Программное обеспечение.

Reg.ru и Let's Encrypt - совместимость?

Vlad » 04 окт 2018, 19:03

У Reg.ru на сайте предложение бесплатного SSL-сертификата от GlobalSign на 1 год, при покупке домена/хостинга, через год сертификат продлить можно только как платный.
Я хочу только Let's Encrypt даже не из-за бесплатности, а из-за перспективности, он де-факто становится стандартом индустрии, а всякие другие конторы (почитайте новости по теме компрометации удостоверяющих центров) периодически аккредитации лишаются.
Про Let's Encrypt нигде на сайте у них не упоминается, но есть возможность, например, в Plesk-панели (и наверное в других панелях) выпустить Let's Encrypt с автопродлением.
В тех. поддержке Reg.ru сквозь зубы по телефону непонятное что-то сказали, что Let's Encrypt - самоподписанный сертификат!? (что за бред?)
Сказали письменно обратиться с этим вопросом.
В итоге ответили
Всё верно, вы можете воспользоваться данной опцией. Сертификат будет автоматически обновлен за 30 дней до истечения срока действия.

Вопрос:


Кто-то реально пользуется Let's Encrypt на reg.ru? Проблем не возникает с автопродлением, IP, и т. п.?
Вопрос возникает из-за очевидной заинтересованности хостера подсаживать клиентов на платные сертификаты.
Vlad
 
Сообщения: 9
Зарегистрирован: 21 фев 2015, 08:56

Re: Reg.ru и Let's Encrypt - совместимость?

Александр » 05 окт 2018, 14:09

На форуме Joomla пытаюсь обсудить этот вопрос. Особо похоже никто не в теме.
Ответили только:
Ну так есть же проверенные, такие как GeoTrust, Thawte, Symantec, RapidSSL и Comodo.
А лишаются те, кто ранее выдавал бесплатные сертификаты всем подряд, как сейчас это делает Let's Encrypt!

Проблемы могу возникнуть всегда, т.к. на шареде кол-во сайтов на одном IP очень большое, соответственно при выдаче либо переиздании сертификата, запрос может просто не пройти по лимитам у Let's Encrypt на IP.


Сразу приведу мой ответ товарищу:
Ну так есть же проверенные, такие как GeoTrust, Thawte, Symantec, RapidSSL и Comodo.

Вы этот список не отсюда брали? :shock:
https://security.googleblog.com/2018/03/distrust-of-symantec-pki-immediate.html
Distrust of the Symantec PKI: Immediate action needed by site operators
March 7, 2018

Posted by Devon O’Brien, Ryan Sleevi, Emily Stark, Chrome security team

We previously announced plans to deprecate Chrome’s trust in the Symantec certificate authority (including Symantec-owned brands like Thawte, VeriSign, Equifax, GeoTrust, and RapidSSL)..
...
Starting in Chrome 70, all remaining Symantec SSL/TLS certificates will stop working, resulting in a certificate error like the one shown above. ...


Попытки продления вроде начинаются за 30 дней до окончания валидности сертификата.
Про ограничения "запрос может просто не пройти по лимитам у Let's Encrypt на IP."
Не нашел такой информации, на сайте https://letsencrypt.org/docs/rate-limits/ упоминается только про лимиты, связанные с интенсивностью запросов с IP в течение интервала 3 часа, цитата:
You can create a maximum of 10 Accounts per IP Address per 3 hours. You can create a maximum of 500 Accounts per IP Range within an IPv6 /48 per 3 hours. Hitting either account rate limit is very rare, and we recommend that large integrators prefer a design using one account for many customers.
...
Александр
 
Сообщения: 361
Зарегистрирован: 20 мар 2014, 17:05

Reg.ru и Let's Encrypt

leks-88 » 26 янв 2019, 22:20

Работает там Let's Encrypt. Даже есть справка. Но видно, не очень они хотят светить информацию, что у них на хостинге Let's Encrypt предоставляется!
Справку по установке Let's Encrypt в разных панелях ISPmanager 5, cPanel, Parallels Plesk Onyx нашел только через поиск.
Кстати, там же уведомление что "Расширение Let’s Encrypt нельзя установить на хостинге с панелью управления ISPmanager 4".
Короче, вот по состоянию на сегодня адреса страниц со справкой по установке Let's Encrypt из разных панелей на Reg.ru:
Но на своём сайто в открытую они предлагают только платные SSL-сертификаты от GlobalSign.
SSL-сертификаты от GlobalSign Reg.ru не видно Let's Encrypt общий криншот

Скриншот по страницам, Let's Encrypt нигде не умоминается
SSL-сертификаты от GlobalSign Reg.ru не видно Let's Encrypt. Страница 1

SSL-сертификаты от GlobalSign Reg.ru не видно Let's Encrypt. Страница 2

SSL-сертификаты от GlobalSign Reg.ru не видно Let's Encrypt. Страница 3

Маркетинг, что возьмешь..
leks-88
 
Сообщения: 9
Зарегистрирован: 29 мар 2017, 12:33

Re: Reg.ru и Let's Encrypt

Vital » 01 дек 2019, 18:52

leks-88 писал(а):Но видно, не очень они хотят светить информацию, что у них на хостинге Let's Encrypt предоставляется!
Справку по установке Let's Encrypt в разных панелях ISPmanager 5, cPanel, Parallels Plesk Onyx нашел только через поиск.
Маркетинг, что возьмешь..

