Автопродление TLS тоже ломается

Текст в ленте: Много лет индустрия информационной безопасности старается улучшить стандарты шифрования в сети двумя способами: массовое распространение HTTPS как общего стандарта шифрования для всех сайтов — даже для тех, которым защита формально не требуется. Очень много времени было потрачено на то, чтобы убедить пользователей в важности тотального шифрования абсолютно всех коммуникаций; сокращение сроков выдачи сертификатов SSL/TLS, чтобы стимулировать пользователей внедрять автоматические процедуры/скрипты для автопродления сертификатов, чтобы исключить «человеческий фактор» и забывчивость сисадминов, которые забывают менять сертификаты. Но иногда этого недостаточно. К сожалению, автоматические скрипты продления сертификатов тоже могут выйти из строя.

https://habr.com/ru/companies/globalsign/articles/988804/

#tls #сертификат #acme #letsencrypt #шифрование #certbot #acmesh #dns #bazel

With 47-day certificate lifetimes coming, you'll need to automate renewals. That usually means giving every system DNS credentials that can modify your entire zone.

CNAME delegation is better: point _acme-challenge to your cert provider once, they respond to challenges in their own zone. No credentials exposed, ever.

https://www.certkit.io/blog/delegated-dns-validation

#PKI #ACME

🥳 Multiple major releases today

• @small-tech/auto-encrypt v5.0.0 (https://codeberg.org/small-tech/auto-encrypt#readme)
• @small-tech/auto-encrypt-localhost v10.0.0 (https://codeberg.org/small-tech/auto-encrypt-localhost/#readme)
• @small-tech/https v6.0.0 (https://codeberg.org/small-tech/https/#readme)

These releases bring short-lived certificates, IP Address (IPv4 and IPv6) support, and ACME Renewal Information (ARI) support to Auto Encrypt and @small-tech/https, implement a consistent asynchronous API across all three packages, and include loads of little fixes and code quality improvements.

This brings us very close to getting Web Numbers¹ support implemented natively in Kitten².

OCSP support is removed from Auto Encrypt and Windows support is dropped from all three packages as Microsoft is complicit in Israel’s genocide of the Palestinian people³ and Small Technology Foundation⁴ stands in solidarity with the Boycott, Divestment, and Sanctions (BDS) movement. Furthermore, Windows is an ad-infested and surveillance-ridden dumpster fire of an operating system and, alongside supporting genocide, you are putting both yourself and others at risk by using it.

Enjoy!

💕

🇵🇸 To support families facing genocide in Gaza, consider donating to them via Gaza Verified: https://gaza-verified.org/donate/

¹ https://ar.al/2025/06/25/web-numbers/
² https://kitten.small-web.org/
³ https://www.bdsmovement.net/microsoft
⁴ https://small-tech.org/

#SmallWeb #SmallTech #AutoEncrypt #AutoEncryptLocalhost #https #TLS #NodeJS #web #dev #ACME #LetsEncrypt #WebNumbers #Kitten #BDS #Palestine #Gaza #FreePalestine

Cloudflare łata błąd ACME – czy omijanie WAF stało się możliwe?

Czy krótka, nudna ścieżka do certyfikatów może stać się objazdem wokół całej zapory? Okazuje się, że tak – jeśli logika na brzegu sieci skręci w zły zjazd.

Czytaj dalej:
https://pressmind.org/cloudflare-lata-blad-acme-czy-omijanie-waf-stalo-sie-mozliwe/

#PressMindLabs #acme #acmechallenge #cloudflare #fearsoff #http01

Let's Encrypt、IPアドレス証明書が一般提供開始 - RFC 8738準拠の6日間証明書
https://qiita.com/satokan3/items/791c78879e690b7c8cd2?utm_campaign=popular_items&utm_medium=feed&utm_source=popular_items

#qiita #Security #pki #TLS #acme #Let_sEncrypt

"Short-lived and IP address certificates are now generally available from #letsencrypt These certificates are valid for 160 hours, just over six days. In order to get a short-lived certificate subscribers simply need to select the ‘shortlived’ certificate profile in their #ACME client."

"IP address certificates allow server operators to authenticate TLS connections to IP addresses rather than domain names.
...

IP address certificates must be short-lived certificates"

#tls #certificates

https://letsencrypt.org/2026/01/15/6day-and-ip-general-availability