LINUX.ORG.RU

Let’s Encrypt: всем SSL и бесплатно

 , ,


7

5

Как-то осталась незамеченной новость о том, что 3-го декабря проект Let’s Encrypt перейдя в состояние бета-релиза начал раздавать доверенные сертификаты всем желающим (уже без необходимости регистрации).

Описание процедуры получения сертификатов: https://letsencrypt.org/howitworks/

>>> Ссылка на новость



Проверено: beastie ()

Затарюсь мощными сертификатами!

anonymous ()

Осталось только написать нормальный клиент (мну уже занялся своим). Официальный, кроме как «вонючей какашкой» не назавёшь.

Вот пару альтернатив, подающих большие надежды: lego, acme.t

PS: беда только, что RFC отстаёт от имплементации, что усложняет написание.

beastie ★★★★★ ()
Последнее исправление: beastie (всего исправлений: 1)
Ответ на: комментарий от beastie

А можно немножко пояснить для чего нужен клиент, почему они не могут просто отдать сертификат?

ya-betmen ★★★★★ ()
Ответ на: комментарий от ya-betmen

Они сделали такую лабуду, что просто так получать сертификат смысла нет, т.к. сертификат всего на 3 месяца. А они хотят ещё уменьшить этот срок. Хотят, чтобы у всех на серверах стоял их софт и сам постоянно обновлял сертификаты.

Но софт сейчас недопиленный ещё. И документации нормальной нет.

th3m3 ★★★★★ ()

А я вот одной командой получил сертификат без каких-либо проблем.

letsencrypt certonly --webroot --webroot-path /srv/http/nginx/example.com/htdocs -d example.com -d www.example.com

Правда, это с уже установленным и настроенным веб-сервером.

post-factum ★★★★★ ()
Ответ на: комментарий от ya-betmen

А можно немножко пояснить для чего нужен клиент, почему они не могут просто отдать сертификат?

Для упрощения и даже автоматизации процесса выдачи. Желающие «просто получить сертификат» могут взять и вызвать клиент вручную.

segfault ★★★★★ ()
Ответ на: комментарий от ya-betmen

[sarcasm]Как всегда, для удобства клиента![/sarcasm] Их клиент работает от рута, правит конфиги веб-сервера, занимается своевременным обновлением сертификата, поскольку сейчас его каждые три месяца отзывают, а потом хотят уменьшить этот срок. В общем, затея была хорошая, реализация - эталонное УГ.

hippi90 ★★★★ ()
Ответ на: комментарий от th3m3

Спасибо и за трэд и за ссылку. Даже представить себе всего этого не мог :)

iu0v1 ()
Ответ на: комментарий от beastie

Да, с клиентом беда. Я склонировал это говно ещё когда инвайт на бету прислали, попробовал получить сертификат, не осилил и забил.

Anakros ★★★★★ ()

Как-то осталась незамеченной

Ибо ненужно же.

h578b1bde ★☆ ()
Ответ на: комментарий от beastie

Чем официальный плох, кроме не готовой поддержки nginx?

Vit ★★★★★ ()

Кто это такие и кто им доверяет?

thesis ★★★★★ ()
Ответ на: комментарий от Vit

Чем официальный плох

Похоже, тем, что написан не на Go.

i-rinat ★★★★★ ()
Ответ на: комментарий от thesis

Проект от Mozilla, Cisco и тд. Они сами подписаны каким-то известным CA

vertexua ★★★☆☆ ()

Объясните, чем это лучше того же StartSSL?

Sectoid ★★★★★ ()
Ответ на: комментарий от vertexua

Интересно.
beastie, а есть у тебя публичный сайт с их сертификатом? Поглазеть бы.

thesis ★★★★★ ()
Ответ на: комментарий от Sectoid

есть API для работы с сервисом, можно получать сертификаты удобно программно.

val-amart ★★★★★ ()

О, так быстро? Вроде меньше месяца назад начали раздавать слонов тем кто предварительно подал заявку, я тогда ещё пожалел что только на один свой домен заявку подал, думал до открытого тестирования они ещё пару месяцев телиться будут.

MrClon ★★★★★ ()

Идея хороша. Но сдается мне, что это «бесплатная первая доза». Явно они собираются брать деньги за постоянный апдейт.

И еще, если они собираются обновлять «серверные» сертификаты раз в три месяца, то как мне устраивать процедуру верификации подписи хотя бы годичной давности?