Похоже все хостинги стараются по последнего навязывать платные SSL-сертификаты!
У меня есть 2 сайта на Timeweb.ru, работают по SSL через Let's Encrypt. Так вот, несколько дней назад пришло письмо от Timeweb, что мой аккаунт перенесён на другой сервер:
Перенос аккаунта

Здравствуйте!
Мы перенесли ваш аккаунт xxxx с сервера vh4 на vh218.
IP-адрес нового сервера: 92.53.96.196

Перенос был выполнен автоматически, без простоя в работе сайтов.

Для чего был нужен перенос?
Подобные переносы обычно осуществляются в двух случаях:
1. Вы изменили тарифный план своего аккаунта, поэтому он был перенесен на сервер, соответствующий тарифу.
2. Мы перенесли аккаунт на более мощный и современный сервер в рамках работ по повышению стабильности и производительности услуги.

От меня что-то требуется?
Если ваши домены делегированы на NS-серверы Timeweb, ничего делать не нужно.

Что делать, если у домена сторонние NS-серверы?
Если для домена заказан дополнительный IP-адрес и/или платный SSL-сертификат, никаких действий также не требуется.

В остальных случаях вам необходимо указать IP-адрес нового сервера в качестве A-записи для домена. Это нужно сделать на стороне держателя NS-серверов.
Изменения необходимо внести в течение 7 календарных дней с момента получения письма, чтобы сайты работали бесперебойно.

Если у вас возникнут вопросы, просто ответьте на это письмо.
Хорошей вам недели!

Вчера смотрю, эти мои сайты браузеры отказываются открывать: "Небезопасное соединение".
Let's Encrypt к IP привязан, на новый IP перенесли, сертификаты отвалились. Но поддержку это волнует в последнюю очередь. Пусть клиенты парятся, тем кто не разбирается навяжут платный сертификат, а кто прочуханный, тому подправим..

Вот и ответ от поддержки ожидаемый пришел:

-------
Здравствуйте.
Благодарим Вас за обращение!

На Ваши домены успешно переустановлены SSL-сертификаты Let's Encrypt. Сайты корректно работают по безопасному протоколу.
Иногда после переноса SSL-сертификаты Let's Encrypt не корректно работают, поэтому мы исправляем данную ситуацию.

А работоспособность сайтов по протоколу безопасного соединения Вы можете проверить следующим образом.

1. Попробуйте открыть Ваш сайт через другой браузер или очистить кэш вашего браузера:

Google Chrome:
Ctrl+Shift+Del > Очистить кэш > Очистить историю
Ctrl+Shift+Del > Clear browsing data
Internet Explorer:
Ctrl+Shift+Del > Временные файлы Интернета > Удалить
Ctrl+Shift+Del > Temporary Internet files > Delete
Mozilla Firefox:
Ctrl+Shift+Del > Кэш > Очистить сейчас
Ctrl+Shift+Del > Cache > Clear now
Safari:
Ctrl+Alt+E > Очистить
Ctrl+Alt+E > Clear
Opera:
Ctrl+Shift+Del >Очистить историю
Ctrl+Shift+Del > Clear History

2. Если это не поможет, то попробуйте открыть сайт через вкладку инкогнито.

3. Если этот способ, так же, не сработал, пожалуйста, зайдите через другое устройство, не подключаясь через wi-fi, используйте другую сеть (например, телефон - через мобильный интернет).
Если через другую сеть и другое устройство сайт открывается, необходимо обратиться к интернет-провайдеру.

Если у Вас возникнут дополнительные вопросы или трудности, обращайтесь!
-------
Я хренею!!! Сколько дней мои сайты не работали интересно..
Vital
 
Сообщения: 18
Зарегистрирован: 14 фев 2017, 15:40

Re: Reg.ru и Let's Encrypt - совместимость?

Vital » 14 фев 2020, 00:46

Смотрю в ветке по SEO интересный пример переписки с техподдержкой Reg.ru выложили.
Итоги переписки с техподдержкой reg.ru
Вот и ответ про Reg.ru и Let's Encrypt от поддержки точный:
Reg.ru писал(а):……
На всех услугах виртуального хостинга вы можете установить SSL-сертификат lets encrypt средствами панели. Как мы видим, нагрузка вашей услуги на CPU не превышает 1%. В данном случае, проблем с новыми лимитами на текущем уровне при переходе не возникнет.
……
09 февраля 2020, 15:10
Vital
 
Сообщения: 18
Зарегистрирован: 14 фев 2017, 15:40

Re: Reg.ru и Let's Encrypt - совместимость?

