Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Let’s Encrypt zacznie wydawać certyfikaty wildcard za około pół roku
W zasadzie tyle w temacie :P Wydawanie nowego typu certyfikatów ma się rozpocząć od stycznia 2018r. Swoją drogą ktoś podzieli się dobrymi/złymi wrażeniami odnośnie działania Let’s Encrypt?
–ms
Co tu dużo pisać – dobre strony – działa, złe strony: 1) trzeba odnawiać co 3 miesiące (ale da się to oskryptować) 2) przy tworzeniu trzeba zwrócić uwagę na ilość rekordów A w domenie (czyli np. wyłączyć na chwilę cloudflare).
Wrażeń osobiście nie mam, bo powstrzymał mnie przed użyciem LE ten syf jaki trzeba instalować do automatyzacji i $DEITY wie czego jeszcze, aby to działało. Wady LE opisano tutaj: http://www.datamation.com/security/lets-encrypt-the-good-and-the-bad.html (sekcja „Let’s Encrypt: the bad stuff”).
Protokół jest otwarty, możesz sobie sam klienta napisać do odnawiania certyfikatu.
Jezeli autor zarzuca Let’s encrypt, ze ktos moze obdarzyc strone z zielona klodeczka takim samym zaufaniem jak strone z „zielonym paskiem”, to ja dalej nie czytam.
Ale niestety ma rację. Przez lata edukowano komputerowych laików, że ma być kłódeczka i że strony dzielą się na HTTP i HTTPS, bez rozróżniania certyfikatów na słabe (tanie) i mocne (drogie). W efekcie 80% Zwykłych Użyszkodników widząc zielony kolor wdepnie w złośliwy kod bez chwili zastanowienia.
@Monter Oczywiście przed LE nie było tanich albo darmowych certyfikatów wiec „problem” pojawił się dopiero teraz…
Według mnie problemem nie jest cena tylko różne odmiany certyfikatów. Skąd biedny Kowalski ma wiedzieć, że są różne rodzaje zielonych kłódeczek? Tyle się pisze i mówi o bezpieczeństwie, a to branża IT sama wrzuciła Kowalskiego na pole minowe i potem się dziwi, lub śmieje, że ów Kowalski wdepnął.
@Monter Jeśli ktoś Kowalskiemu wmówił, że strony z kłódeczką są bezpieczne, to problemem jest tutaj osoba, która mu te bzdury wpoiła, a nie certyfikaty. Kłódeczka jedynie informuje, że faktycznie łączysz się z domeną, którą wpisałeś w adresie i nikt nie podgląda/modyfikuje ruchu pomiędzy wami. Kowalski musi jeszcze sprawdzić na jakiej domenie jest i samemu ocenić czy ufa jej właścicielowi, nie może ograniczać oceny swojego bezpieczeństwa do jednej ikonki. Niestety, internety są trudne…
Używam kilku od ok. roku – wszystko działa, tyle mogę powiedzieć. Nie wiem co jeszcze można dopisać przycertyfikacie? (-:
Będzie już grubo ponad rok, jak korzystam z letsencrypta na swoim domowym serwerku i chwalę sobie. Co prawda nie ogarnąłem jeszcze konfiguracji certbota, ale chociaż to motywuje mnie, żeby co te 3 miesiące zalogować się na serwer i przy okazji puścić aktualizacje.
A certyfikat był mi bardzo potrzebny, bo jak wysyłałem linki znajomym nietechnicznym makowiczom, to nie umieli sobie otworzyć strony z certyfikatem self-signed.
Także na mnie robi bardzo dobre wrażenie.
user@webserver:~$ wget https://dl.eff.org/certbot-auto
user@webserver:~$ chmod a+x ./certbot-auto
+ rovbusz skrypt ktory uruchamiasz w cornie co 60 dni
#!/bin/bash
/etc/init.d/apache2 stop
cd /etc/letsencrypt/
./certbot-auto renew –force-renew
/etc/init.d/apache2 start
/etc/init.d/postfix restart
/etc/init.d/dovecot restart
Odnosnie dzialania Let’s Encrypt: Jakis miesiac temu ich serwery zaliczyly 2-3 godzinny pad co skutkowalo bledem w FireFox. FF nie byl wstanie zweryfikowac waznosci certu. Wczesniej, ani pozniej nie mialem takiego problemu.
U mnie działa… ;)
Działam z LE już ok roku czasu. Działa bardzo dobrze. Wykorzystuję do witryn www oraz serwera pocztowego. Do odnawiania korzystam ze skryptu py-acme oraz nieco własnych skryptów SHELLowych pomocniczych.
Jedyny mankament to pilnowanie okresu 90 dni w celu odświeżania certyfikatów… Ale to też jest przypominajka, aby nie przeoczyć…
Cron moze byc twoim przyjacielem. Pogadaj z nim.
Świetna inicjatywa, bo za darmo. Jednak dla każdego na wstepie jest problemem ustawienie automatycznego odnawiania certyfikatu certbotem. Na dedyku czy VPS to nie ma problemu, ale na shared hostingu to mozna zapomniec.
Korzystam i jest ok.
Wszystko fajnie dopóki nie przyjdzie pracować z aplikacjami napisanymi w Javie łączącymi się z serwerem www z certyfikatem letsencrypt po https…
To sobie schowaj te aplikacje za Apache albo Nginxa.
Na azurze działa ładnie i się automatycznie odnawia. Instrukcja dosyć aktualna tutaj: https://www.troyhunt.com/everything-you-need-to-know-about-loading-a-free-lets-encrypt-certificate-into-an-azure-website/ Jedyny problem u mnie był taki: https://stackoverflow.com/questions/36699356/azure-lets-encrypt-error/42727722#42727722