LINUX.ORG.RU
ФорумTalks

Let's Encrypt идея и реализация

 , , ,


4

3

Хотели создать Let's Encrypt и сделать как лучше, а получилось как всегда.

Сейчас ещё говорят, что якобы бета. Но уже сейчас видно, какую фигню они придумали.

Они говорят, что обычно сложная процедура получения сертификата, надо регаться и делать всякие действия, а потом ещё устанавливать сертификат на сервер. Да это сделать намного проще, чем заставить работать их приблуду!

Let's Encrypt предлагает запускать на сервере свой софт(который ещё свой сервер поднимает, epic), который будет править конфиги, да ещё и дёргать новый серификат постоянно. И будет это минимум раз в 3 месяца. И никаких чётких инструкций на сайте!

Никакого нормального описания на официальном сайте до сих пор нет. Есть какой-то пример, с какими-то ключами вроде как для апача. Но никаких подробностей. Вот так раз, взял запилил и запорол конфиги на продакшен сервере.

Я ещё месяц назад получил доступ к бета тестированию, но до сих пор никаких внятных инструкций, никакой нормальной документации. А ведь уже вроде публичный доступ всем дали вчера.

Уж лучше бы сделали как и у всех. Регистрация, получение сертификата(хотя бы на год) и самостоятельная установка на сервер. Это же так просто, чем возиться с их непонятным софтом, который будет у тебя хозяйничать на сервере. В результате процедура получения сертификата настолько усложнилась, что намного проще заплатить продавцам воздуха и без проблем получить, и установить сертификат.

Может, конечно, это я такой неосилятор, но я уверен, что я не один такой. Получил доступ, а дальше ступор. В сети пишут, то поддерживается nginx, то ещё нет. У кого-то запоролись конфиги, у кого-то ещё что-то. Неужели нельзя было сделать сразу для людей? Их утопичная идея перевести весь веб на https - проваливается ещё в зачатке. Идея крутая, а реализация epic fail.

★★★★★

Последнее исправление: beastie (всего исправлений: 1)
Ответ на: комментарий от iu0v1

Мы много чего запускаем от рута. Начиная с nginx и заканчивая postgres. ;)

От рута клиента запускать совсем не обязательно. Достаточно или перенаправить порты, или что бы оно отвечало на /.well-known/... (proxy mode)

Далее, что мешает обновлять не каждые 3 месяца, а, скажем 2? У тебя будут целых 4 недели на возможные проблемы.

beastie ★★★★★
()
Ответ на: комментарий от beastie

Мы много чего запускаем от рута. Начиная с nginx и заканчивая postgres. ;)

false, false

Всё что дальше - это то что меня пугает, и теперь и в тебе. Я не хочу лепить костылей. Я не хочу идиотских псевдоперестраховок. Есть уже отлаженная, прямая, удобная схема. Вы все только и делаете, что находите оправдания с костылями, а не говорите о отсутствии боков и больших преимуществах.

PS: да, «не хочу» - так и не пользую; но не нужно рассказывать что это нормально и удобно;

iu0v1
()
Ответ на: комментарий от vertexua

А, ты только об официальном. Ну вот список https://community.letsencrypt.org/t/list-of-client-implementations/2103

Есть ряд уже готовых клиентов, которые работают без root'а.

Ну и сервисам не стоит давать рута вообще, это не безопасно.

Chaser_Andrey ★★★★★
()
Последнее исправление: Chaser_Andrey (всего исправлений: 1)
Ответ на: комментарий от Pavval

Я правильно понял, что если я хочу получить сертификат для локальной сети (например, для ejabberd/внутреннего git сервера и т.д.), я иду в задницу? Ибо letsencrypt, требует, чтобы я выставлялся на улицу, чтобы оно ко мне могло достучаться и стянуть определённый файл? Там вроде было что-то про TXT записи в DNS, но оно я так понял тоже требует динамического DDNS, что мягко говоря не всегда реально у внешних DNS провайдеров...

DALDON ★★★★★
()

никаких чётких инструкций на сайте...никаких подробностей...никаких внятных инструкций, никакой нормальной документации

Use The Source, Luke!

DonkeyHot ★★★★★
()
Ответ на: комментарий от DALDON

Я правильно понял, что если я хочу получить сертификат для локальной сети (например, для ejabberd/внутреннего git сервера и т.д.), я иду в задницу?

IMHO ты и так идешь в задницу, и дело тут не в сабже. Т.е. я слабо представляю, что тебе кто-либо такое даст.

Pavval ★★★★★
()
Ответ на: комментарий от Pavval

Эм... Если у меня внутренний dns, представляет такую же зону, как и внешнюю. И я хочу поднять уютный гитлаб, внутри сети. Сейчас я на starssl, получаю сертификат и не парюсь. А с этим вот letsencrypt - я иду в задницу. Понимаешь, Карл?

DALDON ★★★★★
()
Ответ на: комментарий от th3m3

Вот что-то и мне текущая реализация letsencrypt - кажется, не много, не мало - дикой... А что, если из в DDOS вгонят на 90 суток..? То, тогда, что..? Хана Интернетам?

DALDON ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.