всех на серверах стоял их софт

Это такой хитрый план?

ужо. =)

http://www.spfng.com

SOOOOOQA! МОИ ГЛАЗА!

Вместо сайта вижу предупреждение. BlackBerry 10. Видать, не обо всех устройствах они подумали.

https://helloworld.letsencrypt.org/

а тут?

И там тоже. Хотя установил pem-файлы с их сайта. Хотя, по идее, и не должен был это делать, они ведь типа должны были обеспечить себе мировое признание среди браузеров самих по себе.

Вместо сайта вижу предупреждение.

Какое конкретно?

https://maaaks.ru/images/screens/IMG_20151206_064952.png

https://maaaks.ru/images/screens/IMG_20151206_065013.png

https://maaaks.ru/images/screens/IMG_20151206_065049.png

Блэкберри не нужен

letsencrypt.sh

Может кому будет интересно, вчера нашел простой клиент на bash+немного perl, проще наверно некуда.

В конфиге указать на какие домены генерить серты, проверить путь до webroot (можно также перемонтировать вручную удаленный и указать его). Это нужно для проверки владения доменом (все это должно смотреть наружу, т.е. порт 80 со стороны вебсервера должен быть открыт).

Запускать можно под обычным пользователем. Убедитесь, что есть права на запись (юзеру под которым запускается скрипт) в /var/www/.well-known/acme-challenge). Сертификаты будут лежать в ./certs/<домен>.

Пример работы:

$ ./letsencrypt.sh
+ Generating account key...
+ Registering account key with letsencrypt...
Signing domain example.com (example.com www.example.com)...
  + Generating private key...
  + Generating signing request...
  + Requesting challenge for example.com...
  + Responding to challenge for example.com...
  + Challenge is valid!
  + Requesting challenge for www.example.com...
  + Responding to challenge for www.example.com...
  + Challenge is valid!
  + Requesting certificate...
  + Done!

P.S. клиент только недавно появился, еще нет возможности сделать отзыв сертификата и может быть еще чего..

Можете потестить на виртуалке, с халявным (пока не заберут) доменом в dot.tk + afraid.freedns.org..

Let's Encrypt не нужен.

Вся философия этого дела заключается в том, что (котортоживущие) сертификаты выставляются автоматически.

Эх блин, для опеншифта либо велосипед писать либо ждать пока они сами раздуплятся.

Возможно, но если это корпоративный стандарт, то никуда не денешься.

Проверено - до сих пор из набора клиентов (мой десктоп на линупсе, Windows 8.1) сертификат полностью подлинным не считается - в большинстве ОС, походу, еще не внесли для LE.

А зачем вообще нужен этот сертификат? Для галочки? Или это какая-то реальная защита от кул-хацкеров?

Волшебный механизм тут — cross-signing. Корневой сертификат LE подписан IdenTrust (который уже есть в большинстве бровзерах) и наоборот.

Твой вопрос с родни «зачем мыть руки». Можно и не мыть, но лучше, что бы мыли все и с мылом. ;)

Есть Key Pinning. Ключ при смене сертификата обычно не меняется, так что проблем не будет. А Certificate Pinning это какая-то чушь.

мну уже занялся своим

https://www.reddit.com/r/golang/comments/3vlqqw/an_idempotent_acme_lets_encry...

Я знаю про этот. Их и в самом деле уже штук 5 или больше. Только вот ни один из них мне на 100% не подходит.

Идеально (для меня) это должно быть так (тырю идеи из других):

• запускается по крону (или inotify)
• имеет простой конфиг, а не ключи
• следит за списком «want» сертификатов
• следит за уже присутствующими сертификатами
• обновляет всё это дело по мере надобности и expiration
• простая структура файлов (слинкить в нужное место я и сам могу)
• запускает sh хуки по мере надобности (релоад веб-сервера)
• альтернативный порт и/или прокси-мод
• не требует рута (или privilege mitigation)

Другие клиенты или слишком просты или слишком сложны.

В связи с последними новостями из Казахстана, скоро будет неактуален, как в Казахстане, так и в Россее

где гарантия, что они не канут в небытие через полгода ?

