LINUX.ORG.RU
решено ФорумTalks

Покайтесь, ибо Let's Encrypt грядёт!

 


3

3

Согласно планам публичная бета стартует уже послезавтра, 3 декабря. Let's Encrypt позволит каждому желающему забесплатно создавать доверенные SSL-сертификаты для своих проектов.

Сертификаты, насколько я понял, можно будет генерировать при помощи утилиты letsencrypt: https://github.com/letsencrypt/letsencrypt, но к сожалению мне не удалось её запустить на своём уютненьком CRUX, — пишет, что ОСь недостаточно ынтырпрайзна, нету /etc/os-release, нету sudo. Ъ опять в пролёте. :( Остаётся ждать релиза и портов.

Кто-нибудь уже может похвастать сертификатом на своём сайте?

★★★★★

Ответ на: комментарий от hateyoufeel

нету /etc/os-release, нету sudo

Ну так поставь sudo и напиши os-release.

Spoofing недостаточно энтерпрайзен для этого.

feofan ★★★★★
()

Держи нас в курсе событий ;)

Promusik ★★★★★
()
Ответ на: комментарий от nighthawk

Для говносайтиков - потянет, для себя - самоподписаный безопаснее.

Не стоит так утвердительно говорить о том, в чем ты ни бум-бум.

tazhate ★★★★★
()
Ответ на: комментарий от tazhate

А откуда информация про что, я «ни бум-бум»? Или может не стоит так утвердительно говорить?

И какая разница между этим сервисом и любым сторонним CA?

nighthawk
()
Ответ на: комментарий от nighthawk

И какая разница между этим сервисом и любым сторонним CA?

В том, что бесплатно, быстро и самостоятельно, как минимум. Если бы ты глазами читал описание сервиса, а не жопой, то уже знал бы об этом.

Или может не стоит так утвердительно говорить?

По той чепухе, которую ты несешь, это уже видно.

Для говносайтиков - потянет

«говносайтики» - это почти любой сайт с нормальной посещаемостью, ага.

tazhate ★★★★★
()
Ответ на: комментарий от tazhate

В том, что бесплатно, быстро и самостоятельно, как минимум. Если бы ты глазами читал описание сервиса, а не жопой, то уже знал бы об этом.

Описание читал, и даже не жопой (сюрприз!). Кроме бесплатно и быстро плюсов не обнаружил.

По той чепухе, которую ты несешь, это уже видно.

Пруф или не было.

«говносайтики» - это почти любой сайт с нормальной посещаемостью, ага.

Одно другое не исключает.

nighthawk
()
Ответ на: комментарий от nighthawk

Кроме бесплатно и быстро плюсов не обнаружил.

Я и говорю, тебе бесплатный полноценный CA, который по сути убивает рынок ssl сертов, полезным не кажется. Все понятно, кек.

tazhate ★★★★★
()
Ответ на: комментарий от tazhate

Кажется, поэтому и говорю, что для своих сервисов в личных целях буду использовать самоподписаный серт, а для рандомного бложека-сайтика - то что надо, что я и написал.

Рынок сертификатов не убьет (но сильно освежит). Там есть механизм проверки владения доменным именем, на которое выдается серт?

nighthawk
()
Ответ на: комментарий от nighthawk

Там есть механизм проверки владения доменным именем, на которое выдается серт?

Говорю же - ты не читал. Разумеется есть.

tazhate ★★★★★
()
Ответ на: комментарий от Deleted

Там есть засада когда нет доступа по ssh к хостингу.

Для летсинкрипта ваще пофигу, есть ssh или нет. Серт можно спокойно получить хоть на локалхосте своем, а на сайт уже тупо серты залить.

tazhate ★★★★★
()
Ответ на: комментарий от CYB3R

Пока нет. Они обсуждают, секурно или нет выдавать вайлдкады. В качестве альтернативы предлагают пока перечислять в сертификате любое количество поддоменов.

Vit ★★★★★
()
Ответ на: комментарий от Vit

А можно ли при обращении к какому-нибудь поддомену, к которому ещё не обращались до этого, сразу переиздавать сертификат. Прокатит?

