LINUX.ORG.RU
ФорумTalks

LetsEncrypt во все поля

 


2

1

https://letsencrypt.org/

Говорят, они пофиксили _самый_главный_косяк_ - совместимость с XP. Из-за которого пролетало фанерой ~ 10% клиентов.

Кто-нибудь пробовал обновленные сертификаты? Подводные камни остались или можно спокойно раскатывать в продакшены?

★★★★★

Если-бы они просто выдавали сертификаты, без заморочек с каким-то софтом для их обновления, то было-бы интересно. А так выглядит как костыль.

Deleted
()

Впилил сегодня — все ок.

shuck ★★★
()
Ответ на: комментарий от invy

Что-то у меня эта одна команда так и не заработала... Как Я не пытался, так и не получилось его обновить :(
Правда, пробовал месяца три назад.
ARM, Arch.

joy4eg ★★★★★
()

Говорят, они пофиксили _самый_главный_косяк_ - совместимость с XP.

Перестали выдавать сертификаты на эллиптических кривых?

atrus ★★★★★
()

Пользуюсь несколько месяцев, всё ок, пользователи XP могут проследовать лесом.

nighthawk
()
Ответ на: комментарий от atrus

Договорились убрать маску на .mil в кросс-подписи, проблемы из-за нее были.

Vit ★★★★★
() автор топика

Забавно, у меня по-прежнему у всех юзеров ругань на то, что LE - недоверенный издатель.

DeadEye ★★★★★
()
Ответ на: комментарий от GamePad64

А я вообще не про XP сейчас, ни один из юзеров не на XP.

DeadEye ★★★★★
()
Ответ на: комментарий от Vit

Если-бы они просто выдавали сертификаты, без заморочек с каким-то софтом для их обновления, то было-бы интересно. А так выглядит как костыль.

Твое мнение очень важно для всех нас, спасибо.

а это не только его мнение. я тоже считаю, что инсталить софт для получения сертификата на каждый сервер, это ужасно неудобно.

crypt ★★★★★
()
Ответ на: комментарий от crypt

Это не «неудобно», это «ломай меня полностью».

Deleted
()
Ответ на: комментарий от Chaser_Andrey

Если б их было 1-2% - само собой. Но т.к. их 10%, то это проблема летсэнкрипта.

Vit ★★★★★
() автор топика
Ответ на: комментарий от crypt

Мне кажется вам надо объединиться в отдельную тему и написать письмо Путину.

Vit ★★★★★
() автор топика
Ответ на: комментарий от crypt

это пока у тебя 1 сервер - да

как будет >1, тебе захочется puppet, ansible, итп

и все эти штуки будут сами тебе ставить софт на каждый сервер, без твоего участия в этом

при этом для функционирования всех этих штук тебе так и так придется ставить некий софт на все сервера

stevejobs ★★★★☆
()
Последнее исправление: stevejobs (всего исправлений: 1)
Ответ на: комментарий от joy4eg

Что-то у меня эта одна команда так и не заработала... Как Я не пытался, так и не получилось его обновить :(

А что там сложного? Настроил вебсервер отдавать файлы для путей с префиксом /.well-known/acme-challenge/ из определённой директории, и гоняй скрипт сколько угодно.

theNamelessOne ★★★★★
()
Ответ на: комментарий от GamePad64

ХЗ. Для полной совместимости вроде осталось осилить двойные сертификаты - для современных и тухлых браузеров. Не знаю в каком состоянии спецификация на эту тему.

Vit ★★★★★
() автор топика

Ятак понимаю, чтобы получить обновленный серт достаточно подождать пока истечет текущий и следующий они выдадут типа нормальный? Или надо заново генерировать ключ и csr?

Аросто у меня настроено через крон проверка срока и обновление через acme_tiny, не хочется ничего трогать.

Да и помнится заходил на свой почтовый сервер с хр + thunberbird - никаких проблем. Видать это проблемы у недобраузеров типа ие и хрома :)

Rost ★★★★★
()
Ответ на: комментарий от Rost

Можно и подождать, если не к спеху. Ну или руками то что в кроне дерни.

Лисопродукты тащат полностью свою криптографию, там проблем нет.

Vit ★★★★★
() автор топика

Подводные камни остались

webroot работает только через http.
если на сервере только https, то приходится через standalone делать и соответственно апач останавливать

abyss
()
Ответ на: Подводные камни остались от abyss

Интересуют проблемы с самими сертификатами, а не с процессом получения и обновления.

Vit ★★★★★
() автор топика
Ответ на: комментарий от Vit

Понятно. Тогда лучше подожду. Как говорят, работает - не трожь. Спасибо за ответ.

Rost ★★★★★
()
Ответ на: Подводные камни остались от abyss

Если апач не слушает 80 порт, то зачем его останавливать? Можно для этой цели какой-нибудь micro_httpd запустить на время. Тут главное не пользоваться офф клиентом, а то он слишком «умный», все за вас норовит сделать или сломать - как повезет :)

Rost ★★★★★
()
Ответ на: комментарий от stevejobs

чтобы let's encrypt работал ему нужен открытый 443 (или 80) порт в инет и соответствие ip dns name. как ты понимаешь, если у тебя 1000 приватных серверов, puppet мало поможет.

crypt ★★★★★
()
Последнее исправление: crypt (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.