), 14-Апр-25, 20:17 
и любой, добравшийся до этого скрипта - получает автоматический доступ ко всему трафику.

Здорово-то как!

И да, у финтеха принято было _покупать_. В том числе и потому, что кое-где еще остался пининг.

Ответить | Правка | Наверх | Cообщить модератору

183. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (62), 14-Апр-25, 20:33 
Почему новости о подобном треше исходят постоянно от веб компаний?
В мире полно других стандартов и отраслей, но они присосались гадить именно в эту.
Ответить | Правка | Наверх | Cообщить модератору

239. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от нейм (?), 15-Апр-25, 08:20 
пусть лучше в одной, чем в всех сразу
проще будет альтернативу найти
Ответить | Правка | Наверх | Cообщить модератору

187. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (187), 14-Апр-25, 21:46 
это плохо или хорошо?
Ответить | Правка | Наверх | Cообщить модератору

192. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (196), 14-Апр-25, 22:06 
> "позволит быстрее внедрять новые криптоалгоритмы"

Это DRM

Ответить | Правка | Наверх | Cообщить модератору

201. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (201), 14-Апр-25, 22:34 
>в случае незаметной утечки сертификата в результате взлома

Скажите им кто-нибудь, что сертификаты в норме публично доступны. Компрометируется ключ, который системы обновления сертификатов не факт, что каждый раз меняют. Т.е. там же, где был уведен ключ, можно будет забрать свежий сертификат.

Ответить | Правка | Наверх | Cообщить модератору

212. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от нах. (?), 14-Апр-25, 23:58 
Не говори, а то с них станется начать ТРЕБОВАТЬ смены ключа. От этого поломается очень много тонких мест, и pkp далеко не единственное из них. Где проверяется вроде бы сертификат, но на самом деле проверяется ключ.

Ответить | Правка | Наверх | Cообщить модератору

240. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от нейм (?), 15-Апр-25, 08:22 
Не не, пусть требуют, пусть писаки это продвинут и пусть это хорошенько так пестанетца. Чтобы по всем постмортемам пролетела ссылка на решение и списки контор инициаторов
Ответить | Правка | Наверх | Cообщить модератору

246. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от нах. (?), 15-Апр-25, 09:12 
вон список в самом верху. Легче тебе стало?

Ответить | Правка | Наверх | Cообщить модератору

228. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (-), 15-Апр-25, 03:31 
> Компрометируется ключ

На этом и приехали. И часто компрометируется?

Ответить | Правка | К родителю #201 | Наверх | Cообщить модератору

217. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от anonymous (??), 15-Апр-25, 01:11 
А что мешает просто в настройках браузера для конкретного сайта поставить "игнорировать устаревание сертификата"?
Ответить | Правка | Наверх | Cообщить модератору

226. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от Аноним (206), 15-Апр-25, 02:03 
Дkя какого сайта вы это будете делать, если сейчас все публичные ЦА дружно возьмут под козырёк и поменяют политику выдачи сертификатов, так что все валидные сертификаты к 15 марта 2026 года будут удовлетворять новым условиям ?
Ответить | Правка | Наверх | Cообщить модератору

235. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от anonymous (??), 15-Апр-25, 07:36 
Ну написано в сертификате: выдан в июне, годен до июля. Но что мешает конечному пользователю игнорировать "до" и продолжать им пользоваться и после июля?
Ответить | Правка | Наверх | Cообщить модератору

260. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (260), 15-Апр-25, 11:08 
Сейчас везде https и браузер тебе мозги съест, "вы зашли на не доверенный сайт и теперь нажмите 100500 кнопок, чтоб действительно на него зайти". В гугло браузере по-моему уже нельзя внести сайт в доверенные, надо эту галиматью постоянно выбирать, во всяком случае, когда с ноута жены вхожу на роутер, там нет сохранялки.
Ответить | Правка | Наверх | Cообщить модератору

241. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от нейм (?), 15-Апр-25, 08:23 
Есть предположение что галку тоже уберут.
Ответить | Правка | К родителю #217 | Наверх | Cообщить модератору

256. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –2 +/
Сообщение от anonymous (??), 15-Апр-25, 10:00 
Это же опенсорс. Никто не мешает прикрутить галку обратно.
Ответить | Правка | Наверх | Cообщить модератору

230. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от iCat (ok), 15-Апр-25, 04:16 
Ну, похоже на то, что приближается эпоха новых инструментов, обеспечивающих безопасный шифрованный трафик без ЦА.
Ответить | Правка | Наверх | Cообщить модератору

233. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –1 +/
Сообщение от Аноним (233), 15-Апр-25, 06:13 
Не понял. Центры сертификации никто не отменял, просто время жизни уменьшили, и на то есть веские основания.
Ответить | Правка | Наверх | Cообщить модератору

248. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от Tron is Whistling (?), 15-Апр-25, 09:23 
При сроке жизни серта в 10 дней CA превращается в нехилую точку отказа.
Ответить | Правка | Наверх | Cообщить модератору

267. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от n00by (ok), 15-Апр-25, 11:55 
А что бы противостоять ддосу, начнут генерировать сертификат на каждый запрос. :)
Ответить | Правка | Наверх | Cообщить модератору

286. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (24), 15-Апр-25, 17:22 
> При сроке жизни серта в 10 дней CA превращается в нехилую точку отказа.

генерируешь пачку сертификатов на целый месяц (на день 1 сертификат) и заверяешь одним обращением, тут в случае хоть выхода из строя твоего CA на месяц, сервис твой не отвалится.

А при компрометации, пихаешь все будущие (на целый месяц) сертификаты в CRL или OCSP.

Ответить | Правка | К родителю #248 | Наверх | Cообщить модератору

287. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Tron is Whistling (?), 15-Апр-25, 17:29 
Уху, а CA тебе даст так сгенерировать?
Ответить | Правка | Наверх | Cообщить модератору

290. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (24), 15-Апр-25, 18:23 
> Уху, а CA тебе даст так сгенерировать?

ну тогда пусть дает 100% гарантии доступности когда необходимо будет заверить очередной сертификат.

Ответить | Правка | Наверх | Cообщить модератору

293. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (24), 15-Апр-25, 18:33 
> Уху, а CA тебе даст так сгенерировать?

а что теряет СА, конечно даст, ибо это разумное решение при уменьшении срока действительности сертификата до 1 дня. В одном условно CSR запросе, выдает заверенные однодневные сертификаты на месяц вперед.

Ответить | Правка | К родителю #287 | Наверх | Cообщить модератору

300. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Tron is Whistling (?), 15-Апр-25, 21:08 
CA обычно не дают генерить пачку сертов на один и тот же ресурс, предыдущие отзываются.
Можно конечно сделать так, как я делаю с шиткриптом - я меняю список доменов в SAN...
Ответить | Правка | Наверх | Cообщить модератору

301. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (24), 15-Апр-25, 22:05 
> CA обычно не дают генерить пачку сертов на один и тот же ресурс, предыдущие отзываются.

а где это регламентируется, что нельзя, мол у одного доменного имени должен быть один сертификат? Не вижу причин, что бы такое не допускать.

> Можно конечно сделать так, как я делаю с шиткриптом - я меняю список доменов в SAN...

В смысле "я меняю список доменов в SAN..."? порядок?

Ответить | Правка | Наверх | Cообщить модератору

324. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Tron is Whistling (?), 17-Апр-25, 13:46 
Список. Туда один, сюда один. У меня этих SAN вагон и тележка, и в каждом по сотне доменов.
Ответить | Правка | Наверх | Cообщить модератору

247. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от Tron is Whistling (?), 15-Апр-25, 09:22 
Рехнулись что-ли? Как их обновлять-то?
Окей, самоподписные можно и нагенерить.
Ответить | Правка | Наверх | Cообщить модератору

252. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +2 +/
Сообщение от Tron is Whistling (?), 15-Апр-25, 09:39 
Не, ну окей, совсем уж внешние на балансерах пусть будут, пофиг, балансеры можно и пнуть раз в неделю. Если только УЦ загнётся под нагрузкой или будет заддошен - ну окей, выпишем у двух-трёх УЦ.

Но вот инфру было удобно держать на всё тех же пабликах DNS и сертах SAN. Короче к 2029 инфру придётся вернуть на разделённый DNS и самоподписные серты.

