Криптовалюты, которые могут выстрелить громче хлопушки в июле 
Принцесса на выданье 
ооооо, шушпанчег..... (не кликбейт) 
Экстренная, скорая и неотложная 
Вернуть Сталинград в строй городов-героев 
Гибель Левиафана 
Голландия 100 лет назад 
Готовьтесь к истинно важному, друзья! 
18 лет я здесь
04.02.2025 —
ОколоITшный дыбр #85
Let's Encrypt vs ZeroSSL
klink0v — 10.02.2025
Про Let's Encrypt вроде бы все давно всё знают. Дернуло тут меня попробовать чего-то новенького и я обратил таки внимание на ZeroSSL. Это типа такой аналог, тоже дает халявные X509-сертификаты на три месяца, но есть и некоторые отличия, по причине которых он достоин внимания.
Когда я в первый раз посмотрел на это чудо науки и техники, меня отпугнули три обстоятельства.
- Нельзя выпускать сертификаты для российских и белорусских доменов.
- Присутствуют какие-то неочевидные ограничения, которые толком на сайте нормально не расписаны.
- Если приходишь на сервис с российского IP-адреса, он отвечает "403 давайдосвиданья".
На практике всё оказалось не так страшно и местами даже смешно.
- Никто не мешает выпускать сертификаты на домен ".рф"
(внезапно), ну и на любые другие не перечисленные в списке.
- Регистрироваться там в веб-морде вообще не нужно. От слова
"совсем". ACME прекрасно работает без
СМС ирегистрации на сайте. - Первоначальный ключ для доступа к сервису нужно получить таки с
не-российских IP-адресов. А выпускать-обновлять сертификаты
впоследствии можно и с российских. Т.е., грубо говоря, в первый раз
мы запускаем условный Dehydrated где-нибудь на немецком VPS, потом
переносим оттуда конфиги и дальше вполне себе нормально работаем с
российского.
Теперь о смешном.
Что ACME-аккаунт, что "вебмордный" аккаунт привязываются к адресу электронной почты. И выпущенные через ACME сертификаты потом видны в веб-морде личного кабинета. При этом.
- В личном кабинете есть упоминание про ограничение на три штуки 90-дневных сертификата на аккаунт. На практике выпущенные через ACME сертификаты "не считаются" и их можно плодить сколько угодно.
- Адрес электронной почты вообще нигде, никем и никогда не проверяется. То есть теоретически Петя может выпустить N сертификатов, указав адрес "[email protected]", а потом коварный Вася зарегистрирует этот же адрес в личном кабинете и увидит все Петины сертификаты. Не знаю кому и зачем оно могло бы понадобиться, но для около ИБшного сервиса такое должно быть как минимум стыдно.
Теперь о важных отличиях ZeroSSL от Lets Encrypt.
Во-первых, Lets Encrypt активно хоронит OCSP Stapling. У ZeroSSL с последним всё хорошо. Не то чтобы оно являлось прям киллер-фичей, но со Stapling-ом TLS-рукопожатие выполняется побыстрее, и мне это нравится.
Во-вторых, Lets Encrypt использует сравнительно молодой ISRG Root X1, а ZeroSSL — довольно боянистый UserTrust CA. Это может быть полезно для всяких любителей некрофилии. Так, например, первый "из коробки" Windows XP не признает, а вот второй вполне себе. Так что если предполагается хождение на веб-сервер достаточно древних клиентов, то ZeroSSL вполне может выручить.
Ещё пару слов про ACME-клиентов.
Я тут попробовал "acme.sh". Для новичков он, конечно, "самое то". Сам инсталлируется, сам регистрируется, сам себя в крон добавляет, сам нужные папки создает. Но вот лично мне не нравится когда кто-то шарится в системе без моего ведома. Плюс, у меня так и не получилось выпустить при его помощи RSA-сертификат: у него по умолчанию всё заточено под EC.
А вот Dehydrated мне в этом плане куда как ближе. Он тоже умеет в ZeroSSL. Единственное, нужно сразу определиться каким инструментом пользоваться, по какому алгоритму выпускать ключи, и в дальнейшем продолжать в том же духе. Поменять одно на другое впоследствии будет проблематично.
И про настройки Nginx-а. Если нужен какой-то Virtual Host прицельно под некрофилию типа Windows XP, то под него придется выделять свой IP-адрес и привязывать к нему свой конфиг. Потому что настройки под "свежий" TLS будут конфликтовать с настройками под "тухлый" TLS. Nginx не выдаст никакой ошибки, даже в логах уровня debug будет тишина. Но использовать он будет всё равно "свежие" настройки, поэтому некроклиент не сможет согласовать набор шифров при рукопожатии. Это тоже нужно иметь в виду.
Сохранено
|
|
</> |
Let's Encrypt vs ZeroSSL
Оставить комментарий
Популярные посты:
Предыдущие записи блогера :
03.02.2025 —
Субъективный алгоритм выбора российского ОПСОСа
02.02.2025 —
Юридический казус #2
29.01.2025 —
ОколоITшный дыбр #83
Архив записей в блогах:
Пришлось почитать опус СВетова про то как он распрощался с идеализмом (и перешёл на диалектический материализм?) , так как идёт бурление и надо знать о чём спич. Статья написана в стиле посыпания голову пеплом, о том как Путин всех победил, но так и не понятно, а что он собственно говоря, ...
Весь этот год я была в поисках себя. Наконец-то начала волонтёрствовать. Наступала на одни и те же грабли в отношениях с мужчинами. Пополнила свой багаж жизненный. В общем-то, без особых потрясений год и без особых эмоций. Стараюсь жить, как ...
У немцев большой опыт ведения войн с Россией, они знают наш менталитет. Но всё равно пролетают каждый раз. Откуда со стороны ЕС эти вопли про то, что "Россия собирается напасть на Европу!"? Такие же вопли были 10 лет про то, что "Россия собирается напасть на Украину!". уже 12 лет сидели в ...
Видимо беда совсем с девушками в нашем городе?? Я думаю ничего, что сюда? Вроде прав ничьих не нарушаю. Если, что - то по телефону звонить на свой страх и риск, я не пробовал!! А может быть какой тайный смысл? - "Агенство" шифруется? Фото реальные. ...
Уже года три мода на кухни без верхних ящиков. Если нет на кухне верхних ящиков с сушкой, то как хранить посуду? Приседания очень полезное упражнение, но чередуйте его с наклонами, при вынимании посуды с нижних полок и ящиков(((. Ещё такой момент...глубина ящика. Да. Выдвижного ящика, ...
