SSL certificate requirements are becoming obnoxious 💬 Длинная дискуссия
SSL-сертификаты превратились в головную боль
Я утверждаю SSL для компании: процесс отлажен, но частота задач выросла с «раз в квартал» до «еженедельно». Сертификаты критичны, но их администрирование уже даёт обратный эффект.
Методы валидации
Издатель отказался от файловой проверки для wildcard и усложнил её для обычных сертификатов. Остались TXT-записи и email, но почту для test.lab.corp.example.com никто не создаёт, так что фактически выбор один — DNS.
Новые защиты
Следующий месяц принесёт MPIC: CA будет проверять домен с нескольких географических точек, чтобы победить BGP-hijacking.
- Сколько компаний ограничивают доступ по регионам?
- Сколько сертификатов реально выдали злоумышленники? В Википедии один случай за 2021 год — $1,9 млн ущерба. Стоит ли оно внедрения?
Сроки и коммуникации
О «прорывных» изменениях узнаю за пару недель. Приходится смущённо просить коллег «проверьте, не сломается ли прод» — это подтачивает доверие.
Срок жизни сертификатов
Самая мерзкая новинка — постепенное сокращение сроков валидации…
Комментарии (213)
- Современные инструменты (Let’s Encrypt, ACME, Caddy) уже автоматизировали SSL для большинства сайтов, оставляя минимум ручной работы.
- Сокращение срока жизни сертификатов до 47 дней сознательно заставляет команды автоматизировать процесс и снижает риски отзыва.
- В крупных и регулируемых компаниях всё ещё много ручных процессов: аудиты, внутренние CA, специфические требования к сертификатам.
- Для старых устройств, вендорских продуктов и внутренней инфраструктуры автоматизация остаётся нетривиальной или невозможной.
- Некоторые считают, что всё это — способ «контроля» и вытеснения пользователей в облачные платформы.
Static sites with Python, uv, Caddy, and Docker
Стек для Python-статики: uv + Caddy + Docker
Я почти полностью перешёл на uv — он быстрый, удобен и сам ставит нужный Python. Статические сайты собираю Python-скриптами, а раздаю через Caddy в многоступенчевом Docker-контейнере.
Пример на sus
Dockerfile (сжато):
FROM ghcr.io/astral-sh/uv:debian AS build
WORKDIR /src
COPY . .
RUN uv python install 3.13
RUN uv run --no-dev sus
FROM caddy:alpine
COPY Caddyfile /etc/caddy/Caddyfile
COPY --from=build /src/output /srv/
- Берём образ с uv, копируем код.
- uv ставит Python 3.13 и зависимости, запускает
sus, который кладёт сайт в/output. - Вторая стадия — лёгкий Caddy. Копируем конфиг и готовые статические файлы в
/srv.
Caddyfile минимален:
:80
root * /srv
file_server
Запуск:
docker build -t sus .
docker run -p 80:80 sus
Итог: быстрая сборка, маленький образ, автоматический HTTPS при нужном домене.
Комментарии (75)
- Почти все комментаторы считают выбранный стек (Docker, uv, Caddy, Coolify) избыточным для статического личного сайта.
- Критика сводится к тому, что достаточно «HTML → Nginx/Apache» или даже «HTML → FTP».
- Автор отвечает: хотел остаться в экосистеме Coolify ради единого CI/CD и «zero-SSH» деплоя.
- Некоторые предлагают минимальные Dockerfile (nginx:alpine + COPY) или вообще отказаться от контейнеров.
- Обсуждение выродилось в дискуссию о «культуре овер-инжиниринга» и самоучках, использующих сложные инструменты без понимания базовых.