« Rev
@ru_devops   170
Fwd »


Denis
Взять у comodo/geotrust, но есть сомнение, что они будут покрывать домены всех уровней.
🏳️ Phil
не будут
🏳️ Phil
только на тот, где *
🏳️ Phil
т.е. 9 сертификатов
Denis
Т.е одним сертификатом *.example.com, *.example.ru, *.example.kz?
🏳️ Phil
нет. на stage и reprod нужны отдельные на каждый домен. итого - 9
Denis
9 сертификатов?Oo
🏳️ Phil
Да
Denis
Хрень какая-то, погоди.
Denis
Почему вендоры не могуть дать список с wildcard в subAltNames?
🏳️ Phil
грубо говоря, *.example.com покрывает vsya.example.com, но не покрывает vasya.stage.example.com
Denis
subAltNames = DNS.1 = example.ru DNS.2 = *.example.ru DNS.3 = example.com DNS.4 = *.example.com
Denis
Хорошо, сплюсовать, DNS.5=*.stage.example.ru и т.п.
🏳️ Phil
Ну потому что считается не очень секьюрно наверное
🏳️ Phil
ну вот так вот
Kirill
я вот пытаюсь понять. а зачем покупать wildcard в случае с каким-нибудь stage? чем lets encrypt не торт? слишком много поддоменов?
Denis
Да.
Denis
Пару тысячь на стейжинге.
Denis
В проде тоже так-же
Denis
И вроде кстатати больше. Там клиенты своё могут привязывать.
Kirill
я бы на клиентские автоматически получал сертификат у lets encrypt, а на свои тогда купил бы сертификаты.
🏳️ Phil
Не вижу проблемы. Примерно 80000 рублей на год
🏳️ Phil
я бы на клиентские автоматически получал сертификат у lets encrypt, а на свои тогда купил бы сертификаты.
Дураков нет. У LE есть лимиты на генерацию сертификатов на поддомены
Denis
Я вот тоже уже почти доделал LE, в nginx-е беру нужные сертификаты через lua
Denis
На проде разве не гонял...
🏳️ Phil
На проде разве не гонял...
Тебя ждет сюрприз
Kirill
Дураков нет. У LE есть лимиты на генерацию сертификатов на поддомены
и что? у клиентов домены, думаешь, все шаренные поддомены?
Denis
Какой? Если на стейжинге всё ок?
Kirill
Дураков нет. У LE есть лимиты на генерацию сертификатов на поддомены
тут же не на поддомены, а на клиентские домены
Denis
Секут, но слабо.
Kirill
да, они секут
то есть они секут, что поддомены у тебя *.x.com, клиент приходит с z.org, и они это заблокируют? какой-то бред.
Denis
На стейжинге выходило обходить.
nvkv
я уже нагенерил штук 20 за последние пару месяцев
nvkv
брат жив
Denis
Я штук 3000
Denis
Плюс минус.
Kirill
я уже нагенерил штук 20 за последние пару месяцев
я за сутки нагенерил ~60. брат жив.
Denis
Больше попадался с перевыпуском, или с лимитом, что для этого домена уже выпустили слишком много сертификатов.
Denis
Но ничего не отозвали.
Denis
Это легко решаемо.
Denis
Попробуй 10 сертификатов сгенерить 15 раз в сутки.
Denis
В тестах так было, попадали. Даже не 15. Меньше.
Denis
Надо смотреть, по своему хранилищу, когда выпущен, до когда годен, если что, не дёргать LE.
Kirill
ну, у меня чуть меньше. но все равно нормально.
Denis
У меня однажды ансибл долбил и долбил. Попал под лимиты на неделю.
Denis
Ансибл был в CI
yopp
тебе надо SAN wildcard
yopp
редкое и относительно дорогое
Denis
Судя по всему на год - не совсем.
yopp
хотя $2730.00 на три года
yopp
за 9 имён
yopp
проблема только в том, что если чо, ревокется на всё сразу
yopp
ну и если компрометируют один серт, то всё очень плохо
yopp
но обычно терминируют в одном месте, так что разница не очень большая
yopp
* покрывает только один уровень
yopp
и *.* низя :(
Lupsik Pupsik
letsencrypt же?
yopp
но ваще у той-же альфы вилдкарты по 42 бакса
yopp
так что дешевле купить 9 сертов
yopp
letsencrypt же?
у них нет вилдкартов
Lupsik Pupsik
у них нет вилдкартов
вроде ограничение в 5 поддоменов
yopp
а управлять ведром сертификатов, то ещё развлечение
yopp
кстати, хорошо что напомнили, надо серты продлить
Lupsik Pupsik
мне тоже надо
Lupsik Pupsik
но мне лень заниматься
Lupsik Pupsik
(((((((((
yopp
кстати, а кто знает как на маке хуиз починить, чтоб он с tech работал?
yopp
оно чот пытается на tech.whois-servers.net ходить, а у них хуиз на whois.nic.tech
🏳️ Phil
А никак
🏳️ Phil
версию можно обновить. если есть
🏳️ Phil
версия
« Rev
@ru_devops   170
Fwd »