Александр » Вчера, 17:11

Года 2 назад делал сайт на Reg.ru, тоже были проблемы с автоматической установкой Let's Encrypt.
На днях опять сбой с обновлением сертификата для поддерживаемого сайта По бурению скважин на воду, вот переписка с техподдержкой. Просто сквозит, в конце, что не заинтересованы они.

–––––––
Здравствуйте!
У нас стоит мониторинг изменения файлов на сайте.
Второй день в директории ./abissinskii-kolodets/.well-known/acme-challenge/ каждый час создаются файлы..
Предполагаю, это для продления Let's Encrypt?
Но раньше это всё происходило за раз..
Что сейчас не так?
19 сентября 2020, 20:51 Абиссинский колодец

–––––––
Здравствуйте!

Мы перевыпустили SSL-сертификат, пожалуйста, проверьте.

Ранее проблема с выпуском заключалась в файле .htaccess. Мы переименовали его на момент выпуска сертификата и проблема была устранена.
19 сентября 2020, 21:35 Отдел технической поддержки хостинга

–––––––
Вообще-то в файловом менеджере дата изменения .htaccess в директории ./abissinskii-kolodets/.well-known/acme-challenge/ - 18/09/2020 13:28, просто из интереса смотрю.
Сертификат показывает до 18 Декабря теперь.
А вот файлы в директории и сама директория не удалены. Похоже сбой какой-то у вас..
19 сентября 2020, 22:43 Абиссинский колодец
Или вы имеете в виду .htaccess в корне сайта? Тогда какая в нем проблема?
19 сентября 2020, 22:55 Абиссинский колодец

–––––––
С нашей стороны корректировали название файла .htaccess в корне сайта, а не в директории .well-known.
Перед выпуском сертификата, мы изменили название файла на .htaccess_old, выпустили сертификат, после чего вернули название файла на .htaccess.
19 сентября 2020, 22:56 Отдел технической поддержки хостинга

–––––––
Просто раньше таких проблем не было..
И, как выше написал, директория ./abissinskii-kolodets/.well-known/acme-challenge/ не очищена, раньше, вроде, она удалялась автоматически.
Я могу её удалить? Или она нужна?
Хочется чтобы всё автоматически гладко проходило, и через 3 месяца опять не пришлось нам предпринимать что-то!
19 сентября 2020, 23:08 Абиссинский колодец

–––––––
Да, вы можете ее удалить. Если в будущем вы будете наблюдать указанную вами проблему с выпуском SSL-сертификата, то вы можете проделать описанные ранее действия, а именно переименовать файл .htaccess, а затем вручную выпустить сертифика, либо обратиться к нам в рамках заявки, чтобы мы выполнили это за вас.
19 сентября 2020, 23:24 Отдел технической поддержки хостинга

–––––––
Вы можете сказать, какая директива в .htaccess мешала?
19 сентября 2020, 23:31 Абиссинский колодец

–––––––
Ранее мы не проверяли этого. Как правило мешают директивы связанные с перенаправлением запросов, такие как:

RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]

RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} !^/index.php
RewriteCond %{REQUEST_URI} (/|\.php|\.html|\.htm|\.feed|\.pdf|\.raw|/[^.]*)$ [NC]
RewriteRule (.*) index.php
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]

20 сентября 2020, 00:50 Отдел технической поддержки хостинга

–––––––
Да вот не вижу, что может мешать, может плохо смотрю (но раньше-то работало всё и .htaccess года 1.5 вообще не трогал)..
Получается, если бы я не обратил внимание на разбухание папки, то сертификат не был бы установлен!!
Через месяц сайт перестал бы работать!! А вдруг в это время я был бы недоступен (например в больнице).. Это всё не правильно.
Вы предоставляете услугу по установке и продлению Let's Encrypt. Почему же не проверяете, сертификат установлен или нет??
Года 2 назад, я, кстати, на другом аккаунте уже сталкивался с подобной проблемой: Let's Encrypt на ровном месте не устанавливался, и вручную поддержка его ставила..
20 сентября 2020, 01:29 Абиссинский колодец

–––––––
При необходимости вы можете установить себе напоминание, например на сайте https:// sslshopper.com/ssl-checker.html

Когда подойдет срок истечения сертификата вам придет уведомление на адрес электронной почты в случае если сертификат не будет продлен автоматически.
20 сентября 2020, 02:14 Отдел технической поддержки хостинга

–––––––
У Вас программа принципиально не проверяет что ли?
Зачем мне плодить сущности? Подключать какие-то сторонние сервисы на каждый чих? Во что такой подход выльется со временем - я обрасту кучей какого-то барахла, и даже сам перестану понимать что зачем.. В наше время только и успеваешь следить, чтобы не вляпаться в какие-то навязанные "услуги", иначе утонешь просто..
20 сентября 2020, 09:04 Абиссинский колодец

–––––––
Вероятно, панель управления некорректно отработала задание на выпуск сертификата.
Сейчас проблема не наблюдается, следующий перевыпуск должен произойти корректно.
20 сентября 2020, 13:45 Отдел технической поддержки хостинга
Александр
 
Сообщения: 361
Зарегистрирован: 20 мар 2014, 17:05


Вернуться в Софт