Let's Encrypt идея и реализация

Ничего, скоро неактуально будет. По крайней мере в Казахстане

Хотел написать, что ты рукожоп и можно просто отправить им CSR как в любой другой CA. Но почитав их сайт, я понял, что ты походу прав.

Ты рукожоп и ниасилил, трогать конфиги вебсервера через тулзу не обязательно, достаточно папочку с челленжем пробросить куда-нибудь в то место, где тулза сможет в неё писать, и просто заюзать получившийся сертификат.

на продакшен сервере

Плохая идея — экспериментировать на продакшн сервере. Если там нужно https, но сертификат уже куплен и установлен. Зачем там let's encrypt?

В сети пишут, то поддерживается nginx, то ещё нет. У кого-то запоролись конфиги, у кого-то ещё что-то. Неужели нельзя было сделать сразу для людей?

Я попробовал, на nginx. Но не стал просить его править конфиги.

letsencrypt-auto certonly --standalone -d server.name.com

А потом заменил ключи в конфиге nginx. Нужны fullchain.pem и privkey.pem.

letsencrypt-auto certonly --manual, пройти через несколько экранов TUI, положить нужный файл с нужным содержанием, нажать Enter — вот и всё, ключ и набор сертификатов готовы.

Кто не хочет получать сертификат путём установки непонятно чего от лета енкрипт на свой вебсевер(полный нонсенс) может получить сертификат в полуавтоматическим режиме тут https://gethttpsforfree.com/

Ты рукожоп, каких свет не видывал.

Я просто запустил letsencrypt-auto, он докачал к себе зависимости с реп, нашел апач, узнал домен, позадавал мне вопросы, а потом сам подтвердил домен, залил сертификат в /etc и добавил его в апач. Мне осталось только зайти на сайт и с удивлением увидеть, что у него уже есть сертификат.

То есть, ты разрешил непонятной хреновине в автоматическом режиме внести изменения в конфиг на продакшн сервере? Хорошая попытка игры в русскую рулетку.

Let's Encrypt предлагает запускать на сервере свой софт(который ещё свой сервер поднимает, epic),

Представь, что тебе нужен сертификат для SMTP-/XMPP-/FTPS-/gitlab-like-сервера, а HTTP-сервера на целевой машине отродясь не было и ставить его на пять минут желания нет. Тут встроенный в letsencrypt-auto сервер как нельзя кстати.

https://github.com/diafygi/acme-tiny - проще уж некуда.

Я просто запустил letsencrypt-auto, он докачал к себе зависимости с реп, нашел апач, узнал домен, позадавал мне вопросы, а потом сам подтвердил домен, залил сертификат в /etc и добавил его в апач. Мне осталось только зайти на сайт и с удивлением увидеть, что у него уже есть сертификат.

Йопт. И мне это нужно на КАЖДОМ сервере делать?

Вот только на официальном сайте никакой инфы. Давайте теперь лазать по github и искать всякие скриптики по теме. Жесть.

Да. И для каждого сайта. Даже для каждого поддомена.

Может, конечно, это я такой неосилятор

Да, ты неосилятор, th3m3. Cмотри и учись: https://tlhp.cf/get-free-ssl-cert/

Нигде ничего не запоролось, сертификаты получил сразу, никаких конфигов не редактировал вообще.

Серьезно?

sudo python -c "import BaseHTTPServer; \
    h = BaseHTTPServer.BaseHTTPRequestHandler; \
    h.do_GET = lambda r: r.send_response(200) or r.end_headers() or r.wfile.write('{\"header\": {\"alg\": \"RS256\"}, \"protected\": \"eyJhbGciOiAiUlMyNTYifQ\", \"payload\": \"ewogICAgInRscyI6IGZhbHNlLCAKICAgICJ0b2tlciI6ICJkbzVaWkMwMHVwZmNFD0tjeEhzOGNyS2FNaE02UFdBdTMtMnVwZ00zRG00IiwgCiAgICAidHlwZSI6ICJzaW1wbGVIdHRwIgp9\", \"signature\": \"Gp5V68da_XdC96piXs1YOhrv4USOQBNnhIL-CMmxvKSigmxAJ8z00xsgWS6nsYD8LPpMVa3GkXhb10qfbymPiWhtMpMYD31kMLFwgpHrY9xkiNP-WK9Zljz6L-WAzxCOmF1Ov71z_75iEJij86E2f9EmTjDlmDmGAjP9lziII42uyyjjIZg9claU1GtFZUrfXd-uNHHEGHFUpoyLHQcyWCP1T04Xx4q4dY51VeOJNOmIv9csIjkbOma7EqFMAHwYAplAUE45FQ5N9lJvpymD49BoEgQj_kjH-UPnxO3q0QB0i-MJJCiwQYAhMKV618jV9rNE181zJ1FRkX48knMzqoE4oG3yEFUg2D_vAdFG3VCuotnuxrZ7BEzDPWyEm0z8XakxWQW-xHSADtKWRr1qsQCy7qVsoAKnVFQ_1b4rAzET1YfrmhSH4MVhMB5n9tOnjtPQ0OsJVbf0oVLh5AC1rbXe68weOQExDVJgsk56x3FvvwrmdaLe2TnbPJmzpkYUf1OK88e8KmhVYb34veuY1luDOBJQyQ9fOAGZC0F-g7SpWg1lp3hQzf5enkycHMK-fNAfFH7r1m1Ej_CvUuxfBVhI0W8ANpFWL4r8PxTZeZzE6NO38MYgB9nrICiKJuuTQQbsXdjOm22QuxrG1XpWA-vQCtbk-L891Ko6MdAUMzQ\"}'); \
    s = BaseHTTPServer.HTTPServer(('0.0.0.0', 80), h); \
    s.serve_forever()"

