Санкции и SSL сертификаты

Самое страшное в HTTP-протоколе, что в трафик могут влезать все кому не лень на хопах, снифить формы и влезать в трафик (помните как на сайтах появлялась реклама, которую вставляли интернет-провайдеры).

Продлевать на длительный срок смысла нет. Как уже сказали выше УЦ может отозвать сертификат в любой момент. У многих сейчас доступна оплата на большой срок, но сертификат выпускается только на год (Sectigo, RapidSSL). Как думаете, кто-то компенсировал нам ситуации, когда сертификаты оплачены еще на год вперед, но перевыпуск на оплаченный срок невозможен из-за "санкций". Нет конечно, просто кидалово, компенсируем конечным клиентам из своего кошелька. Завтра скажут отозвать все действующие сертификаты на рушки и все.

Определенно, уже нет никакой уверенности в том, что тебя неожиданно не кинут, проплачивать что-либо на века - глупость.

Текущие CA уже скомпрометировали себя.

Ждём появления новых CA!!!

Было, кстати, такое, да! Я сначала вирусы искал в коде, потом понял откуда берутся переходы на всякие помоечные сайты. А как же Content-Security-Policy ? Мне помнится это решило у меня проблему сразу и на корню.

Еще раз, в рунете не будет проблем с SSL, так как если скурвится LE то пропадут сертификаты почти у всех, и просто изменится общий фон.

Думаю, поможет до тех пор, пока промежуточный узел не додумается вырезать/модифицировать этот заголовок. А как мы помним, трафик без шифрования может быть модифицирован полностью, вплоть до того что клиенту придет HTTP-заголовок редиректа на плохой сайт вместо оригинального контента, который отдает сервер. Конечно, такая наглость еще не встречалась в моей практике, но тут сам факт что такое возможно.

Для критичных ресурсов будем использовать самоподписанные сертификаты и отправлять клиентам файлы сертификата собственного мини-УЦ, чтобы они добавили их в браузер (такая политика спасет от атаки посередине), из минусов - напрягать клиентов. Для некритичных голый HTTP. 😀

Да нет, это как-то по-европейски получится, просто зашквар. Наши так не будут, наши просто жадные коммерсы, они же не сволочи.

Да это понятно, что для существующих клиентов можно и выезд инженера организовать. Речь про простых смертных, которые почувствуют дискомфорт, но катастрофы не случится.

Вон четвертый день заказы люди не могут на Али оплатить - я не переживаю ибо раз у меня не могут, значит и у остальных не могут.

Коллеги, поделитесь, пожалуйста, кто в апреле-мае продлевал/получал сертификаты (платные) через кого, какой УЦ и сколько ждали.

REG.RU сейчас заявляет о 20+ негарантированных днях на выпуск серта от  GlobalSign.

Через кого-нибудь можно получить быстрее?  И сколько реально ждать?

через мастерхост брал в апреле  GlobalSign выпустили один за 6 дней второй за 2 недели

это вместо того, чтоб выпустить за секунду LE.

но самопоявившиеся "русские" если их корневой не будет добавлен по дефолту во все браузеры - толку от такого сертификата не больше, чем от самоподписанного. а бурж браузеры естественно не заходят хз что добавлять. А среднестатистического юзера придется годами уговаривать и заставлять перейти на яндекс браузер или еще какой амиго, которые согласятся добавить левые отечественные УЦ в свои браузеры.