Телеграм канал «Об ЭП и УЦ»

✍️Let's Encrypt не будет отзывать сертификаты пользователей

Час назад представитель Let's Encrypt Аарон Гейбл сообщил, что сертификаты пользователей не были выданы ошибочно, их не будут отзывать в рамках реагирования на данный инцидент. Let's Encrypt предоставит полные ответы на вопросы одновременно с публикацией полного отчета об инциденте.

Давайте подумаем, почему это произошло, почему в кросс-сертификатах Gen Y, созданных 03.09.2025, расширение отсутствовало.

Чтобы понять причину нужно разделять:
🔹промежуточные сертификаты Gen Y - непосредственно участвуют в выдаче TLS-сертификатов для сайтов. У них в EKU корректно указан только serverAuth. Именно это позволило запустить профиль tlsserver без clientAuth.
🔹кросс-сертификаты - сертификаты совместимости, созданы подписанием публичного ключа нового корня Gen Y старым корнем. Именно в них расширение EKU ошибочно отсутствовало.

Кажется, что ошибка выглядит как сбой валидации профиля: проверялось отсутствие "лишнего" (clientAuth), но не проконтролировали обязательное наличие "нужного" (serverAuth). С точки зрения логики Gen Y курс на "очистку" EKU соблюден, а с точки зрения CCADB - критическое нарушение.

Из-за этого инцидента были отложены три важных обновления, запланированных на 13 мая:
🔹сокращение срока действия сертификатов для профиля tlsserver с 90 до 45 дней.
🔹прекращение поддержки профиля tlsclient с 8 июля 2026 года.
🔹перевод профиля classic на использование промежуточных сертификатов Gen Y.

Соответствующий комментарий
The switch to Generation Y intermediaries announced here will be delayed.
появился в ветке обсуждения на community.letsencrypt.org.

Ошибку обнаружили эксперты из организаций Mozilla, DigiCert, Sectigo, которые участвуют в разработке и развитии стандартов WebPKI.

Отдельно отмечу, как оперативно сотрудники Let's Encrypt сработали по внешнему сигналу, получив информацию немедленно отреагировали - остановили выдачу, подтвердили проблему и опубликовали предварительный отчёт. Вот бы ответственные лица за Головной УЦ также быстро бы реагировали.

✍️"Об ЭП и УЦ"

Продолжается набор на 2026/2027 учебный год

Хотите карьерного роста, но нет времени на очное обучение или не сдавали ЕГЭ?

Вы можете получить высшее образование дистанционно, легко совмещая с работой.

✅ Диплом государственного образца от ТОП-вуза Москвы, который ценится работодателями.
✅ Гибкий график: лекции доступны 24/7, а онлайн-семинары проходят по выходным.
✅ Актуальные знания: программы обновляются ежегодно под запросы работодателей, преподают практики.
✅ 15 востребованных направлений: от ИT и интернет-маркетинга до психологии и управления.
✅ Доступно: стоимость от 7 590 ₽/мес, возможна оплата в рассрочку и материнским капиталом. Узнайте подробнее и получите консультацию приемной комиссии о возможности поступления:

Узнать больше

#реклама 16+
mp-kmept.ru
О рекламодателе

🚨 Let's Encrypt: инцидент с кросс-сертификатами Gen Y

На прошлой неделе Let's Encrypt пришлось экстренно приостанавливать выдачу сертификатов. Причина - ошибка конфигурации кросс-сертификатов, связывающих новые корневые сертификаты поколения Gen Y с действующими корневыми X1 и X2.

🔹8 мая 2026 года Let's Encrypt опубликовал предварительный отчет об инциденте. В нарушение политики CCADB, вступившей в силу 15.06.2025, ни один из кросс-сертификатов (1, 2), созданных 03.09.2025, не содержит расширения Extended Key Usage с критически важным значением serverAuth, предназначенным для TLS.

Gen Y - новое поколение корневых и промежуточных сертификатов Let's Encrypt. Чтобы старые устройства доверяли этим сертификатам, используется кросс-сертификация: корневой сертификат Gen Y (YE или YR) подписывается действующим старым корнем (X1 или X2), который уже есть в хранилищах ОС. Без serverAuth EKU такая кросс-подпись технически не предназначена для аутентификации веб-серверов, поэтому это прямое нарушение отраслевых требований.