Ответить | Правка | Наверх | Cообщить модератору

254. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Tron is Whistling (?), 15-Апр-25, 09:41 
Девляпсы, привыкшие просто нафигачить с любого уголка мира в скриптах mgmt.resource.company.xyz, сунуть ему свой RSA-ключ и попасть в управлялку - будут выть волком, придётся и скрипты через VPN гонять, и ключ компанейского ЦА в браузере иметь.
Ответить | Правка | Наверх | Cообщить модератору

295. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от нах. (?), 15-Апр-25, 21:01 
> ключ компанейского ЦА в браузере иметь.

бесполезно, на них и охота. Ишь, завели себе моду, сами себе выдавать сертификаты сроком на пять лет!

Пустая белая страница тебе вместо сайта!

Еще и будешь придумывать, как тебе впиндюрить на свой внутренний CA acme протокол и автоматическую раздачу сертификатов кому попало.
Или плюнешь, разотрешь, и пойдешь сдаваться летшиткрипту - даже с внутренних систем инфры, которым вообще строго настрого запрещено иметь хоть какую-то связь наружу.

Ответить | Правка | Наверх | Cообщить модератору

270. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от User (??), 15-Апр-25, 12:02 
> Рехнулись что-ли? Как их обновлять-то?
> Окей, самоподписные можно и нагенерить.

Таки ж автоматом - через SCEP\ACME, не? Оно ж затем и делается, чтоб любители делать ЭТО руками наконец-то задолбались и сдались :).

Ответить | Правка | К родителю #247 | Наверх | Cообщить модератору

289. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от Tron is Whistling (?), 15-Апр-25, 17:29 
> Таки ж автоматом - через SCEP\ACME, не?

И вот это легло у вендора или он под DDoS попал - что делать дальше?


Ответить | Правка | Наверх | Cообщить модератору

292. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –1 +/
Сообщение от User (??), 15-Апр-25, 18:31 
>> Таки ж автоматом - через SCEP\ACME, не?
> И вот это легло у вендора или он под DDoS попал -
> что делать дальше?

Ну, я предполагаю, что если вы зачем-то поменяли дефолтные настройки acme-клиента на "обновлять в последний час последнего дня перед протуханием" - у вас есть какой-то план на этот счёт - ну-там "бегать кругами", "рвать на себе волосы", "обвинять во всем <companyname>", я не знаю.
Если ваш провайдер услуг не раздуплился с ddos'ом за 30% срока жизни сертификата - сталбыть, идея брать серт в подземном переходе у "v-asyan&gays" была не так хороша, и следующий раз вы воспользуйтесь услугами кого-то более надёжного - "let's encrypt" хотя бы...

Ответить | Правка | Наверх | Cообщить модератору

297. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от Tron is Whistling (?), 15-Апр-25, 21:04 
Так с 10 днями жизни там каждый час - последний. DDoS'ы иногда неделями длятся.
Ответить | Правка | Наверх | Cообщить модератору

298. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Tron is Whistling (?), 15-Апр-25, 21:05 
(я уж молчу про вендорский саппорт у нынешних девляпсмикросервисов, который проблему может дней 60-80 решать)
Ответить | Правка | Наверх | Cообщить модератору

306. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от User (??), 16-Апр-25, 06:04 
> Так с 10 днями жизни там каждый час - последний. DDoS'ы иногда
> неделями длятся.

Если вы нашли ca, который в лежку лежит трое суток так, что до него не достучаться - потеряйте обратно и переходите к "petyunia&boys" - они знают, что делать).
Актуальный кейс le показывает, что задача более, чем решаемая.
В конце концов, dns'ом автообновляемым вы, наверно, пользуетесь не боясь "анукакзадудосят?!" - или чтоб "не как у девляпсов!" файлики hosts майнтейните?

Ответить | Правка | К родителю #297 | Наверх | Cообщить модератору

322. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Tron is Whistling (?), 17-Апр-25, 13:44 
Актуальный кейс актуален, пока не появились 10-дневные серты.
Дальше кейс будет очень удобной точкой для атаки, которая положит многих.
Ответить | Правка | Наверх | Cообщить модератору

326. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от User (??), 17-Апр-25, 14:06 
> Актуальный кейс актуален, пока не появились 10-дневные серты.
> Дальше кейс будет очень удобной точкой для атаки, которая положит многих.

