Комментарии 49
Блин, я даже не знал что они запустили бету, а где зарегистрироваться?
Сертификат можно получить только на www.example.com/example.com или на other.example.com тоже можно?
Тут есть немного информации, но пока в бете выдали на домен с www и без www (хотя мы запрашивали только на один без www).
Можно.
90 дней это ограничение для беты, или запустится сервис с таким же ограничением?
Вот тут написали, что на запуске будет тоже 90 дней. Они считают, что администраторы за год могут забыть про сертификат, а настроив автоматизацию один раз можно избавиться от многих проблем.
90 дней — не интересно.
WoSign мне выдал на три года без всяких проблем.
А использовать какую-то приблуду на сервере, которая работает под рутом и будет периодически лазить за сертификатом, лазить в конфиг моего веб-сервера для настройки веб-сайта для подтверждения валидности, а затем для подмены сертификата…
Зачем мне это всё? Зачем так сложно?
WoSign мне выдал на три года без всяких проблем.
А использовать какую-то приблуду на сервере, которая работает под рутом и будет периодически лазить за сертификатом, лазить в конфиг моего веб-сервера для настройки веб-сайта для подтверждения валидности, а затем для подмены сертификата…
Зачем мне это всё? Зачем так сложно?
Ну, объективно говоря, приблуда на сервере на должна работать от рута, и не должна менять конфиг сервера каждый раз. А смысл как раз в том чтобы настроить раз и забыть.
Лично мне проще раз в три года сходить за сертификатом по напоминалке в календаре, чем такое городить.
Затем уже этот сертификат каким-нибудь Ansible/Puppet/etc раскидать куда надо.
А их клиент (ACME) мне напомнил какой-то продукт для админов локалхоста, которое всё делает за тебя.
Поэтому, хоть инвайт на бету и прислали, пользоваться им пока нормальный срок действия сертификатов не введут не собираюсь пока…
Затем уже этот сертификат каким-нибудь Ansible/Puppet/etc раскидать куда надо.
А их клиент (ACME) мне напомнил какой-то продукт для админов локалхоста, которое всё делает за тебя.
Поэтому, хоть инвайт на бету и прислали, пользоваться им пока нормальный срок действия сертификатов не введут не собираюсь пока…
Мне кажется что LE вообще строго говоря и предназначен для админов локалхоста.
У меня на проде два nginx, и LE'шная схема получения сертификатов действительно несколько попаболь. Пишу вот обвязку на го для мониторинга и самостоятельного перевыпуска, попробую пару доменов все же перенести на LE.
У меня на проде два nginx, и LE'шная схема получения сертификатов действительно несколько попаболь. Пишу вот обвязку на го для мониторинга и самостоятельного перевыпуска, попробую пару доменов все же перенести на LE.
Ну, могли бы и для админов просто добавить какой-нибудь более удобный способ выпустить себе сертификаты. Надеюсь, в будущем это будет доступно.
Весь инструментарий уже есть, надо просто один раз подготовить в том же ansible конфиги nginx и крон задачу. =) Да, сперва придется поиграться с командной строкой, а потом уже всё автоматизировать. Выглядит очень разумно, хотя я и не доволен описанием процедуры генерации без автоматических правок конфигов.
ну менять конфиг сервера не обязательно как раз, достаточно обновить файлы сертификатов, а это реализуемо от не привелигированного юзера
Вы используете DNSSEC? Как миритесь с еженедельными переподписями зон?
НЛО прилетело и опубликовало эту надпись здесь
Но есть проблема — сертификаты от Wosign 1 января 2017 SHA-1 станут красными. :(
У меня вся цепочка (кроме корня, который StartCom, но это и не важно) — SHA256, так что никаких проблем.
А что к корневому это не относится?
Не относится:
SHA-1-based signatures for trusted root certificates are not a problem because TLS clients trust them by their identity, rather than by the signature of their hash.googleonlinesecurity.blogspot.ca/2014/09/gradually-sunsetting-sha-1.html
Я бы добавил, что в автоматическом режиме ещё генерируется конфиг для веб-сервера, практически готовый к активации.
После настройки https очевидным было протестировать при помощи Qualys SSL Server Test. Результат меня удивил. A без каких-либо дополнительных телодвижений.
После настройки https очевидным было протестировать при помощи Qualys SSL Server Test. Результат меня удивил. A без каких-либо дополнительных телодвижений.
И A+ тоже, но с небольшим телодвижением :)
для апача например в виртуальные хосты добавить:
ну и включить модуль headers.
для апача например в виртуальные хосты добавить:
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15768000; includeSubDomains; preload"
</IfModule>
ну и включить модуль headers.
А кто-нибудь может подсказать, где IP-адреса регистрирующих машин «will be publicly logged»? Зачем это вообще и что делать пользователям CloudFlare?
Для cloudflare можете все равно поставить сертификат, для защиты трафика между вашим сервером и origin pull-сервером (Full SSL — Strict)
Кроме того, cloudflare обслуживает только определенные порты, если ваш сервер нуждается в защите других портов — вам все равно пригодится LE.
Кроме того, cloudflare обслуживает только определенные порты, если ваш сервер нуждается в защите других портов — вам все равно пригодится LE.
Это понятно. Я про то, что для машин за CloudFlare не допускается утечка IP-адреса. По этому скриншоту из статьи можно предположить, что где-то в интернете в открытом доступе есть пары IP-domain, некоторые из которых раскрывают реальные IP-адреса машин за экранами.
7. Скопируйте их на Windows-машину.
8. Теперь пришло время сконвертировать их в родной .pfx формат.
Для этого установим OpenSSL, распакуем его, добавим в эту же папку наши ключи и запустим от имени администратора:
Я бы поменял пункты местами и конвертил бы линуксовым OpenSSL(команды идентичны)
Могу ли я использовать letsencrypt на коммерческом сайте?
в отличие от startssl, да
Их скрипт работает только в некоторых дистрибутивах GNU/Linux. В частности, в дистрибутивах с RPM требует Yum или DNF.
Это очень большой минус.
Это очень большой минус.
Если у вас сервер на Windows (с поддержкой Razor Views, аналогично и с MVC), то самый простой способ создания правильного ответа:
Для azure я немного по-другму поступил. В app service можной зайти в консоль, а дальше
mkdir ".well-known"
cd ".well-known"
mkdir "acme-challenge"
cd "acme-challenge"
echo ваш_ключ>файл+ web.config залить туда
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Let's Encrypt: получение сертификата по шагам