🔹проблема была обнаружена сторонними исследователями 08.05.2026. Let's Encrypt немедленно останавливает выдачу новых сертификатов, спустя примерно 2,5 часа изменил конфигурацию, временно переведя выдачу на иерархию Gen X, и возобновил выдачу сертификатов в штатном режиме.

❌Под вопросом валидность конечных сертификатов. Сейчас в сообществе (ветка на Bugzilla) разгорается дискуссия: представители сообщества настаивают, что проблема серьезнее, чем просто "неправильные промежуточные сертификаты". Аргумент следующий: если выпущенные кросс-сертификаты технически не совпадают с профилем, описанным в CPS Let's Encrypt (там прямо прописано наличие serverAuth EKU), то и все конечные сертификаты (LEAF) этой иерархии, выданы с нарушением регламента (CP/CPS). А это триггер для раздела 4.9.1.1(12) Базовых требований (BR), который обязывает УЦ отозвать такие конечные сертификаты.

🔹Let's Encrypt признал инцидент и готовят полный отчет в течение недели. Но пока нет ответа на вопрос, коснется ли отзыв конечных пользовательских сертификатов. Если ответ будет положительным и потребуется массовая смена, то это может стать самым масштабным инцидентом в мировом PKI.

Let's Encrypt - лидер по объему выданных сертификатов безопасности для сайтов Рунета, более 85% по итогам 2025 года.

P.S. В комментариях упоминается вторая ошибка: поле Organization в Subject содержит не эталонное для LE значение "Let's Encrypt", что является дополнительным нарушением CPS.

✍️"Об ЭП и УЦ"

З/п бухгалтера, юриста, маркетолога

С продавцами всё понятно: процент, план, KPI.
А как оценить тех, у кого нет продаж? Бухгалтера? Юриста?

Платить оклад — сидят ровно.
Привязать к выручке — они на неё не влияют.
Придумать «субъективные» KPI — обижаются и спорят.

Выход есть. Сегодня открыли доступ к курсу для руководителей «Ежедневная мотивация»:

✅ KPI для маркетолога – 30 гипотез в месяц. Гипотеза принесла клиентов – ещё премия.

✅ KPI для проектной команды – сделал быстрее запланированного – премия из экономии бюджета.

✅ Грейды для «непродающих» должностей – как платить разную зарплату на одной позиции. Бухгалтер хочет больше – изучает новые навыки, переходит на грейд выше.

Оставьте заявку на бесплатный доступ на 2 дня.

👌 Модуль про грейды на производстве и в ивент-агентстве тоже будет доступен!

Записаться онлайн

#реклама 16+
gd.ru
О рекламодателе

❌Взлом Госуслуг - причины, последствия и что делать

меня взломали мошенники, выгрузили мои данные с госуслуг, прислали ген доверенность с моей электронной подписью, заверил нотариус Петровский И.В, подскажите надо ли идти к нотариусу теперь

Довольно часто такие вопросы появляются в сети. Взломали Госуслуги - потому что сами и сообщили код из смс. Тотальное непонимание населением технологии электронной подписи, поэтому и получаем вопросы "прислали ген доверенность с моей электронной подписью" - её там нет, а есть только картинка, при этом нотариус Петровский ранее уже "засветился в подделке доверенностей".

Что в первую очередь нужно сделать:
🔹восстановить доступ к Госуслугам, например, через приложение Сбербанк Онлайн - Все сервисы -  Госуслуги - Восстановить.
🔹сменить пароль доступа и проверить последние операции.

Что не нужно делать - спрашивать так называемых юристов, которые советуют бежать к нотариусам и "блокировать электронную подпись", в схеме мошенничества не задействованы ни нотариус, ни электронная подпись.

Взломанные Госуслуги - это уже вторая фазы атаки в многоуровневой схеме мошенничества, поэтому важно не поддаваться эмоциям и прекратить любые контакты с мошенниками.

✍️"Об ЭП и УЦ"

Сколько денег вы потеряли из-за ошибок в поставках?

Мастер Поставки — сервис автоматического расчёта и планирования поставок на Ozon.

Платформа:

- рассчитывает оптимальный объём поставки на основе реальных продаж FBO и FBS
- распределяет товары по складам Ozon с учетом спроса и остатков
- снижает риск out of stock и излишков
- помогает сохранять позиции и увеличивать прибыль

То, что раньше занимало часы ручных расчётов — теперь занимает минуты.

Перейти на сайт

#реклама 16+
masterpostavki.ru
О рекламодателе

С Днём Победы в Великой Отечественной войне!