Экспериментальный сервер TLS 1.3: замена сертификатов
На тестовом сервере TLS 1.3, который я реализовал и некоторое время поддерживаю по адресу tls13.1d.pw, пришлось тоже перейти на TLS-сертификаты Let’s Encrypt. А это привело к замене цепочки с ECDSA на цепочку с RSA, что, конечно, не очень хорошо. Вообще, так как сервер экспериментальный и полностью самописный, замена сертификатов требует ручного вмешательства, поэтому “долгие” сертификаты удобнее, чем трёхмесячные. Но, в принципе, можно процесс автоматизировать.
Я как-то перестал описывать изменения тестового сервера на dxdt.ru: прошлая записка на эту тему датирована январём 2020 года. При этом сервер продолжают использовать, он даже помогает находить ошибки и неточности в реализациях TLS стороны клиента. Конечно, ошибки обнаруживаются и в самом сервере – их я стараюсь исправлять.
Адрес записки: https://dxdt.ru/2022/12/05/9351/
Похожие записки:
- TLS: выбор сертификата по УЦ в зависимости от браузера
- Говорилки в google-поиске
- Ретроспектива заметок: август 2007 года
- Чтение RSS
- Очередной переезд dxdt.ru
- Реплика: о языках программирования, из практики
- Системы счисления и системное администрирование
- Год 2023, новый
- Десятилетие DNSSEC в российских доменах
- Удостоверяющий центр TLS ТЦИ
- Техническое: poison-расширение и SCT-метки в Certificate Transparency
Комментарии читателей блога: 2
1. 7th December 2022, 21:04 // Читатель fandrey написал:
Забавно с твитере Летскрипт репостнул партнёрский твит что теперь всё для всех и даром :) (Elliptic Curve Cryptography (ECC) signatures are the future for #SSL…) https://twitter.com/dnsimple/status/1600516740550725633
полез глянуть что реально, и из гугла так и не понял, так довлючили они его весной или нет, гугл сюда в итоге с первой страницы занёс :)
2. 7th December 2022, 21:21 // Александр Венедюхин ответил:
ECDSA у них есть, но, видимо, где-то что-то нужно переключить, а я пока что просто certbot использовал, который, наверное, не версии 2.0.
Написать комментарий