Я вижу там только apache. Опять же, на официальном сайте где что-то похожее? Нужно по всей сети искать статьи(ещё не факт, что там всё правильно), чтобы настроить их приблуду?

Не осилишь копипаст? Там кстати есть другой путь без ssh.

Я вижу там только apache.

А я вижу не только апач. Читай до конца и не набрасывай говно на вентилятор.

Опять же, на официальном сайте где что-то похожее? Нужно по всей сети искать статьи

Моя статья является step-by-step компиляцией оф. документации и документации клиента LE. Недостатки документации: недостаточно разжовано для новичков и нет пошаговой инстукции. Однако я, человек без 30-летнего опыта в python/webdev не встретил проблем.

А ты всегда на боевом сервере копипастишь команды из статей в интернете? Я вот как-то не хочу делать бездумные вещи. Совсем не хочется бегать с бекапами и восстанавливать всё потом.

Вот только на официальном сайте никакой инфы.

Но как же https://letsencrypt.org/howitworks/#how-to-use-the-client?

копипаст

Exactly. Почему просто не сделать вебформу?

Там для апача только.

Авто-конфигурация да, только для Apache. Но у меня nginx, так что я не стал экспериментировать и запросил certonly. Утилита отработала, сказала, куда положила ключи. Заменил старые ключи на новые в конфиге nginx — и готово.

До обновления дело не дошло пока. Но обещали, что достаточно просто запустить снова. Доказательство владения доменом есть, при обновлении гасить сервер не понадобится.

Так сделают, спецификации открыты. Верифицировать можно также по html-файлу.

Все так, стопать вебсервер не обязательно, достаточно выбрать альтернативный вариант верификации.

Никогда не копипащу, в этом случае я понимаю что делает эта команда.

Так сделают, спецификации открыты. Верифицировать можно также по html-файлу.

Знаешь почему конфигурация fontconfig на xml? Потому что разрабы иксов думали, что кто-нибудь напишет конфигуратор - спеки-то открыты :D

Let's Encrypt предлагает запускать на сервере свой софт(который ещё свой сервер поднимает, epic)

А можно и в crontab засунуть запуск от непривилегированного юзера.

который будет править конфиги

Необязательно. Это для тех, кто не может сам осилить добавление шифрование для веб-сервера. Да и править конфиг надо единократно.

да ещё и дёргать новый серификат постоянно

Да.

Но вообще сорцы открыты, API открыт, можешь проверить текущую реализацию или запилить свою, если нет доверия их софтине.

В общем, пока похоже, что ты сам не до конца разобрался.

Кроме боевых есть еще тестовые среды, на них практиковаться не судьба?

Этот трэд полон реально поехавших людей. Кто-то на полном серьёзе говорит что вендорская тулза для получения и обновления сертификатов это ок? «Запускать в кроне», «все рукожопы, я запустил оно мне само всё сделало и всё работает» и прочее прочее. Аж жутко стало, пятизвёздочные мракобесы-локалхотеры-виндузятники.

Я тоже об этом думал, мне кажется для большого набора машин все фронтенды должны форвардить конкретный URL токена на одну машину, на которой пытаются получить сертификат. Или плясать через автоматизацию manual режима

Он требует root. Я думаю что репутация проекта позволяет ей довериться. Ведь у тебя и линукс сам по себе на проде работает, не боишься?

В ручном режиме запускать letsencrypt-auto можно где угодно, хоть под «одноразовой» OS с флешки.

