Удалёнка: опыт и лайфхаки
Реклама
Комментарии 50
+9
Про «от $475» за wildcard — это alizar драматизирует с утра: покупается сие чудо, скажем, от примерно $45, и такой уж прямо чтобы проблемной эта сумма не выглядит. А для компаний, которые прикрывают много хостов/поддоменов одним сертификатом это вообще копейки. В России большей проблемой является купить то же за рубли, чтобы с бумажками — тут приходится идти к разным реселлерам, которые накручивают от 300 до нескольких тысяч процентов.

Другое дело, что автоматическое обновление короткоживущих сертификатов — это просто здорово, а заодно лечит мозги как потребителям на этом рынке, так и продавцам, которые теперь (с их-то репутацией!) будут выдумывать для обоснование своих цен что-то большее, чем разговоры про какие они надежные и неподкупные. У них и остается пока продажа wildcard и EV в активе, а скоро будет только EV.

Спасибо LE!
0
Ну вот у меня кейс за который жаба давит платить 55 баксов (45 это на три года, а смысл, если до летсенкрипт меньше года?) — у меня на девсервере короткий домен и конкретные проекты на поддоменах, а прод уже на своих доменах. Пока на хттпс не перешел, то делал поддомены вида clientProjectName.site.com, сейчас пришлось делать siteNN.site.com ибо честно — жаба давит ради красоты выкидывать ящик пива). А автоматизировать перевыпуск сертификата при добавлении поддомена — долго.
У хостеров многих пока клиентский домен отрезолвится — дают поддомен своего домена (у каждого сервера свой или один общий, у кого как) стоящий псевдонимом. Если таких серверов у хостера сотня, то набегает копеечка.
ПС: За ссылку спасибо, 55 это дешевле чем 70 которые я знал.
0
У вас свой техпроцесс, тут уж как получается. На dev-е, как ни крути, сделать свои самоподписанные сертификаты дешевле и проще. Если нет, то делать LE-серты на каждого клиента (что тоже имеет смысл), и уж со скриптом повозиться раз можно (не говоря что готовых скриптов много) — через владение доменом подтвердите.

P.S. Более того, при вашем раскладе wildcard спасет только для *.ваш-домен.com, но не в случаях, когда клиент дает свой поддомен для вашей разработки.
0
Самоподписанный не подходит ибо клиенты тупо не способны на него зайти).
Но в целом siteNN.site.com проблему решает, так что я и не усложняю дальше. Но да, мне было бы удобно вилдкард, при этом платить за него нерационально.
Комент был исключительно об этом.
0
И правда! Я, признаться, на русскую никогда и не заходил, и такой проблемы не ловил. Интересно, если здесь есть представители GoGetSSL, может, они как-то прокомментируют?

Возможно, они просто научились продавать с русскими бумагами, и разница — плата за этот геморой оформление именно бумажек? В любом случае, ТП у ребят отлично работает, и задать этот вопрос им можно вполне.
+6
Ура, товарищи, свершилось! Можно будет наконец-то избавиться от кошмарного скрипта, регистрирующего кучу служебных поддоменов.
0
Мой внутренний параноик немного напрягся… Ну не бывает «Счастья для всех, даром, и пусть никто не уйдет обиженный!»
+2
Да, непривчно совсем. Но этим то я верю, у них спонсоры взрослые.
Переход на http/2 и шифрования во многом выгодно для китов индустрии.
А вот у меня случай был веселее.
Прихожу в налоговую восстанавливать одно из наших юрлиц.
Там были некоторые проблемы, и было решено что проще пока не разгребать, а отложить.
Ну «отложить» закончилось. Я прикинул что там денежных санкций (штрафов и т.п.) на штуку баксов, и еще месяц беготни с бумажками. Прихожу, а в налоговой и говорят, мол забудьте. Мы забыли, и вы забудьте. Просто новые операции ведите нормально, вот тут одну заяву напишите, и всё.
У нас весь офис в параноиков превратился).
Но вроде правда.
-2
Еще бы киты (это я про авторов браузеров) вспомнили, что для http/2 не обязательно использовать шифрование.

