понял, спасибо

А зоной можно управлять через digital ocean

Там бесплатно

Так что регистратор можно выбирать и без этой функции

Route53 - копейки

с goddady проблема, они не ориентированы на пользователя -> саппорт не будет решать твою проблему, если она требует от них пойти тебе на встречу, например.

не знаю, почему так, из-за того, что они большие или еще почему-то

бизунес процессы и эффективность, бич любого массового сервиса

в рф есть reg.ru, у них странный интерфейс, но в целом норм, мы там хостимся.

из заграничных я пользовался gandi.net, удобный ui, все клево, но с саппортом не общался

reg.ru не падает больше?

про веб интерфейс не замечал ничего такого(но я туда редко хожу), днс-ы мы их не пользуем(пользуем route53), а такого, чтобы домен перестал быть делегированным не было

за последние года 4 поддосили наверное все крупные РФные днс-сервера, и почти все апгрейднули инфраструктуру с учётом этого, так что сейчас рисков меньше

мы тоже размещаем зоны в route53, но я так понял, что @ykhrustalev искал чего-то сравнительно быстрого, без правки NSов, типа управления сразу там же, где куплен домен

Ох, если бы ddos был единственной проблемой :)

мне как хостинг DNS нравится he.net

Дык в Route 53 и купить нонче можно

очень крутые, бесплатные и есть api

они мне уже 3 года IPv6 T-Shirt шлют)

а последний домен я регал тут: http://www.internetbs.net/

я либо в гугле регаю, либо на регру

на годедди пару регал, жду когда закончатся. регал из-за акции, сразу аж на 2 года типа дешевле

хотя гугл те еще педерасты. клиент регал один домен. точнее тот освободиться должен был, в итоге домен освобождается, он регает через гугл. гугл присылает чек на почту, что вы зарегали такой-то домен. а потом спустя несколько часов в кабинете гугла зареганный домен стал вдруг другой (что-то типа стал с опечаткой), оригинальный домен ушел к сквотеру. сапорт гугла ответил, мол сам дурак. но в почте чек от гугла остался на верный домен ))

Он централизован

меньше, чем обычные кейсервера

вы упоролись, 6к сообщенй

вы упоролись, 6к сообщенй

Это ещё мало

я регаю на амазоне

route53 лучший сервис для доменов

хотя гугл те еще педерасты. клиент регал один домен. точнее тот освободиться должен был, в итоге домен освобождается, он регает через гугл. гугл присылает чек на почту, что вы зарегали такой-то домен. а потом спустя несколько часов в кабинете гугла зареганный домен стал вдруг другой (что-то типа стал с опечаткой), оригинальный домен ушел к сквотеру. сапорт гугла ответил, мол сам дурак. но в почте чек от гугла остался на верный домен ))

Rly?

Как-то не верится

это один и тот же разговор на тему "докер не нужен" или "lastpass\1password" не нужен или "telegramm\slack\hipchat" не нужен или "asana\jira" не нужна

lastpass/1password действительно не нужны, когда есть опенсорсный keepass, с хранением шифрованной базы aes-256 в любом облаке через webdav нативно без всяких клиентов дропбоксов и т.д.

Как-то не верится

а я тож не верил, дня 2-3. он потом мне показал почту и уведомление. поэтому скорее верю, чем нет )

lastpass/1password действительно не нужны, когда есть опенсорсный keepass, с хранением шифрованной базы aes-256 в любом облаке через webdav нативно без всяких клиентов дропбоксов и т.д.

1pass нужен.

ну это ваше дело раздавать сокровенную базу паролей направо и налево всяким "супернадежным" сервисам

lastpass/1password действительно не нужны, когда есть опенсорсный keepass, с хранением шифрованной базы aes-256 в любом облаке через webdav нативно без всяких клиентов дропбоксов и т.д.

ну начнём с того что keepass начал развиваться намного активнее когда у него появились конкуренты. Но вообще я много слышал о том что надо пользовать keepass, а никто его не опльзовал

не было плагинов, не было поддержки в мобильных приложениях

ну сейчас все это есть.

