EB
Коллеги, привет! Есть тут кто-нибудь, кто либо сам связан с админами вконтактика, либо может с ними связаться? Похоже, у них где-то устаревшие корневые сертификаты СА
Size: a a a
2020 May 31
b
Бывшие комодо
Пишут, что у них все норм, и если кто-то не доверяет их сертам, то это проблемы недоверяющего. А ВК вчера перестал доверят)
https://support.sectigo.com/articles/Knowledge/Sectigo-AddTrust-External-CA-Root-Expiring-May-30-2020
https://support.sectigo.com/articles/Knowledge/Sectigo-AddTrust-External-CA-Root-Expiring-May-30-2020
DV
Ага. Что-то такое лечилось обновлением CA-certificates сегодняшней ночью
S
Там много легаси софта отвалилось
S
Редхат вроде публиковал для тупых как в пару команд чинить
b
Там много легаси софта отвалилось
То есть типа сидим на попе ровно и ждем, пока до всех дойдет?)
Вообще странно, почему именно "софта": нужно ж просто новые серты накатить
Вообще странно, почему именно "софта": нужно ж просто новые серты накатить
SD
Мы вчера например из-за этого с коллегами мучались. Когда у партнера наши серты подписанные комодо отвалились. А на нашей стороне все зелёное и красивое
b
Ага. Что-то такое лечилось обновлением CA-certificates сегодняшней ночью
К сожалению, не у всех. Поэтому у нас, как у клиентов, разработчики предложили офигительный костыль: а давайте тогда по-быстрому заменим вайлдкард от сектиго кучей SAN'ов в серте от Let's Encrypt и разложим везде — это же быстрее, чем ждать, пока ВК отремонтирует у себя 😭
DV
К сожалению, не у всех. Поэтому у нас, как у клиентов, разработчики предложили офигительный костыль: а давайте тогда по-быстрому заменим вайлдкард от сектиго кучей SAN'ов в серте от Let's Encrypt и разложим везде — это же быстрее, чем ждать, пока ВК отремонтирует у себя 😭
Вайлдкард от LE тоже вроде не очень сложно получить если именно вайлдкард нужен (через dns)
b
Вайлдкард от LE тоже вроде не очень сложно получить если именно вайлдкард нужен (через dns)
Да, я знаю, но, блин. Платный серт на 2 года, а ЛЕ — на 3 месяца. Т.е. нужно тройную работу делать: поменять сейчас на ЛЕ, потом поменять обратно, когда волна пройдет (тройную потому, что никто не ожидал, т.е. даже этой работы не должно было быть).
NN
Этот кейс послужит основой для внесения в мониторилки сроков истечения всех сертификатов в цепочке? :)
NN
Если бы это было у владельцев сервисов, то KB от sectigo применена была бы проактивно?
b
Этот кейс послужит основой для внесения в мониторилки сроков истечения всех сертификатов в цепочке? :)
Лучше бы переход на IPv6 подтолкнул ;)
DV
А там серт подписан двумя CA - старым и новым, один протух, второму не доверяют старые ca-certificates. Поэтому как бы все ок
EO
Этот кейс послужит основой для внесения в мониторилки сроков истечения всех сертификатов в цепочке? :)
Вообще-то это ITAM, я его с 2002 года практикую. Как и многие коллеги.
EO
Чтобы всегда заранее знать, когда протухает саппорт, когда лицензия, когда сертификат, когда закончен жизненный цикл любой железки, вплоть до рабочих мест.
NN
Мы, в числе немногих, в это же наступили. Кроме мониторинга срока истечения нашего сертификата не отслеживали;(
NN
Чтобы всегда заранее знать, когда протухает саппорт, когда лицензия, когда сертификат, когда закончен жизненный цикл любой железки, вплоть до рабочих мест.
Это же олдово и не молодёжно
NN
Куда веселее бегать и искать ушедший поезд :)
EO
Ну, не знаю. Я как в том анекдоте про старого чукчу.