Какой SSL-сертификат лучше использовать для стэйджинга?

Question

[Wylaroren]

Если для режима локальной разработки обычно используется самовыпущенные сертификаты (например, с помощью mkcert), а для режима продакшен - покупные, то не совсем понятно, как быть с режимом инсценировки ("стэйджинг".) Покупать ещё один сертификат - затратно, а если использовать самовыпущенный, тогда придётся каждому браузеру "объяснять", что этому сертификату можно верить, чего заказчики сами сделать не смогут (да и вообще, на Windows это не так просто).

Comments

[ValdikSS]

Все (почти) выпускаемые глобально-доверенные сертификаты логгируются, имейте в виду, что о вашем staging-домене узнает весь мир при выпуске сертификата, так что принимайте доп. меры по защите заранее.

[Wylaroren]

Благодарю Вас за комментарий. Чем же конкретно опасно то, что о моём стэйджинге узнает весть мир? Естественно, я ограничил доступ к стэйджингу с помощью аутентификации.

Answer 1

[Михаил Ливач]

Let`s Encrypt , очевидно. Я вообще не понимаю, кому сейчас нужны покупные сертификаты, кроме банков и подобных структур, где наличие покупного сертификата вписано в регулятивные правила отрасли.

Answer 2

[CityCat4]

на Windows это не так просто

Как раз на винде это проще некуда - пихаешь сертификат в корневые и вуаля. Попробуй такой финт ушами провернуть с андроидом :)

Comments

[WSGlebKavash]

CityCat4,

Попробуй такой финт ушами провернуть с андроидом :)

На Андройде легко, хоть и не очевидно, надо много кнопок нажать.
А вот на PlayStation, Xbox, Oculus Go и Oculus Quest невозможно.
Как собственно и невозможно поставить VPN-приложения, что требует костылей для использования.

[Wylaroren]

Благодарю Вас за рекомендацию!
Не знал, что так просто. Когда мне впервые понадобилось это сделать (для режима локальной разработки), то на русском языке почти все статьи были для MacOS или Linux, как будто Windows вообще не существует =) Из англоязычных статей нашёл какой-то способ, но не сработал, однако потом я узнал про mkcert.

[CityCat4]

WSGlebKavash, Глеб, ну эти девайсы как бэ для VPN и не проектировали :)

[AlexVWill]

CityCat4, а что не так с ведром?

spoiler

[CityCat4]

AlexVWill, Оно уже перестало при добавлении в хранилище корневых своего сертификата верещать "Аааа, Большой Брат видит меня!" и рисовать желтый треугольник в статусе? Я просто давненько швана на теле использую, там свое хранилище.

[AlexVWill]

CityCat4, сертификаты для web, VPN и для внутренних сервисов (в т.ч. самоподписанные) в ведре это все три большие разницы и к друг-дружке они не имеют никакого отношения. Ничего не ругается, если для web кладется самодписанный OpenSSL к примеру сертификат то при открытии странички надо один раз указать на то, что будет этот сертификат использовать и можно ему доверять (ну было бы странно если бы было иначе), после этого все прозрачно.

[CityCat4]

AlexVWill, Ну, может поменялось чего, когда-то я упражнялся с почтовыми клиентами, поддерживающими S/MIME - там постоянно такое появлялось. Но направление разработки таких клиентов похоже заглохло полностью...