P.S. Вы хоть в наложку в маске приходили, чтобы они вас в лицо потом на лице не узнали и не побежали вслед, чтобы штрафы навешать? Шутка!
0
Я за право выбора. http/2 хорош новыми своими фичами, и я знаю сайты, которые бы отлично прожили без шифрования, но с http/2. И, точно так же, знаю сайты, которым без шифрования никак. Так что давайте оставим это на выбор автора сайта раздельно: включать ли http/2 и использовать ли https.

А дело в том, что стандарт предполагает http/2 как с, так и без шифрования, а реализован только вариант «с». Половинчато как-то?

P.S. За смайлики тут ругают!
+2
Ну как-то было бы странно переходить на http2 и пользоваться его фишками и при этом съэкономить пару минут и не приделать https…

P.S.: Кто ругает — пусть сидит грустный.
+1
«Как-то странно было бы переходить на самолеты и не приделать реактивный двигатель.»

Это совсем разные технологии, и, до кучи, можно приделать все, но — как с той буханкой и тролейбусом — иногда есть и вопрос «а зачем?»
0
Затем, что все каналы которые можно зашифровать — это надо сделать, везде где можно E2E шифрование — надо его. Чем больше шифрованного трафика тем лучше.
0
Опять вспоминаю картинку про буханку и троллейбус из нее. «Сделать-то можно, но зачем?»

Плохо не то, что шифрование есть или отсутствует, плохо, когда один (даже очень хороший) инструмент пытаются распространить совершенно везде. Попробуйте идти от другого: какую пользу вы преследуете, запрещая использовать нешифрованный трафик?

В чем польза от шифрования всего-всего? Есть достаточное число случаев, когда https-only создает существенные проблемы, не принося заметного выигрыша.
0
«А вам, подозреваемый, я посоветую думать, прежде чем говорить!» Хотя, конечно, «товарищу майору ваш анекдот понравился», «вы посмейтесь — и мы посмеемся».

Вы, я вижу, ставите самоцелью гонять данные только так, чтобы (как вы думаете) они передавались без возможности перехвата или подмены? Но как быть с накладными расходами, которые, хотите вы или нет, но в иных ситуациях проявляются заметным образом? Я вот ниже приводил ссылку на пост, посмотрите, скажите свое мнение!
0
Ради накладных расходов в стандарте и заложили возможность без шифрования.
Но это скорее задняя дверь. Для всяких АПИ где среда уже шифрована или безопасна а накладные расходы мешают.
А в открытом море Интернете лучше шифровать.
-1
А зачем вам http2? Выигрыш производительности он даёт только перед http1.1+ssl. http1.1 без ssl быстрее, чем http2. Не хотите ssl — не искользуйте http2 только и всего.

А насчет повсеместности шифрования, повсеместно, оно нужно, чтоб скрывать в потоках шифрованных котиков информацию, которую реально нужно шифровать. Чтоб товарищ майор не мог придти и сказать: «используете шифрование? отключим интернет!»
-1
http2 — новая технология, там еще копать и копать. Кое-какие вопросы она устраняет, добавляя новых. TLS для ее работы может быть, но не необходим, если вдуматься — так давайте их не связывать.

А что товарищ майор не посмотрит на % трафика, ушедшего в крипто, если захочет дать команду «выйти из сумрака!», так это данность. Хоть все котики мира будут в https, хоть не все, хоть ни одного — скажет вам тов. майор, мол, уважаемые, вы используете для котиков технологии, используемые террористами для координации похода в кино нападения на мирных несовершеннолетних граждан, так что мы 443 порт отключаем, или вам детей не жалко?!", и https мигом пропадет — его либо отключат, либо сайты пропадут из доступа. Более того, еще и припомнят потом, что вы со своими криптоидеями давали террористам прятаться за беззащитными котиками!
0
http2 — новая технология, там еще копать и копать. Кое-какие вопросы она устраняет, добавляя новых. TLS для ее работы может быть, но не необходим, если вдуматься — так давайте их не связывать.


Не услышал ответа на мой вопрос: зачем Вам вообще http2? Если он будет без TLS.

А что товарищ майор не посмотрит на % трафика, ушедшего в крипто, если захочет дать команду «выйти из сумрака!», так это данность.


Вот именно поэтому надо стремиться к тому, что б отключение «крипто» было эквивалентно отключению связи вообще. То есть, чтоб ВСЯ связь (хотя бы web) была зашифрована.
-1
Опять вы все перевираете. Т.е. у нас два вопроса: зачем нам http2, и зачем нам tls.

На первый откройте любой пост про http2, и почитайте, зачем его придумали. Мне лично интересны в нем бинарность формата и мультиплексирование, кажется интересной фича с server push. http/2 быстрее, чем http/1.1 (а не наоборот, как вы говорите), но тут мы с вами упираемся в то, что браузеров-то, которые бы это нам показали, как бы и нет, правильно?

Зачем TLS? Чтобы не показать и не дать попортить важные для нас и для других данные. Если же информация из серии «не жалко», и если у нас клиент слабый процессором и энергией, то TLS ситуацию не улучшат, но ухудшат. TLS от слова «никак» кешируется на прокси — если мы только не устроим MITM из нашего прокси — он более чувствителен к разным мелочам (ба, даже к точности часов клиента и сервера!). Нужно ли это в 100% случаев?

Вы подходите к вопросу широко: если на площади нельзя гулять, потому что «работает снайпер», то надо не обходить площадь тем, кто по ней собирался пройти, а выгнать на нее население всего города (даже кто не хотел туда), авось снайперу станет стыдно, или патронов не хватит, или он цель не заметит. Накладные расходы (невинные жертвы, скажем) вас в этом схеме не интересуют.

Максимализм — штука хорошая, но для удовлетворения ваших (не буду аттестовать их) планов вы предлагаете всем вокруг поменять ПО, компьютеры, батареи в мобильных устройствах, только чтобы остаться на том же (или не сильно худшем) уровне комфорта. Это минимум нечестно по отношению ко всем вокруг.

Товарищу же майору будет пофиг, и честно/нечестно он не будет рассуждать. Он (как пример) просто введет штраф за передачу через каналы связи крипто, и платить, скажем, станут провайдеры — как думаете, что им останется делать?

Фильтрация трафика задевает (потенциально) 100% населения страны, но крики ни к чему не приводят, сами видите. Сидеть на заднице, конечно, не лучший выбор, но вы, чтобы у вас не отобрали (это если думать, что еще не отобрали) интернет, решили отобрать его у всех других — чем это лучше подхода даже не товарища майора, а товарища прапорщика?
0

Простите, а можно узнать про клиента «слабого процессором и энергией», которому приходится гулять по HTTPS-сайтам и от которых ему прям совсем уж плохо? В 2006-м у меня был (точнее, до сих пор где-то валяется) Sony Ericsson K300i — ЕМНИП, он прекрасно работал с TLS без видимых тормозов.

0
В 2009 у меня уже был двухядерный HTC HD2, сейчас у меня уже четырёхядерный телефон который при максимальной нагрузке держит батарею 3-е суток, но мы всё ещё беспокоимся о мобильниках.
0
прекрасно работал с TLS без видимых тормозов

Работал, и без тормозов — но тратил энергии больше. Насколько больше — вы уж сами замерьте, я про ту модель ничего не знаю. Но для интернета вещей даже такой лишний расход может быть заметен, скажем.
Выше вы писали, что http/2 без шифрования медленнее, чем http/1.1, здесь у вас устройство, делая больше вычислительной работы, делает это энергетически бесплатно. Давайте тогда еще и IPv6 принудительно внедрим везде вместо IPv4, до кучи — раз уж новые технологии, то уж во всем!
0
Но для интернета вещей даже такой лишний расход может быть заметен, скажем.

А что, интернет вещей не нуждается в защите трафика?
0
Вы читали переписку выше? Человек говорит: воду пить хорошо, но только обязательно подслащенную. Я пишу в ответ, что «воду пить хорошо» — это одно, а «с сахаром» — это другое, и давайте дадим потребителю выбор, мало ли, кому-то с сахаром не нравится, или там собаку поить с сахаром вроде как не нужно — а вы мне отвечаете, что, нефиг, собакам тоже сахара нужны.

То, что трафик IoT может нуждаться в шифровании, не означает, что весь трафик всех устройств обязательно требует этого. Там, где надо — шифруем, где не надо — не шифруем. И то же со всем остальным трафиком.
-1
У вас на IoT стоит браузер? Давно?
Стандарт позволяет без шифрования.
Браузеры — нет.
Всё.
0
Спасибо за ваше мнение. Ваша позиция понятна, непонятно только, почему вы полагаете, что ваше личное мнение должны принять все в мире вокруг: и владельцы сайтов, и хостеры, и юзеры. Все, кто заплатит за внедрение и нужного (в одних случаях) и ненужного (в других) шифрования — да, как деньгами на настройку и изменения софта, так и, в т.ч. расходом энергии, времени и т.д.

Вам вообще автомобилисты не мешают на дорогах? Давайте так и скажем: автомобилям — нет, они опасны, и мешают гулять (или на велосипедах ездить)!

Вы выше правильно пишете — «лучше шифровать». С этим полностью согласен. А вот «обязательно всегда» — да вы и сами понимаете, что «случаи бывают разные».
0
Еще раз. Стандарт позволяет вам работать без шифрования.
Как исключение для тех кому «дорого».
Стандарт позволяет.
Стандарт позволяет.
Еще раз написать?
А авторы браузеров эту возможность не реализовали.
Почему?
Просто они не ожидали что их браузеры будут стоять на IoT.
А если на девайсе FullHD-экран, то странно слышать о том, что ему «дорого» шифрование.
0
Но при этом не обязательно должен использовать. Можно да, можно нет. Как мороженное с сиропом — кто не любит, покупает без сиропа, и мороженное от этого хуже не становится.

Еще раз — наличие крипто только хорошо, но оно не должно быть обязательным: кому надо, тот настроит и шифрование, в добавок к http/2, кому шифровать не надо, должен быть в состоянии использовать http/2 без шифрования.

И эта идея разбивается об то, что современные браузеры все как один не умеют работать с http/2 без шифрования.
0
Не так. Кому НАДО без шифрования — настроит без шифрования.
Мы ведь про интернет вещей говорим, правда? Все остальное в этой экономии не нуждается.
0
Чтобы не тратить много слов: вот неплохой пост по поводу http/2 (существует кривоватый русский перевод этого же поста). Написано некоторое время назад, но суть не поменялась.

Есть также FAQ по http/2, где, в частности, кратко сказано:
Does HTTP/2 require encryption?
No. After extensive discussion, the Working Group did not have consensus to require the use of encryption (e.g., TLS) for the new protocol.
However, some implementations have stated that they will only support HTTP/2 when it is used over an encrypted connection, and currently no browser supports HTTP/2 unencrypted.

RFC сейчас не буду цитировать, но суть та же: это хотелка авторов браузеров реализовать http/2 только поверх TLS.
0
Ну как бы выпуск сертификата это автоматическая операция, тут скорее надо удивляться, что столько лет к этому шли.
НЛО прилетело и опубликовало эту надпись здесь
0
Крутая новость. Интересно только как сложно его будет подключить. Для сертификата wildcard требуется как правило юридическая регистрация.
+2
Да никак. Ничего подобного и для платных сертификатов не требуется (обычная проверка на владение доменом), а в данном случае, как вы могли заметить из текста поста, речь идет о проверке владения доменом через новую версию API (но — автоматизировано, в любом случае).

А зачем вообще доки проверять, в чем смысл?
0
Ура! В действительности очень хорошая новость.
Будем надеяться что не кинет нас Let's Encrypt.
Только полноправные пользователи могут оставлять комментарии.  , пожалуйста.