Салам Алейкум, братухи.
P.S. Читаем до конца, тут Вам не толксы.
P.P.S. Прошу проверить работоспособность на MS Outlook с IMAP, если есть такая возможность.
Недавно LetsEncrypt перешла в бету и теперь доступна всем публично. Очевидно, что многие об этом даже не знали, т.к. в новости ЛОРа принято писать о IT-феминистках, скандалах и игрулях, а не о реально важных вещах и технологиях. Но речь в этом треде пойдёт не деградации ЛОРа и попустительской редакционной политике.
Суть LetsEncrypt в том, чтобы автоматически генерировать ВАЛИДНЫЕ (и подписанные глобальным CA) сертификаты.
https://letsencrypt.readthedocs.org/en/latest/intro.html
http://www.msxfaq.de/signcrypt/letsencrypt.htm
Сертификаты выдаются только на 3 месяца для предотвращения инцидентов безопасности.
Летсэнкрипт запускается в виде скрипта на сервера и не требует никакой регистрации на сайте. Скрипт работает так:
1. генерирует пару ключей (локально)
2. подписывает публичный ключ у ЦА (не путайте с ЦП! ЦА подтверждает Ваш ключ, чтобы быть уверенным в том, что ЦП не будет перехвачена спецслужбами или подменена обычным контентом)
3. получает от ЦА сертификат.
4. опционально автоматически настраивает апач и nginx домены на использование https и стойкой криптографии для безопасной передачи ЦП. Также автоматически ставится сервис в крон для автообновления сертификатов.
Не смотря на то, что закрытый ключ не покидает систему, Вы должны проверить наличие ФОРСИРОВАННОГо диффи-хельмана при установке https-соединения для генерации отказуемых симметричных сессионных ключей. Иначе, в случае утечки закрытого ключа, можно будет восстановить все симметричные ключи и расшифровать все сессии. Что может привести не только к нежелательной утечки конфиденциальной информации (ЦП), но и финансовых реквизитов.
Также учите, что спецслужбы по всему миру владеют закрытыми ключами ЦА, что позволяет им устраивать MitM-атаки, просматривать и подменять ЦП. Для критичных систем убедитесь, что Ваша система доверяет только Вашему ЦА. Также используйте плагины для браузера EFF SSL Observatory, HTTPS Enywhere, HTTP Nowhere для гарантии соответствия ЦА истинному подписавшему ЦА, а также для предотвращения перехода на HTTP-данные.
Сразу хочу предупредить, что LetsEncrypt, WoSign и StartSSL Free не поддерживаются IE6 и устаревшими системами! Также будут проблемы с хромом и сафари на WinXP (они используют богомерзкий АНБшный CryptoAPI винды).
Windows 7 (от IE8. по умолчанию) поддерживает все данные CA.
Firefox поддерживает LetsEncrypt и Wosign с версии 1.0 (но реально проверял только с четвёртой). StartSSL в 4.0 и прочих древних FF может не поддерживаться.
Также учтите: если нужна поддержка legacy (например ie6), то надо отключить SNI (передача доменного имени до начала криптосессии), а также включить поддержку старых протоколов и алгоритмов шифрования.
Также могут возникнуть проблемы со старыми линуксами (curl и wget не будут работать без форсированного флага). Так например:
В Ubuntu 12.04.5 (без обновлений, с обновлениями всё ок):
1. wget с LetsEncrypt НЕ работает.
2. curl с LetsEncrypt работает.
3. wget с wosign НЕ работает.
4. curl с wosign работает.
5. wget с startssl НЕ работает.
6. wget с startssl НЕ работает.
В CentOS 5.6:
1. wget с LetsEncrypt НЕ работает.
2. curl с LetsEncrypt НЕ работает.
3. wget с wosign НЕ работает.
4. curl с wosign НЕ работает.
5. wget с startssl НЕ работает.
6. wget с startssl НЕ работает.
Из этого всего могу дать следующие рекомендации:
0. Если есть бабки - покупайте платный сертификат в любом случае. Также платный сертификат можно купить на три года, что удобно для устаревшего серверного ПО (MS Exchange, например).
1. Если Вы - нищебродное днище, либо если Ваш проект не требует поддержки старого говна, то советую использовать LetsEncrypt.
2. Если у Вас ситуация аналогичная первой, но нет возможности постоянно обновлять сертификат (1. Вы используете морально устаревшие системы, например MS IIS на Windows Server, 2. используете НЕ для веба (jabber, почта и т.п.) 3. система изолирована внутри локальной сети ), то рекомендую использовать WoSign.
3. У Вас крупный проект или махровый ынтерпрайз, то однозначно лучше купить сертификат у нормального CA.
4. Если Вы используете Java или Pidgin, тогда необходимо покупать сертификат у нормального CA.
5. Если у Вас over9000 доменов (например, у Вас тумблер хостится) стоит задуматься о покупке wildcard сертификата.
Далее информация о поддержке LetsEncrypt (в скобках может дополнение о других сертификатах):
0. https://community.letsencrypt.org/t/which-browsers-and-operating-systems-supp...
1. Firefox. Как мимимум с 4.0 (возможно с 1.0) работает. (StartSSL в древних лисах работать не будет). Все современные лисы работают всеми CA.
2. Pidgin не работает (используйте startssl)
3. Thunderbird. Точно все современные версии на всех ОС (включая wosign. StartSSL в древних версиях не поддерживается)
4. IE и Edge. Минимум 8 версия для всех. IE6 точно не поддерживается, по IE7 в зависимости от условий. (со всеми CA)
5. Chrome и Cromium. Поддержка ОС аналогично встроенной ОС криптоапи (древние макоси, линуксы и винхп не будут работать ни с каким CA). (со всеми CA)
6. Safari на всех современных Apple-устройствах точно работает (со всеми CA).
7. Android точно работает с версии 4.2 со всеми . Версия 2.0.6 (Android browser 2.0.6 Webkit 530.17) точно НЕ работает.
8. Устройства Blackberry не работают со всеми CA.
9. Java не работает с letsencrypt.
10. WinPhone работает со всеми.
11. WinCE устройства любых версий НЕ работают со всеми.
12. Symbian НЕ поддерживает все CA.
13. Links работает аналогично curl (см. выше).
14. wget и curl могут не работать на старых системах (см. выше).
Для проверки устройств и серверов можете использовать следующие ресурсы:
https://dev.windows.com/en-us/microsoft-edge/tools/screenshots/#https://check... (IE6 тут врёт, не смотрите на него)
http://browsershots.org/ (тут линукс не работает. больше 7 скриншотов не выставляйте)
http://netrenderer.de/index.php (тут IE тестируйте)
https://pirate-party.ru/ (подписан letsencrypt)
https://community.letsencrypt.org/ (подписан letsencrypt)
https://www.checkmyping.com/ (подписан wosign)
https://fkurz.net/ (подписан startssl)