... но это не точно ). Можете походить, подудосить LE, который обслуживает ~60% доменов с 90 днями, и экстраполировать результат на коммерческие CA с 2-5% доменов...

Ответить | Правка | Наверх | Cообщить модератору

329. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от Tron is Whistling (?), 17-Апр-25, 14:43 
90 дней долговато. Вот уменьшат до 10 - желающие найдутся.
Ответить | Правка | Наверх | Cообщить модератору

325. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Tron is Whistling (?), 17-Апр-25, 13:49 
"dns'ом автообновляемым вы, наверно, пользуетесь"
Нет, не пользуемся. Собственные авторитетные резолверы для этого есть.
Ответить | Правка | К родителю #306 | Наверх | Cообщить модератору

327. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от User (??), 17-Апр-25, 14:07 
> "dns'ом автообновляемым вы, наверно, пользуетесь"
> Нет, не пользуемся. Собственные авторитетные резолверы для этого есть.

И кэш поди - на год? Ну, чтоб уж точно не задудосили апстрим?

Ответить | Правка | Наверх | Cообщить модератору

328. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Tron is Whistling (?), 17-Апр-25, 14:39 
Какой апстрим-то, мы сами себе апстрим. Корневые зоны? Их сложно.
Ответить | Правка | Наверх | Cообщить модератору

251. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +5 +/
Сообщение от Tron is Whistling (?), 15-Апр-25, 09:36 
"При этом, изжитие практики ручного обновления сертификатов"
Правильно. Любой уважающий себя девляпс должен загружать и обновлять сертификаты с гитшляпа автоматически, чтобы в любой момент мог быть подсунут нужный на полчаса и вынут назад.
Ответить | Правка | Наверх | Cообщить модератору

258. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +1 +/
Сообщение от Аноним (258), 15-Апр-25, 10:47 
> Максимальное время жизни TLS-сертификатов сократят с 398 до 47 дней

Раньше покупали на 398 дней, сейчас будут на 47. Доход сертифицирующего центра увеличивается более чем в 8 раз.

Ответить | Правка | Наверх | Cообщить модератору

259. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (259), 15-Апр-25, 11:00 
Блин. И здесь шринкфляция. Цена таже, а срок потихоньку уменьшают.
Ответить | Правка | Наверх | Cообщить модератору

280. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Аноним (-), 15-Апр-25, 16:14 
Не очень разбираюсь в этих сетевых тонкостях, но как подобную проблему решают в даркнетах? Тор-браузер использует http для .onion-сайтов. И всё работает без деланья мозгов как пользователям, так и владельцам. Магия какая-то.

Мне кажется клирнет со временем будет заменен оверлейной сетью, которая изначально избавлена от излишней централизации в виде ca/dns.

Ответить | Правка | Наверх | Cообщить модератору

291. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –1 +/
Сообщение от Аноним (24), 15-Апр-25, 18:29 
> Мне кажется клирнет со временем будет заменен оверлейной сетью, которая изначально избавлена от излишней централизации в виде ca/dns.

вопрос доверия не исчезает ведь, всегда можно сделать митм.

Ответить | Правка | Наверх | Cообщить модератору

299. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Tron is Whistling (?), 15-Апр-25, 21:07 
Есть мысль, что крупные CA протолкнут отмену этого шита, потому что иначе все, кто захочет кактус жевать, и правда в летсшиткрипт уйдут.
Ответить | Правка | Наверх | Cообщить модератору

304. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Илитка (?), 16-Апр-25, 01:07 
Все крупные ЦА давно дают получение по acme.
Ответить | Правка | Наверх | Cообщить модератору

323. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  +/
Сообщение от Tron is Whistling (?), 17-Апр-25, 13:44 
> Все крупные ЦА давно дают получение по acme.

И даже с BV? :D

Ответить | Правка | Наверх | Cообщить модератору

303. "Максимальное время жизни TLS-сертификатов сократят с 398 до ..."  –2 +/
Сообщение от Аноним (303), 15-Апр-25, 22:45 
А что случилось? Придумали уже быструю факторизацию, или посчитали суммарную мощность криптоферм?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру