Эм

Инсерты из пула в 900 млн строк

Я не рискнул разгребать такое в пятницу.

)))

Я продублирую. Кто и какие ssl сертификаты у кого покупал? Мне тут интересно, какие брать сертификаты comodo/geotrust? Мне на проект надо бы: *.example.ru *.example.com *.example.kz *.stage.example.(ru|com|kz) *.reprod.example.(ru|com|kz) Вопрос состоит в том, чтобы они ещё были валидны на домены 3-его уровня, wildcard-ом.

А есть какие-то варинты какие?

http://www.diphost.ru/ssl/price/?ct=com_positive_wc и собственно всё. валидны только на тот уровень, где *

Взять у comodo/geotrust, но есть сомнение, что они будут покрывать домены всех уровней.

не будут

только на тот, где *

т.е. 9 сертификатов

Т.е одним сертификатом *.example.com, *.example.ru, *.example.kz?

нет. на stage и reprod нужны отдельные на каждый домен. итого - 9

9 сертификатов?Oo

Да

Хрень какая-то, погоди.

Почему вендоры не могуть дать список с wildcard в subAltNames?

грубо говоря, *.example.com покрывает vsya.example.com, но не покрывает vasya.stage.example.com

subAltNames = DNS.1 = example.ru DNS.2 = *.example.ru DNS.3 = example.com DNS.4 = *.example.com

Хорошо, сплюсовать, DNS.5=*.stage.example.ru и т.п.

Ну потому что считается не очень секьюрно наверное

ну вот так вот

я вот пытаюсь понять. а зачем покупать wildcard в случае с каким-нибудь stage? чем lets encrypt не торт? слишком много поддоменов?

Да.

Пару тысячь на стейжинге.

В проде тоже так-же

И вроде кстатати больше. Там клиенты своё могут привязывать.

я бы на клиентские автоматически получал сертификат у lets encrypt, а на свои тогда купил бы сертификаты.

Не вижу проблемы. Примерно 80000 рублей на год

я бы на клиентские автоматически получал сертификат у lets encrypt, а на свои тогда купил бы сертификаты.

Дураков нет. У LE есть лимиты на генерацию сертификатов на поддомены

Я вот тоже уже почти доделал LE, в nginx-е беру нужные сертификаты через lua

На проде разве не гонял...

На проде разве не гонял...

Тебя ждет сюрприз

Дураков нет. У LE есть лимиты на генерацию сертификатов на поддомены

и что? у клиентов домены, думаешь, все шаренные поддомены?

Какой? Если на стейжинге всё ок?

Дураков нет. У LE есть лимиты на генерацию сертификатов на поддомены

тут же не на поддомены, а на клиентские домены

и что? у клиентов домены, думаешь, все шаренные поддомены?

да, они секут

Секут, но слабо.

да, они секут

то есть они секут, что поддомены у тебя *.x.com, клиент приходит с z.org, и они это заблокируют? какой-то бред.

Дураков нет. У LE есть лимиты на генерацию сертификатов на поддомены

опаньки

На стейжинге выходило обходить.

я уже нагенерил штук 20 за последние пару месяцев

брат жив

Я штук 3000

Плюс минус.

я уже нагенерил штук 20 за последние пару месяцев

я за сутки нагенерил ~60. брат жив.

то есть они секут, что поддомены у тебя *.x.com, клиент приходит с z.org, и они это заблокируют? какой-то бред.

ничего не понял

Больше попадался с перевыпуском, или с лимитом, что для этого домена уже выпустили слишком много сертификатов.

Но ничего не отозвали.

Больше попадался с перевыпуском, или с лимитом, что для этого домена уже выпустили слишком много сертификатов.

Ну

Это легко решаемо.

Больше попадался с перевыпуском, или с лимитом, что для этого домена уже выпустили слишком много сертификатов.

я все еще не попадался, хотя фигарю сертификаты постоянно

Попробуй 10 сертификатов сгенерить 15 раз в сутки.

В тестах так было, попадали. Даже не 15. Меньше.

Надо смотреть, по своему хранилищу, когда выпущен, до когда годен, если что, не дёргать LE.

ну, у меня чуть меньше. но все равно нормально.

Надо смотреть, по своему хранилищу, когда выпущен, до когда годен, если что, не дёргать LE.

конечно, так и надо. как же еще?

У меня однажды ансибл долбил и долбил. Попал под лимиты на неделю.

Ансибл был в CI

Я продублирую. Кто и какие ssl сертификаты у кого покупал? Мне тут интересно, какие брать сертификаты comodo/geotrust? Мне на проект надо бы: *.example.ru *.example.com *.example.kz *.stage.example.(ru|com|kz) *.reprod.example.(ru|com|kz) Вопрос состоит в том, чтобы они ещё были валидны на домены 3-его уровня, wildcard-ом.

https://comodosslstore.com/multi-domain-wildcard-ssl.aspx

тебе надо SAN wildcard

редкое и относительно дорогое

Судя по всему на год - не совсем.

хотя $2730.00 на три года

за 9 имён

Ну потому что считается не очень секьюрно наверное

нормально

ERROR: S client not available

проблема только в том, что если чо, ревокется на всё сразу

ну и если компрометируют один серт, то всё очень плохо

но обычно терминируют в одном месте, так что разница не очень большая

грубо говоря, *.example.com покрывает vsya.example.com, но не покрывает vasya.stage.example.com

^ ну и да, вот это ещё

* покрывает только один уровень

и *.* низя :(

letsencrypt же?

но ваще у той-же альфы вилдкарты по 42 бакса

так что дешевле купить 9 сертов

letsencrypt же?

у них нет вилдкартов

у них нет вилдкартов

вроде ограничение в 5 поддоменов

а управлять ведром сертификатов, то ещё развлечение

кстати, хорошо что напомнили, надо серты продлить

мне тоже надо

но мне лень заниматься

(((((((((

кстати, а кто знает как на маке хуиз починить, чтоб он с tech работал?

оно чот пытается на tech.whois-servers.net ходить, а у них хуиз на whois.nic.tech

А никак

версию можно обновить. если есть

версия

whois это пиздец. я не понимаю чем в ICANN последние пять лет занимались. инфа по доменам - это пизда рулю в принципе сейчас

лол

программа newgTLD была подготовлена через жопу и ничего не привнесла

вообще всё что с DNS связано лютый пиздец

с DNS ещё ладно

Ты попробуй попродавай эти newgtLD

тамжеж какой-то протокол высрали под это дело?

кривой-косой

но я так, слышал от тех кто пытался продавать

плач и мат

что с whois полная жопа (вот например из-за этого), что c например премиум доменами. угадать чо как не представляется возможным. половина регистраторов с реестрами через пень-колоду общается.