#жизньболь. Спонсор рубрики – Google

Жил-да-был я с мультидоменным сертификатом от StartSSL с датой окончания – Апрель 2018-ого. Все домены компании прописал в один серт и для всех сайтов довольный использовал.

Удобно. Красиво. И не дорого.

От новости осени 2016-ого, что Chrome и Firefox будут банить сертификаты StartSSL и WoSign моложе 21 октября отмахнулся: мой-то в апреле получен, а в 2018-ом по тамошним реалиям подсуечусь.

Но сегодня, после обновления Vivaldi открываю свой хэлпдеск и не могу:

И так с бубном поплясал, и эдак – ноль. Пошёл читать гугль про гугль.

На форуме поддержки Google Chrome наткнулся на разъяснения: с Chrome 56 вырежем серты моложе 21 октября, а с Chrome 57 и более ранние выпиливать начнём.

Похоже на правду: из всей пачки,прописанных в сертификате доменов, валидным для Chromium 57 остался один, самый старый. Остальные – ERR_CERT_AUTHORITY_INVALID

Вот такая #жизньболь случилась при поддержке гугли. 😉

UPD: В группе SWRUS на Facebook (тьфу, прости господи!) посоветовали Let’s Encrypt. Запилил по быстренькому новых сертификатов.

Работает. Но выглядит скромнее. 😐

Вид с сертификатом Let's Encrypt

И да, бля, мне скудоумному не понять: StartSSL/WoSign с платными сертификатами и проверками – рассадник зловредов и фишеров, а летсэнкрипт – типа белые джедаи для котяток и белочек.

Ладно, пофиг…

Костыли для Let’s Encrypt:

wget https://dl.eff.org/certbot-auto

chmod a+x certbot-auto

/certbot-auto certonly –webroot –agree-tos –email [email protected] -w /home/my/site/www/ -d my-domain.ru -d www.my-domain.ru

Это чудо установило нужные пакеты, провело валидацию указанных доменов, сгенерировало пачку необходимых файлов, которые были привычно запилены через ISPManager дальше в конфигурацию сайтов.

А ещё больше понравилась официальная инструкция. Запердолил для nginx и [почти] всё. Научить бы еще ISPManager по умолчанию ключи /etc/letsencrypt/live/ использовать… Но, сука, лень. Руками в конфигах меняю.

И да, после этого Nginx рестартануть надо:

service nginx restart

Хотя, есть мнение, что это не правильно. Правильно так:

service nginx reload

Тогда нет риска, что сервис выключится и не сможет включится, а с ним и все сайты. oO

Полёт продолжается… 😉

0 0 голоса
Рейтинг статьи

Автор

denglad

IT-каменщик. Во всём по-немногу

Подписаться
Уведомить о
guest
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x