Какие есть российские аналоги Let's Encrypt?

Question

[ant-ares]

У меня есть свой домен. Я хотел бы получить на него SSL-сертификат, чтобы он работал с режиме HTTPs. Я знаю, что есть множество структур, которые распространяют такие бесплатные сертификаты, например Lets Encrypt или Cloudflare. Но это все не российские структуры, а в текущих условиях международной обстановки хотелось бы свести риски к минимуму и иметь российского поставщика сертификата. Я даже согласен заплатить некоторые деньги с условием чтобы сертификат был бессрочным или имел достаточно большой срок действия. Если такие структуры в России есть подскажите пожалуйста как их найти.

Comments

[Adamos]

Чтобы минимизировать риски, достаточно купить платный сертификат через своего хостера.
Это и надолго, и нос по ветру будут держать за вас.
Подстраиваясь под обстоятельства и предлагая вам готовое решение.
Прогибаясь же под инициативы Чебурнета, вы становитесь соучастником строительства цифрового концлагеря.

Answer 1

[alexalexes]

Российские УЦ есть, они все в ведении Минцифры.
Как получить и поставить SSL-сертификат расписано у крупных RU-доменных регистраторов.
Например, https://www.nic.ru/help/kak-poluchit6-ssl-sertifik...
Маленькая проблема в том, что эти SSL-сертификаты будут признавать только форки браузеров российских компаний - например, Яндекс-браузер, и вам все равно нужен SSL-сертификат от организации международного уровня, чтобы не испытывать трудности в других браузерах.

Answer 2

[Drno]

нету. все услуги платные по сертификатам

насчет сертов -даже CDN от VK например использует letsNcrypt... не вижу смысла от него отказываться

Comments

[ant-ares]

Lets Encript всего на 90 дней, с постоянным обновлением. Ну и эмитент сертификатов сидит в Мичигане, насколько я понял. Закроют поддержку и https слетит. Зачем такая радость? Тем более там привязка сертификата через их SSH-бота, а я к себе когото пускать через SSH вообще не хочу.

[Drno]

ant-ares, не знаю ничего про ssh бота, как работал certbot так и работает пока что...

ну дело Ваше, покупайте у РФ хостеров тогда. только серт то всё равно будет иностранный)
потому что выпустив чисто российский сертификат - нигде кроме яндекса или гос браузеров он работать не будет)

[Rsa97]

ant-ares, То, что сертификат на 90 дней (а планируется на 45) - это хорошо. Значит даже если произойдёт утечка ключа, то у злоумышленника будет меньше времени, чтобы им воспользоваться.
Кроме того, разработчики браузеров планируют не доверять сертификатам со сроком жизни более 47 дней (с 15 марта 2026 срок сокращается с 365 до 200 дней, с 15 марта 2027 до 100 дней, с 15 марта 2029 до 47).
А доступ никому давать не требуется. Протокол ACME открытый и для подтверждения владения доменом требует только размещения текстового файла на вашем HTTP-сервере (владение именем сервера) и/или TXT-записи в вашем DNS (владение всем доменом). Всё остальное делается локально, так что можете самостоятельно написать скрипт.

[ant-ares]

Drno, справка с сайта Certbot

на счет привязки Ru-сертов только к Ru-браузерам, да есть такая проблема, над ней тоже думаю

[Drno]

ant-ares, ты чёт напутал между стандартным подключением по SSH к линукс серверу, что логично - для ввода любых команд на сервере

и ssh-бота.

как ты иначе то установишь веб сервер, cerbot, задашь им нужные конфиги и команды?

нет там никакого ssh бота. и не было никогда. Certbot никогда не получал никаких доступов \ прав на сервере.

а вопрос с браузерами ты не решишь. либо ты заставишь пользователей устанавливать цепочку серт твоего сайта и минцифр - что никогда не будет делать ни один здравомыслящий человек, просто потому что это небезопастно для системы, или твои юзеры будут получать ошибку сертификата...

исключение разве что Ябраузер, но если честно в моём окружении им не пользуется практически никто

[Everything_is_bad]

ant-ares, какая же каша в голове.

[ant-ares]

Everything_is_bad, чесно сказать, там вообще пусто по этой теме, я пытаюсь в ней разобраться

[Drno]

ant-ares, ну тебе и подсказывают - делай летсНкрипт и не делай себе мозги)

[ant-ares]

Drno, всегда лучше "делать себе мозги" самому, чем доверять это делать другим), поэтому вариант с Lets Encript не отменяет необходимости изучать эту тему; и помоему тогда уж лучше вариант с Cloudflare, чем с Lets Encript; и конечно я благодарен всем в этой теме и учту каждое слово в ней

[Drno]

ant-ares, он не особо чем то отличается, вариант с CLoudFlare

но тут есть проблема - CloudFlare банит РКН... сайт может не работать с их CDN ))

Answer 3

[Alexey Dmitriev]

Госуслуги. Там можно получить бесплатно сертификат, подписанный сертификатом Минфицры, который правда вручную везде нужно добавлять.

Comments

[Rsa97]

AFAIK, сертификат с назначением "Server Authentication" на госуслугах можно получить только из аккаунта организации. Частному лицу эта услуга недоступна.

Answer 4

[Кот Абсолютный]

Накуа? Сайт подписать? Иди на LE и не грузись, либо купи в GlobalSign - они не перестали работать с РФ. Есть у Минцифры CA, но его придется добавлять в корневые на всех компах

Answer 5

[AlexVWill]

"Для танго нужны двое..." Мало сделать сервис. Надо еще чтобы вторая сторона, т.е. браузер ему доверял. Т.е. добавил его корневой сертификат в свою базу. Ну и репутация важна, поскольку добавление сертификата дает потенциальную возможность выдавать один сайт за другой и как следствие манипулировать данными. Поэтому всякие мутные конторки любят выпускать свои сертификаты, и настоятельно требуют либо добавить их вручную в список доверенных (что, конечно, нельзя делать), либо стараются пропихнуть свои браузеры, которые им доверяют (этой фигней тоже лучше не пользоваться). Поэтому, чтобы избежать гимороя с пользователями, лучше как посоветовали использовать Let's encrypt, тем более что его CertBot сам все настроит и обновит, и не надо ничего особо делать. Ну или поставить web сервер Caddy, в который вроде как вшита поддержка LE.