Телеграм канал «Об ЭП и УЦ»

🚨 Let's Encrypt: инцидент с кросс-сертификатами Gen Y

На прошлой неделе Let's Encrypt пришлось экстренно приостанавливать выдачу сертификатов. Причина - ошибка конфигурации кросс-сертификатов, связывающих новые корневые сертификаты поколения Gen Y с действующими корневыми X1 и X2.

🔹8 мая 2026 года Let's Encrypt опубликовал предварительный отчет об инциденте. В нарушение политики CCADB, вступившей в силу 15.06.2025, ни один из кросс-сертификатов (1, 2), созданных 03.09.2025, не содержит расширения Extended Key Usage с критически важным значением serverAuth, предназначенным для TLS.

Gen Y - новое поколение корневых и промежуточных сертификатов Let's Encrypt. Чтобы старые устройства доверяли этим сертификатам, используется кросс-сертификация: корневой сертификат Gen Y (YE или YR) подписывается действующим старым корнем (X1 или X2), который уже есть в хранилищах ОС. Без serverAuth EKU такая кросс-подпись технически не предназначена для аутентификации веб-серверов, поэтому это прямое нарушение отраслевых требований.

🔹проблема была обнаружена сторонними исследователями 08.05.2026. Let's Encrypt немедленно останавливает выдачу новых сертификатов, спустя примерно 2,5 часа изменил конфигурацию, временно переведя выдачу на иерархию Gen X, и возобновил выдачу сертификатов в штатном режиме.

❌Под вопросом валидность конечных сертификатов. Сейчас в сообществе (ветка на Bugzilla) разгорается дискуссия: представители сообщества настаивают, что проблема серьезнее, чем просто "неправильные промежуточные сертификаты". Аргумент следующий: если выпущенные кросс-сертификаты технически не совпадают с профилем, описанным в CPS Let's Encrypt (там прямо прописано наличие serverAuth EKU), то и все конечные сертификаты (LEAF) этой иерархии, выданы с нарушением регламента (CP/CPS). А это триггер для раздела 4.9.1.1(12) Базовых требований (BR), который обязывает УЦ отозвать такие конечные сертификаты.

🔹Let's Encrypt признал инцидент и готовят полный отчет в течение недели. Но пока нет ответа на вопрос, коснется ли отзыв конечных пользовательских сертификатов. Если ответ будет положительным и потребуется массовая смена, то это может стать самым масштабным инцидентом в мировом PKI.

Let's Encrypt - лидер по объему выданных сертификатов безопасности для сайтов Рунета, более 85% по итогам 2025 года.

P.S. В комментариях упоминается вторая ошибка: поле Organization в Subject содержит не эталонное для LE значение "Let's Encrypt", что является дополнительным нарушением CPS.

✍️"Об ЭП и УЦ"

З/п бухгалтера, юриста, маркетолога

С продавцами всё понятно: процент, план, KPI.
А как оценить тех, у кого нет продаж? Бухгалтера? Юриста?

Платить оклад — сидят ровно.
Привязать к выручке — они на неё не влияют.
Придумать «субъективные» KPI — обижаются и спорят.

Выход есть. Сегодня открыли доступ к курсу для руководителей «Ежедневная мотивация»:

✅ KPI для маркетолога – 30 гипотез в месяц. Гипотеза принесла клиентов – ещё премия.

✅ KPI для проектной команды – сделал быстрее запланированного – премия из экономии бюджета.

✅ Грейды для «непродающих» должностей – как платить разную зарплату на одной позиции. Бухгалтер хочет больше – изучает новые навыки, переходит на грейд выше.

Оставьте заявку на бесплатный доступ на 2 дня.

👌 Модуль про грейды на производстве и в ивент-агентстве тоже будет доступен!

Записаться онлайн

#реклама 16+
gd.ru
О рекламодателе

❌Взлом Госуслуг - причины, последствия и что делать

меня взломали мошенники, выгрузили мои данные с госуслуг, прислали ген доверенность с моей электронной подписью, заверил нотариус Петровский И.В, подскажите надо ли идти к нотариусу теперь

Довольно часто такие вопросы появляются в сети. Взломали Госуслуги - потому что сами и сообщили код из смс. Тотальное непонимание населением технологии электронной подписи, поэтому и получаем вопросы "прислали ген доверенность с моей электронной подписью" - её там нет, а есть только картинка, при этом нотариус Петровский ранее уже "засветился в подделке доверенностей".

Что в первую очередь нужно сделать:
🔹восстановить доступ к Госуслугам, например, через приложение Сбербанк Онлайн - Все сервисы -  Госуслуги - Восстановить.
🔹сменить пароль доступа и проверить последние операции.

Что не нужно делать - спрашивать так называемых юристов, которые советуют бежать к нотариусам и "блокировать электронную подпись", в схеме мошенничества не задействованы ни нотариус, ни электронная подпись.

Взломанные Госуслуги - это уже вторая фазы атаки в многоуровневой схеме мошенничества, поэтому важно не поддаваться эмоциям и прекратить любые контакты с мошенниками.

✍️"Об ЭП и УЦ"

Сколько денег вы потеряли из-за ошибок в поставках?

Мастер Поставки — сервис автоматического расчёта и планирования поставок на Ozon.

Платформа:

- рассчитывает оптимальный объём поставки на основе реальных продаж FBO и FBS
- распределяет товары по складам Ozon с учетом спроса и остатков
- снижает риск out of stock и излишков
- помогает сохранять позиции и увеличивать прибыль

То, что раньше занимало часы ручных расчётов — теперь занимает минуты.

Перейти на сайт

#реклама 16+
masterpostavki.ru
О рекламодателе

С Днём Победы в Великой Отечественной войне!

Куда срочно перенести рабочие чаты?

Битрикс24 — ваш мессенджер для работы и бизнеса.
Личные и групповые чаты, видеозвонки и каналы в одном сервисе. Приглашайте коллег и внешние команды. Работает как привычный мессенджер.
Есть бесплатный тариф. Начните работать уже сейчас.

Битрикс24 — мессенджер для вашей компании.

Попробовать

#реклама 16+
bitrix24.ru
О рекламодателе

🔐 Будьте в курсе новостей сферы электронной подписи, подписавшись на канал "Об ЭП и УЦ" в Telegram, основанный Павлом Дуровым.

✍️"Об ЭП и УЦ"