SSL-скандал не в TLS, а в CSR.
Чаще всего сертификат ломается не на «настройке безопасности», а на этапе, где команды делают вид, что всё понятно:
— забыли SAN-домен;
— перепутали wildcard и реальный охват;
— руками накидали openssl.cnf и потом ловят 502 в проде.
Типичный фейл: выпустили сертификат на `*.domain.com`, а `api.domain.com` и `domain.com` в него не попали. В итоге сервисы падают, алерты горят, а причина — один пропущенный SAN.
И это ещё не худшая часть. Срок жизни сертификатов уже режут до 47 дней к 2029 году. Ручной выпуск при такой частоте — не процесс, а будущий инцидент. Если у вас сейчас CSR делается «по чеклисту в голове», вы уже в зоне риска.
Что забирать в работу:
1) генерировать CSR только через шаблоны/автоматизацию;
2) валидировать SAN до выпуска, а не после;
3) не считать wildcard заменой нормальной архитектуры доменов;
4) уводить выпуск в ACME/PKI-автоматизацию, пока это не стало пожаром.
Вывод простой: проблема не в сертификатах, а в ручном процессе. И он уже не масштабируется. 🔥
Growth Room
@GrowthRoomHub
SSL-скандал не в TLS, а в CSR.
Этот пост опубликован в Telegram-канале Growth Room. Подписаться можно по ссылке: @GrowthRoomHub.