Если-бы они просто выдавали сертификаты, без заморочек с каким-то софтом для их обновления, то было-бы интересно. А так выглядит как костыль.

Впилил сегодня — все ок.

Твое мнение очень важно для всех нас, спасибо.

Вся прелесть в софте. Сертификат получается/обновляется одной командой.

Что-то у меня эта одна команда так и не заработала... Как Я не пытался, так и не получилось его обновить :(
Правда, пробовал месяца три назад.
ARM, Arch.

Говорят, они пофиксили _самый_главный_косяк_ - совместимость с XP.

Перестали выдавать сертификаты на эллиптических кривых?

Пользуюсь несколько месяцев, всё ок, пользователи XP могут проследовать лесом.

Договорились убрать маску на .mil в кросс-подписи, проблемы из-за нее были.

Забавно, у меня по-прежнему у всех юзеров ругань на то, что LE - недоверенный издатель.

Перевыпусти сертификаты, там у них новый CA с, как они заявляют, поддержкой XP

Они уже научились ECDSA?

А я вообще не про XP сейчас, ни один из юзеров не на XP.

Если-бы они просто выдавали сертификаты, без заморочек с каким-то софтом для их обновления, то было-бы интересно. А так выглядит как костыль.

Твое мнение очень важно для всех нас, спасибо.

а это не только его мнение. я тоже считаю, что инсталить софт для получения сертификата на каждый сервер, это ужасно неудобно.

Зря. Это была проблема пользователей устаревшей XP, а не LetsEncrypt.

Это не «неудобно», это «ломай меня полностью».

Если б их было 1-2% - само собой. Но т.к. их 10%, то это проблема летсэнкрипта.

Мне кажется вам надо объединиться в отдельную тему и написать письмо Путину.

это пока у тебя 1 сервер - да

как будет >1, тебе захочется puppet, ansible, итп

и все эти штуки будут сами тебе ставить софт на каждый сервер, без твоего участия в этом

при этом для функционирования всех этих штук тебе так и так придется ставить некий софт на все сервера

Есть эта вещь когда не нужны раздутые комбайны https://github.com/diafygi/acme-tiny

Что-то у меня эта одна команда так и не заработала... Как Я не пытался, так и не получилось его обновить :(

А что там сложного? Настроил вебсервер отдавать файлы для путей с префиксом /.well-known/acme-challenge/ из определённой директории, и гоняй скрипт сколько угодно.

О, а вот это попробую, спасибо :)

ХЗ. Для полной совместимости вроде осталось осилить двойные сертификаты - для современных и тухлых браузеров. Не знаю в каком состоянии спецификация на эту тему.

Ятак понимаю, чтобы получить обновленный серт достаточно подождать пока истечет текущий и следующий они выдадут типа нормальный? Или надо заново генерировать ключ и csr?

Аросто у меня настроено через крон проверка срока и обновление через acme_tiny, не хочется ничего трогать.

Да и помнится заходил на свой почтовый сервер с хр + thunberbird - никаких проблем. Видать это проблемы у недобраузеров типа ие и хрома :)

Можно и подождать, если не к спеху. Ну или руками то что в кроне дерни.

Лисопродукты тащат полностью свою криптографию, там проблем нет.

Подводные камни остались

webroot работает только через http.
если на сервере только https, то приходится через standalone делать и соответственно апач останавливать

Интересуют проблемы с самими сертификатами, а не с процессом получения и обновления.

Понятно. Тогда лучше подожду. Как говорят, работает - не трожь. Спасибо за ответ.

Если апач не слушает 80 порт, то зачем его останавливать? Можно для этой цели какой-нибудь micro_httpd запустить на время. Тут главное не пользоваться офф клиентом, а то он слишком «умный», все за вас норовит сделать или сломать - как повезет :)

80 порт снаружи недоступен (закрыт)

чтобы let's encrypt работал ему нужен открытый 443 (или 80) порт в инет и соответствие ip dns name. как ты понимаешь, если у тебя 1000 приватных серверов, puppet мало поможет.