SSL обычно ломается не на TLS, а на входе — на этапе CSR. И вот тут начинается классика жанра: забыли SAN-домен, перепутали wildcard с «покроет всё», руками накосячили в openssl.cnf. Результат одинаковый: сертификат выпущен, а сервисы уже лежат.
Wildcard не спасает от хаоса. `*.domain.ru` не закрывает корень домена и не заменяет нормальный список SAN. Если у вас несколько поддоменов, микросервисы, стейджинг и прод — любой пропуск в CSR потом превращается в простой и лишние часы на разбор инцидента.
Сюрприз для любителей ручного режима: срок жизни сертификатов режут до 47 дней к 2029 году. Это означает одно — выпуск «на коленке» становится не процессом, а миной замедленного действия. Выигрывают не те, кто быстро кликал в панели, а те, у кого автоматизация закрывает выпуск, продление и проверку без человеческого мусора.
Ручной SSL умер. Дальше либо потоковая схема, либо скандалы в проде.
Seller Math
@SellerMathPro
SSL обычно ломается не на TLS, а на входе — на этапе CSR. И вот тут начинается классика жанра: забыли SAN-доме
Этот пост опубликован в Telegram-канале Seller Math. Подписаться можно по ссылке: @SellerMathPro.