Короче, нафиг такое счастье нужно. Будь я конспирологом, подумал бы, что это очень тонкая пиар-акция привычных продавцов воздуха, потому что бесплатный сыр поивезли уж больно невкусный.

Мне и WoSign хватает.

а есть у тебя публичный сайт с их сертификатом?

https://ergil.xyz/
Проверка
https://www.ssllabs.com/ssltest/analyze.html?d=ergil.xyz&hideResults=on
A+

Проверено - до сих пор из набора клиентов (мой десктоп на линупсе, Windows 8.1) сертификат полностью подлинным не считается - в большинстве ОС, походу, еще не внесли для LE.

Ты просто врешь.
Не знаю что такое «линупс», а на Linux и на Windows сертификат считается подлинным.

Поддерживается всеми, ибо cross-signed.

Ты просто врешь

Windows 8.1, Pidgin - «не могем заверить сертификат».
Arch, обновления по 3 дня назад, Vacuum-IM из Git - «не могем заверить сертификат».
Заверить конкретно не могем, ибо Let's Encrypt не считается проверенным издателем.

доменом в dot.tk + afraid.freedns.org..

freedns тут не нужен как бы.

Ubuntu GNU/Linux 14.04 — все в порядке
Ubuntu GNU/Linux 15.10 — все в порядке
Gentoo GNU/Linux ~amd64 — все в порядке
Debian GNU/Linux sid — все в порядке
Microsoft™ Windows™ 10 — все в порядке

Проблемы в твоей маргинальщине и твоем вранье.

твоем вранье

4.2.

10

То есть, чтобы сертификаты работали, я должен прыгнуть, расшибиться и обновиться. Нет, спасибо.

все в порядке

Тестовые условия в студию.

где гарантия, что они не канут в небытие через полгода ?

это всего лишь малая часть сценария

чтобы сертификаты работали, я должен прыгнуть, расшибиться и обновиться

Что бы сертификат был в системе надо обновлять систему. Какая неожиданность! Либо использовать браузер который использует свое хранилище сертификатов.

И прекратить врать.

и прекратить врать

4.2.

надо обновлять систему
браузер

Пост не читай, сразу отвечай.

Pidgin
Vacuum-IM

ожидаемая инициатива:

* бесплатное хранилище паролей+бонус-пак: 1000 готовых бесплатных криптостойких паролей с запахом лайма

* усовершенствованный дропбокс,

* бесплатные ssh-ключи

* бесплатная настройка безопасности ваших серверов: ваш рут - наша работа!

X1 подписан IdenTrust https://letsencrypt.org/2015/10/19/lets-encrypt-is-trusted.html

Похоже блекбери кривой как сабля.

Он (формально) бесплатен только для некоммерческих сайтов.

Хороший аргумент. Учту, спасибо

На их фооруме есть целый тред по поддержке сабжа в браузерах/ОС: https://community.letsencrypt.org/t/which-browsers-and-operating-systems-supp...

Тебе не кажется, что ты смешал в кучу софт и гигиену?

Компьютерная гигиена, что не так? ;)

Ну, то есть, если не «мыть руки», то бишь не сертифицировать сайт, можно отравиться? Это как, объясни, а то у меня черепная коробка начинает расходится от усилий мозга...

freedns тут не нужен как бы.

Не спорю, да и дот.тк не нужен, но для тестов пойдет.

ИМХО для собственного сервера и клиента лучше использовать самоподписанный сертификат (и посылать нах.р) все другие CA.

кстати при нынешних тенденциях это довольно актуально

Dot.tk теперь является частью Freenom, пару личных сайтов вполне работают. Замечание относится к тому, что Freenom предоставляет DNS и freedns.afraid.org тут нужен как третий сапог.

Ознакомься со списком спонсоров. В нем гарантия.
А вот что ты не сгинешь через полгода гарантии нет, ибо человек смертен, при чем смертен внезапно.

Если вообще раздуплятся. Вон на free тарифах SSL вообще не предусмотрен, а bronze доступен не во всех странах.

Ты идиот.

man SSL

man CA

а bronze доступен не во всех странах.

Сделай себе карту через Payoneer / Paxum / etc и забудь о таких глупых ограничениях.

Как будто достать виртуальную карту от supported стран громадная проблема.