psiklop, нет уж, лучше я буду терять посетителей, у которых рандомно отваливаются части сайта из-за того, что некоторые провайдеры подменяют скрипты, и тратить время на техническую поддержку, в сотый раз объясняя, как почистить кеш браузера, вместо того, чтобы один раз настроить автопродление сертификата и забыть.
psiklop, правильная логика - это прочитать документацию, где чёрным по белому расписано, как пользоваться сертботом. Если юзер игнорит документацию и осваивает инструмент методом тыка - это его проблемы, а не проблемы этого инструмента.
psiklop, сертификаты не имеют никакого отношения к легальности и к законам, они всего лишь подтверждают, что приватный ключ, который сервер использует для генерации общего сеансового ключа, принадлежит именно этому конкретному домену по заверению доверенного центра сертификации. И всё, больше никакую роль не выполняют. И замочков зелёных в браузерах уже много лет как нет, напротив, браузеры теперь предупреждают, если соединение не защищено.
psiklop, а зачем мне для 30 доменов выпускать один-единственный сертификат? Логично же, что для каждого домена необходимо отдельный сертификат выпускать. Защиты от подобного рода дурака не предусмотрено, предполагается, что человек хотя бы на минимальном уровне понимает, что именно он делает.
psiklop, и какая у вас проблема с certbot в связке с nginx? много лет пользовался, ни разу проблем не было.
С подтверждением по DNS тоже проблем не было, есть плагины для certbot для популярных DNS-провайдеров и регистраторов доменов.
psiklop, предложите ваш собственный вариант защиты сайта от перехвата и модификации трафика. Если не понимаете, зачем, то представьте себе, есть сайты, которые посещает не только разработчик, но и также другие пользователи из России (за другие страны не скажу, как у них ситуация с наглостью провайдеров). И у половины из них провайдеры периодически норовят что-то встроить в передаваемые данные: подсунуть свои баннеры, перекинуть на левую страницу с рекламой своей супер-важной тарифной опции, часто это всё сопровождается поломкой функционала сайта (вместо какого-нибудь скрипта грузится подставной от провайдера). Хуже того, не только заменяется, но и оседает в кэше, и нажатие на F5 не спасёт, а чистить кэш далеко не все пользователи побегут, они просто подумают, что сайт поломаный. Сталкивался с этими проблемами неоднократно, после перехода на HTTPS и включения заголовка HSTS эти проблемы волшебным образом испарились.
Если не верите, наберите в гугле "провайдер вмешивается в трафик" и почитайте, случаев огромное множество. И никаким образом, кроме принудительного включения HTTPS, вебмастер избежать подобного безобразия не сможет, так как не имеет никакого влияния на трафик клиентов.
psiklop, вы говорите про какую-то кривую реализацию ACME-клиента. Оригинальный certbot, и многие другие ACME-клиенты позволяют прописать в командной строке конкретный набор доменов для конкретных сертификатов. Плагины к веб-панелям тоже. Ни разу не сталкивался с такими клиентами, которые бы скопом сгребали все подключённые к веб-северу домены и на их всех выдавали один сертификат. Поделитесь информацией, каким клиентом вы пользовались?
psiklop, и я тоже помню времена, когда сайты работали по http, и лично снифил трафик и вытягивал оттуда куки и пароли других пользователей. Но цвет моей шляпы не позволял распоряжаться ими во вред. Если для вас безопасность не имеет значения - то городите свои костыли, никто это не мешает вам делать, но не удивляйтесь, если найдутся люди, которые этими костылями воспользуются не по тому назначению, который вы первоначально в них вкладывали.
psiklop, нормальные люди настраивают, чтобы все сертификаты продлевались автоматически. И никакой ручной правки для этого тоже не надо, certbot всё умеет автоматом и получать, и прописывать, и обновлять, и в планировщик себя добавлять. А если не нравится certbot, есть куча решений с аналогичным функционалом, да для любой веб-панели управления сервером в 2024 году есть плагин letsencrypt, либо там это из коробки, достаточно лишь галочку поставить, и всё заработает само.
psiklop, подмена - это если я открываю условный Яндекс, а вместо него перебрасывает на сайт казино, потому что провайдер решил на этом заработать дополнительных денежек с меня и вклиниться в небезопасный трафик. Или заменил на сайте все баннеры на свои, попутно сломав на нём половину функционала. И с HTTPS-сайтами такое провернуть нельзя, потому что трафик между клиентом и сервером зашифрован. То, что вы описали, это не подмена трафика, а просто введение в заблуждение на стороне недобросовестного сайта, а не промежуточных участников обмена данных.