CYB3R ★★★★★
()
Последнее исправление: CYB3R (всего исправлений: 1)
Ответ на: комментарий от CYB3R

А можно ли при обращении к какому-нибудь поддомену, к которому ещё не обращались до этого, сразу переиздавать сертификат. Прокатит?

Что за бредятина?

tazhate ★★★★★
()
Ответ на: комментарий от tazhate

Ну, ведь в Let's Encrypt сертификат запрашивается простым скриптом, так?
Например, в nginx по вайлдкарду смотрим все поддомены, делаем content_by_lua и в lua-скрипте запрашиваем сертификат.
Или делаем каждому пользователю сайта свой поддомен — при создании аккаунта запрашиваем сертификат на username.mydomain.com.

CYB3R ★★★★★
()
Ответ на: комментарий от CYB3R

Мне не ясен юзкейс. Нахрена это надо?

Понятное дело, что набыдлокодить такое реально.

tazhate ★★★★★
()

Тоесть теперь любой сайтик с рекламой/майлварью и прочим мусором сможет получить себе сертификат и резать через squid/парсинг_http станет бесполезен?

Deleted
()
Ответ на: комментарий от nighthawk

Ну в первом случае мы не знаем заранее, какой поддомен пользователь запросит. А во втором случае это и получается запрос сертификата одновременно с созданием поддомена.

CYB3R ★★★★★
()
Ответ на: комментарий от Deleted

Тоесть теперь любой сайтик с рекламой/майлварью и прочим мусором сможет получить себе сертификат и резать через squid/парсинг_http станет бесполезен?

Резать что-то через squid бесполезно с той поры как соцсети перешли на https по дефлоту.

Yustas ★★★★
()
Ответ на: комментарий от Yustas

Всеравно часть рекламы и сомнительные exe-шники со всяких файл-помоек можно было зарезать.

Deleted
()
Ответ на: комментарий от CYB3R

Пользователь начнет долбиться в 0000.cyb3r.com, затем в 000a.cyb3r.com и так до конца. Через какое количесво запросов мы получаем бан на сервисе? Вам таки нужен wildcard.

nighthawk
()
Ответ на: комментарий от nighthawk

Нда, нужен. Я думал, нет никакого бана.

CYB3R ★★★★★
()

но к сожалению мне не удалось её запустить на своём уютненьком CRUX, — пишет, что ОСь недостаточно ынтырпрайзна

А без этих банальных скриптов нельзя будет сделать сертификат (подтвердить владение доменом)?

TheAnonymous ★★★★★
()
Ответ на: комментарий от anonymous_sama

На три месяца только Let's Encrypt выдает? У тебя почему-то на десять месяцев. (видимо тестовый).

http://funkyimg.com/i/255b7.png

Где ты на 9 увидел? :)

Выдаются они на 4 месяца, обновляются так же - через cli приложуху. Автоматизировать это не проблема.

tazhate ★★★★★
()
Ответ на: комментарий от TheAnonymous

А без этих банальных скриптов нельзя будет сделать сертификат (подтвердить владение доменом)?

Можно. Просто ТС неосилятор.

tazhate ★★★★★
()
Ответ на: комментарий от Spoofing

Поздравляю :)

А в чем заключается смысл релиза 3 декабря, если сертификаты получать можно уже сейчас? Они что ли свою тулзу торжественно обернут в deb?

Vit ★★★★★
()
Ответ на: комментарий от CYB3R

С nginx точно не прокатит, он сертификат читает только при старте. Поэтому, в частности, нельзя искать файл сертификата в рантайме с использованием значения $ssl_server_name (имя сервера из SNI).

INFOMAN ★★★★★
()

Кто-нибудь уже может похвастать сертификатом на своём сайте?

Хотел сделать для уютного жаббера, но оказалось что StartSSL мой халявный домен cu.cc не знает. Пришлось самоподписывать и ругань жаббер клиентов слушать. Может хоть теперь смогу подписать.

Loki13 ★★★★★
()
Ответ на: комментарий от CYB3R

Закрой глаз и загадай желание. Они на бете еще не научились nginx поддерживать. Я в ручном режиме сертификат получал - погасил сервер и запустил ихнюю шайтан-тулзу.

Vit ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.