Этот проект изначально не для компаний (хотя они тоже могут пользоваться) - у них и так есть админ, который все настроит и бабки чтобы купить сертификат. Этот сертификат для всех владельцев мелких сайтов, которым и сертификат за деньги нафиг не нужен и которые разбираться в процедуре генерации сертификата через openssl не готовы - скачал, запустил, сертификат есть и настроен. Они просто вляпались в то, что каждый дистрибутив считает своим долгом сделать все по своему, поэтому не у всех все работает, поэтому beta.

Есть startssl в конце концов, если вы их клиенту не доверяете.

А что, обязательно доказывать владение доменом через HTTP? Вроде планировали и другие схемы, нет?

На данный момент доступно: http, tls-sni, dns, proof of processing of previous key.

Беда только, что для этого надо остановить web-server. И клиент тормозной. Т.е. это 5 min downtime.

Пипец.

Есть обходные пути. Вот один из моих кривых велосипедов: https://www.dim13.org/zero-downtime-letsencrypt

С некоторыми клиентами можно и просто проксировать /.well-known/acme-challange/ в другое место.

А зачем тогда весь этот онанизм с вебсерверами, рутом и конфигами?

Вторая беда — эту операцию надо повторять минимум каждые 3 месяца. Т.ч. в ручную — no way.

У этого клиента интерессный подход. Правда, я его не тестил. Хочу что-то похожее запилить и в своём (будущем) клиенте.

Потому что, к сожалению, авторов официального клиента в детстве регулярно роняли на голову.

Хотели как лучше (что бы John Doe (секретутка)) смогла всё это поднять, а получилось, как обычно. Даже мне пришлось пое повозиться, что бы заставить его работать.

Тут есть упор на автоматизацию, не вижу никаких трудностей для компаний.

Есть startssl в конце концов

Говно, которое не поддерживает все домены и отзывает сертификаты на свое усмотрение? Даром не нужно.

Там есть вариант с временной установкой файла в webroot. А при обновлении, по идее, не нужно уже подтверждать владение доменом.

В ручном режиме запускать letsencrypt-auto можно где угодно, хоть под «одноразовой» OS с флешки.

Еще один. Зачем искать _оправдания_ каким-то анальным костылям, когда можно делать что-то без них, и это _100% работает_?

Этот проект изначально не для компаний (хотя они тоже могут пользоваться) - у них и так есть админ, который все настроит и бабки чтобы купить сертификат.

Что ты несёшь?

Ты читал их политику? Читал с чего это получилось, и какие бенефиты они преследуют? Я - да. А ты, видимо, нет (прямо как классический «верующий» и библия).

Всё что ты сказал - это выдуманная тобой же отсебятина, нацеленная на оправдание этого анального подхода к уже давно решенному вопросу.

И даже если бы то что ты наплёл было правдой, то это не оправдывало бы корявости методов, хоть то для больших сайтов, хоть для маленьких.

Кто-то на полном серьёзе говорит что вендорская тулза для получения и обновления сертификатов это ок?

Можешь пожалуйста развернуть мысль?

По задумке ACME — это протокол не только к LE, но и к любому другому CA, поддерживающий этот протокол.

Далее, что плохого в том, что оно само, автоматически будет мне обновлять сертификаты? Это не только «домохозяйкам» полезно.

Я, например, целюсь в сторону полностью автоматического развёртывания SSL-only хостов (ansible + docker + letsencrypt) в стиле «fire'n'forget». Упрощение возни с сертификатами мне только на руку.

EFF с тобой не очень согласны. ;)

На официальном клиенте свет клином не сошёлся. За 2 треда уже насчитали минимум 5-7 альтернативных подхода.

По задумке ACME — это протокол не только к LE, но и к любому другому CA, поддерживающий этот протокол.

Много ли таких? И что важнее, много ли клиентов, что на такое запилены?

Далее, что плохого в том, что оно само, автоматически будет мне обновлять сертификаты?

Скрипт, работающий от рута. Или специально для него создавать отдельную микрофлору прав и доступов. Или пилить отдельную надстройку/врапер вокруг этой вендорской беды, что бы всё равно наплодить костылей и воевать с этим софтом. При том, что всё уже придумано до нас (с), и оно работает, и оно прямое. Ладно бы они дали выбор: удобно приблудой - на, удобно по старинке - на.

Я, например, целюсь в сторону полностью автоматического развёртывания SSL-only хостов (ansible + docker + letsencrypt) в стиле «fire'n'forget». Упрощение возни с сертификатами мне только на руку.

А я имею опыт укладывания работы 8к хостов, от завязки на подобную вендорскую хрень. Просто в определённый момент вендор подправил протокол, и пожал плечиками. И сертификаты не приехали. И дела немного стали раком.

Или тут скрипт может обновить сам себя? А если может, ты представляешь какая это дыра?