ну то есть типа пароли можно было и pwgen генерировать и шифровать своим ключём

ну это ваше дело раздавать сокровенную базу паролей направо и налево всяким "супернадежным" сервисам

1pass - это не сервис. А именно приложение

1pass - это не сервис. А именно приложение

ок, у него помоему 126битное шифрование базы

Кто использует letsencrypt? Кто отказался от обычных сертификатов?

keepass win!

я использую

есть подводный камень

с XP не работает, вайлдкардов нет

на проде использую ACM от амазона

с XP не работает, вайлдкардов нет

Можно же сотню доменов упаковать в один серт.

есть подводный камень, не работает ни с чем кроме сервисов амазона ELB и Cloudfront

Не помню, не пробовал

Не совсем понял о чем ты

Боюсь что на каждый домен надо свой серт

с XP не работает, вайлдкардов нет

xp ненужон

Кто использует letsencrypt? Кто отказался от обычных сертификатов?

мы используем. а что в них необычного?

Я тоже так думал что XP не нужен пока меня не заебали

что не работает сайт

Ахаха

Я тоже так думал что XP не нужен пока меня не заебали

Посылать

мы используем. а что в них необычного?

Просто ради статистики спросил.

мы используем, не для клиентов, а для своих сервисов

О вопрос вот.

Есть HPKP запись, как в нее добавить backup PIN?

И вообще, бэкап пин чего там должен быть?

backup key

Откуда его брать то?)

Как должна выглядеть запись HPKP с backup PIN?

Public-Key-Pins: pin-sha256="cE4vWiYwe5Wrt9U3PrMmmNysiHvmTRrD/zmbgg+2+go=";pin-sha256="+piOoPHPoOt6aQy/JpmnRdpUQkTHUL6JNAt9CzaC0hU=";max-age=604800

как-то так

ERROR: S client not available

блин, backup key это еще один sha другого ключа

Так вот какого другого то

на случай, если при renew сертификата надо указать другой ключ

Первый это sha моего сертификата

да любой, который сгенерируешь

Первый это sha моего сертификата

ну нет, это sha256 твоего открытого ключа

Ну да, я это имел ввиду.

если для renew сертификата ты используешь один и тот же secret key, он у тебя один и тот же

ssllabs пиздит что нет backup key.

но тут есть нюанс, что если ты продолбаешь ключ, то все, даже смена сертификата не поможет. собственно для этого нужно backup key по стандарту

Тот же самый я так понимаю не вариант подсунуть

никак

сгенерируй еще один приватный ключ, вытащи из него публичный и положи sha256 туда

сам приватный храни на случай

Спасибо.

пожалуйста

вот howto от mozilla https://developer.mozilla.org/en/docs/Web/Security/Public_Key_Pinning

вот howto от mozilla https://developer.mozilla.org/en/docs/Web/Security/Public_Key_Pinning

Заработало. Еще раз спасибо )

А что еще можно прикрутить, ну типа так, из академического интереса?

прикручивать HPKP к живому без особой надобности это большой риск все положить, в случае ошибки.

Положить? Что именно?

Вроде все работает )

ну ты сейчас 1) не можешь выключить ssl 2) не можешь поменять ключ на произвольный

если это не несет рисков для проекта, то все окей

Так это персональный говноблог.

а блин

:)))

lastpass/1password действительно не нужны, когда есть опенсорсный keepass, с хранением шифрованной базы aes-256 в любом облаке через webdav нативно без всяких клиентов дропбоксов и т.д.

Почему нельзя через дропбокс хранить ?

ну начнём с того что keepass начал развиваться намного активнее когда у него появились конкуренты. Но вообще я много слышал о том что надо пользовать keepass, а никто его не опльзовал

Я использую уже лет 6-7

Очень рад

я тоже его использовал ещё когда аникеил лет 10 назад

Почему нельзя через дропбокс хранить ?

можно)) Но если пользовать вебдав то не нужен даже клиент облака. Кипасс сам может сконнектиться с облаком и сунсить базу напрямую