https://www.opennet.ru/openforum/vsluhforumID3/138975.html Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, начал выдавать бесплатные сертификаты для IP-адресов, а также предоставил возможность получения TLS-сертификатов, время жизни которых ограничено 160 часами (6 днями). 13 мая намерены добавить поддержку выдачи сертификатов, действующих 45 дней. В соответствии с ранее объявленным планом 10 февраля 2027 года максимальный срок действия сертификатов будет сокращён с 90 до 64 дней, а 16 февраля 2028 года - до 45 дней...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64628<br> https://www.opennet.ru/openforum/vsluhforumID3/138975.html#219 Sun, 01 Feb 2026 20:40:52 GMT ой, проблема, ну надо жиж - настроить контроль сроков действия, повесить напоминалку, документировать свои выкрутасы в конфигах. <br><br>&gt; Кому-то эти годы наверное даже нравились.<br><br>конечно нравились, когда хорошие места естественным образом освобождались от подобных м-ков.<br><br>Кстати ты забыл еще гораздо более популярную историю - "компания с миллиардным оборотом" просто забывала продлевать свой домен. И ее сертификаты совершенно честным-пречестным образом получали совсем другие ребята.<br><br>К сожалению, те прекрасные годы давно прошли, из мразилы вон никого не уволили с треском, ни начальников, ни исполнителей, прогадивших экспайр intermediate.<br><br>Потому что ни у кого ж в служебных обязанностях следить за какими-то там сертификатами и не было. Какие ваши претензии?<br><br> https://www.opennet.ru/openforum/vsluhforumID3/138975.html#218 Wed, 28 Jan 2026 16:17:22 GMT за патчи, возвращающие поддержку pkp в firefox не берусь. Поищи на опеннете ещё исполнителей ;)<br> https://www.opennet.ru/openforum/vsluhforumID3/138975.html#217 Fri, 23 Jan 2026 08:02:50 GMT так проверять то должны не владение зоной, а владение ip-адресом. то есть ты должен подтвердить что физически ip адрес размещён на подконтрольном тебе устройстве.<br> https://www.opennet.ru/openforum/vsluhforumID3/138975.html#216 Wed, 21 Jan 2026 19:44:35 GMT Храню в readme.txt. Правда путь до нужного прочтименя знаю я один...<br> https://www.opennet.ru/openforum/vsluhforumID3/138975.html#215 Mon, 19 Jan 2026 21:10:41 GMT &gt; Да не надо ни какого hex. Пусть будет домен 6-го уровня, аля <br>&gt; 192.168.0.1.le.ip.<br><br>IP ищут сверху вниз, т.е. с ip и не факт что там будет полный домен. Сильно много запросов будет на домен, если так реально будут резолвить имя. Хотя кого это волнует? В целом это работать может. Такой ns можно и самостоятельно запустить весьма просто, да резолвер dns у провайдера может стоять быстрый сразу. Вопрос только в деньгах - за чей счёт этот банкет?<br> https://www.opennet.ru/openforum/vsluhforumID3/138975.html#214 Mon, 19 Jan 2026 20:09:30 GMT Я знаю как на каждом устройстве, которых не мало, как дурак, по мартышечью добавлять сертификаты.<br><br>Как то логичнее, получать сертификат один раз, и при при отсутствии обновления, чтоб он действовал вечно.<br><br>Иначе смысл подтверждения подлинности превращается в кормушку, и чеки на оплату (в том числе на нулевую оплату, но регулярно)<br> https://www.opennet.ru/openforum/vsluhforumID3/138975.html#213 Mon, 19 Jan 2026 12:27:51 GMT &gt; а карта-то числится за тобой<br><br>Если все мои действия с картой документируются, то любые неправомерные действия с этой картой спокойно могут быть выявлены. Помимо логирования всей деятельность за рабочим местом, записываются и с помощью камер наблюдения все физические действия за рабочим столом. И это не сказки, это банальная процедура рабочего пространства штатного сотрудника спецслужб аля анб, цру, который работает с подгрифной информацией. <br> https://www.opennet.ru/openforum/vsluhforumID3/138975.html#212 Mon, 19 Jan 2026 12:16:59 GMT &gt; Но обычно это _второй_ фактор - пароль вводить все равно тоже надо.<br><br>Это не пароль, а простой пин для разблокировки, аля второй фактор<br><br>&gt; и этот пин ТОЖЕ не должен знать никто кроме текущего юзера этой карты<br><br>да и смена этого пина можно требовать все также через некоторый период времени (сам драйвер смарт карты просит, плюс встроенная защита о ввода неправильного пина, автоматическая блокировка карты после трех неправильных попыток)<br><br>&gt; попала к кому-то не тому (например ты не пришел, или до твоего прихода - а карта-то числится за тобой).<br><br>Тут опять таки, привязка карты к рабочему месту, и во-вторых, если действия происходят не в рабочее время (карта фактически не на руках, и карта из здания не выходит, а лежит в личном сейфе) - ответственность на сотруднике быть не может, это надо личный сейф взломать (а он должен быть в таких случаях), чтобы воспользоваться картой с рабочего места.<br> https://www.opennet.ru/openforum/vsluhforumID3/138975.html#211 Mon, 19 Jan 2026 11:57:54 GMT &gt; Впрочем, у microsoft и такого, кажется, нет.<br><br>PKCS #10 - ValidityPeriod<br><br>//learn.microsoft.com/en-us/openspecs/windows_protocols/ms-wcce/f4eb50d5-62f6-470b-8846-9489af9dea62<br><br>Там дефолт 1 год, в реестре надо менять, ЫЫ говорит:<br><br>"""<br>Open Command Prompt as Administrator on the CA server.<br>Set the Validity Period: Use certutil to set the desired period (e.g., 10 years).<br><br>certutil -setreg ca\ValidityPeriod "Years"<br><br>certutil -setreg ca\ValidityPeriodUnits "10"<br><br>Restart Certificate Services: Stop and restart the CertSvc service for changes to take effect.<br><br>net stop certsvc<br><br>net start certsvc<br><br>Generate CSR & Issue: Proceed with generating your CSR (via IIS Manager or certreq) and submit it to your CA. The issued certificate will now reflect the new validity period. <br>"""<br>