И вот еще что. у клиента-то в броузере корневой сертификат должен быть. А кто его в этот броузер положит?

gns ★★★★ ()
Последнее исправление: gns (всего исправлений: 2)
Ответ на: комментарий от ya-betmen

у них сертификаты краткосрочные, не более 90 дней. Так что типа для нормальной работы веб-сервера желательно процесс получения сертификата автоматизировать.

demidrol ★★★★★ ()

кстати, а они wildcard-сертификаты дают?

demidrol ★★★★★ ()
Ответ на: комментарий от Sectoid

Он (формально) бесплатен только для некоммерческих сайтов.

anonymous ()
Ответ на: комментарий от gns

И вот еще что. у клиента-то в броузере корневой сертификат должен быть. А кто его в этот броузер положит?

В свежих версиях браузеров он уже есть. Вот тест: https://helloworld.letsencrypt.org/

i-rinat ★★★★★ ()
Ответ на: комментарий от gns

А кто его в этот броузер положит?

В актуальных браузерах уже лежит, но вроде не во всех.

Глянь список подельников и соучастников этой затеи: Мозила, Циска, EFF… Это не сомнительный «аттракцион невиданной щедрости» от каких-то левых корешков
https://letsencrypt.org/

MrClon ★★★★★ ()
Ответ на: комментарий от post-factum

А я вот одной командой получил сертификат без каких-либо проблем.

Теперь сделай то же самое на сертифицированном ФСТЭК Microsoft Exchange Server.

Xintrea ★★★★★ ()
Ответ на: комментарий от MrClon

Видел... Написано — спонсоры. Хрен его знает, что это за затея. Только что для SSL

gns ★★★★ ()
Ответ на: комментарий от Vit

Тем, что bloat-ware и лезет менять конфиги.

По-хорошему, это надо было бы сделать по-другому. (Как уже несколько раз проскакивало в рассылке.)

Дедуцированный порт, а не интерферировать с 80/443.

beastie ★★★★★ ()
Ответ на: комментарий от beastie

Спасибо за ссылочки, от официального клиента меня сегодня почти стошнило.

l0stparadise ★★★★★ ()
Ответ на: комментарий от Vit

Тем, что даже для --help требует рута.

anonymous ()

Есть упрощенный клиент от главного писателя официального клиента который можно настроить без рута и перелопачивания конфигов - https://github.com/kuba/simp_le. Просто генерирует-подписывает сертификаты в cwd и пишет acme-challenge в webroot.

anonymous ()
Ответ на: комментарий от th3m3

дык этож зонды и как они собираются минуя пакетные менеджеры ставить - cp * /usr/lib ? ню ню ...

anonymous ()
Ответ на: комментарий от ya-betmen

А можно немножко пояснить для чего нужен клиент, почему они не могут просто отдать сертификат?

Вся философия этого дела заключается в том, что (котортоживущие) сертификаты выставляются автоматически.

Для этого надо, что бы хост, для которого сертификат выставляется, подтвердил контроль над доменом.

Для этого необходимо, что бы хост, по запросу CA, решил «задачу», отдал например определённый файл с привилегированного порта.

Для этого клиент и нужен.

beastie ★★★★★ ()
Ответ на: комментарий от demidrol

кстати, а они wildcard-сертификаты дают?

Нет, зато SNI сколько угодно.

beastie ★★★★★ ()
Ответ на: комментарий от beastie

Т.е., я таки на один сертификат могу кучу доменов навесить, а не только основной и www?

post-factum ★★★★★ ()
Ответ на: комментарий от post-factum

Да, можешь. Укажи просто (в большинстве клиентов) несколько -d domain.

beastie ★★★★★ ()

Сделал себе сертификат, отличненько

mahalaka ★★ ()
Ответ на: комментарий от beastie

А, в этом смысле... Ну есть косяки пока, но не «ужос-ужос-убигай»

Дочинят же. Бета пока.

Vit ★★★★★ ()

Товарищи специалисты, поясните чайнику.

То, что они раздают сертификаты только на 3 месяца и подумывают даже этот срок сократить — это вообще нормально? Не породит ли это ситуацию, когда я не был на каком-то сайте полгода, захожу, меня браузер предупреждает про смену сертификата, а я вынужден предупреждение игнорировать, потому что нуачо, все так делают, ведь у всех Let's Encrypt.

Неспроста же умные люди certificate pinning придумывали, верно? Или спроста? Эти трёхмесячные сертификаты очень похожи на движение в обратном направлении.

greatperson ()
Ответ на: комментарий от greatperson

Твой браузер каждый раз проверяет срок действия сертификата. Его сайт может менять каждый день. Главное чтобы по срокам он был годным и подписан удостоверяющим центром у которого в свою очередь по цепочке так же валидный сертификат. Ты даже ничего не заметишь если сам не будешь каждый раз ручками все проверять.

Promusik ★★★★ ()
Ответ на: комментарий от greatperson

Смена сертификата на сайте, это нормально.

Пининг, это безобразный костыль, ничего не решающий в плане безопасности.

Проверка сертификата идет через CA сертификат, как по подписи, так и онлайн.

AVL2 ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.