Взяли мы, значит, сегодня, вилдкарт сертификат в руцентре за 10к деревянных...
Руцентр сразу же отправил письмо (с ссылкой на подтверждение прав на домен) на ящик admin@нашдомен.
Однако, такого ящика на этом домене у нас нет.
И действительно, можно же указать другой ящик... ой... ограниченный выпадающим списком, который предлагает руцентр (admin, administrator, hostmaster, webmaster, postmaster).
Ладно, меняем на postmaster и... ждём — ведь отправить повторное письмо можно только через час.
Пока ждём, генерируем на своем сервере *.key а из него *.csr.
Через час отправляем письмо на постмастер ящик. Письмо приходит. Серт выпускается и...
ОНИ СГЕНЕРИРОВАЛИ *.key и *.csr ДЛЯ НАС САМИ!!!
https://www.youtube.com/watch?v=1dRrE_ROot0
Хм... Что же делать? Оказывается, чтобы всунуть им свой *.csr, нужно заказать перевыпуск сертификата. Благо — это бесплатно.
Ладно, нажимаем кнопку «перевыпустить» и видим такую картину:
(тут и далее, красные рамки мои)
1) О! Так они и не скрывают, что секретный ключ скомпрометирован!
2) Да, они снова сразу хотят отправить письмо на admin@нашдомен без возможности выбора на этом шаге. Жмакаем «продолжить»:
Всё ещё впаривают тот *.csr от скомпрометированного ключа. Такая большая кнопка «сохранить приватный ключ» и такая блеклая ссылочка «использовать свой csr».
Жмакаем «использовать свой». Да, письмо уходит на «админ», снова правим на «постмастер», снова ждём час и жмакаем повтор отправки.
Теперь ждём ещё часик. Может два?
Ну, баба Маня у них там одна, и серты выпускает и письма рассылает. Ей и так тяжело, вот, решили они, сердобольные, оптимизировать её работу, а главное — безопасность повысить.
Будьте внимательны!!!
Модераторы, если считаете что теме место в другом разделе (security, talks) — переносите.