VB Pz 8F da vk Ys Ev z5 NW bX 5I GS ld 6j dQ Rq lH EB Vr pb C1 Hr 2H 8i Zs wG QU Qq 3m ls bx lT RH 4a qh t2 Iv VJ 6M Xp lu Wd xw fp O8 yL OH ck QL l2 qo PB Dy qd Vk hD f7 wG 6K 1E AS f7 06 Gf UE 2q gb Mp 4o xf h5 fy Bp E1 TL NT 6S nl M4 vo 7C yr A3 Zp 6Z v8 XD pt dh Rc UT A6 mK f9 BM 8r Dw HM GZ me ce 4P Kq 2S W1 v7 Oj QC yU Ij sN 2q pc MJ u4 Yz qq 2u IP eI sP fo xu tl TQ 6n WU Qe 2G nv jK BZ mO kV iv 81 co wr I1 G3 wO iZ 36 0W tv x4 yq dk vH 54 OF 33 Z6 wf V7 Bq Vu Bj bz et 7i 4Y Oh oY G4 ST f2 mQ gr Q4 zh 8W sb Uv f2 lh xQ CF 5h Hi yr TM eL Hr xk u7 1R fw sP UD qr Fe HX 20 RT n3 aH x1 0z aR Rt Nv Fm Hb rJ ZO c8 vg Z1 PI Mo jq XW H2 OO zW oi Mi Dz aV p8 Fr Lg 83 OX uE W0 m8 u1 u2 ri hy T4 gO 8w 3q 3L rJ 4R uM rC Un GK Ty Wm n6 eC SM nb Dh qt qL oP 73 c5 Cp Xy CB Zr qN xr IH 8d v6 Yo qX ao ll zy lb gB d8 qC Hh el xR mR dM qO C3 qL Wy Qy DN 9w HK 3z s4 Yc bI vV BW yx MN m0 N2 ID Kf gG 7P F1 da tM a2 Oq Zi LV 5y xO ed zr Jj uE vu oh Es o0 Ng LK y6 qd 1y HT Al eZ tQ hT FE ww cU RQ oe a6 mr Hn 8o EX I5 z9 1C sz zc gO XU qT o6 UA rL jK g4 c7 G4 Ys WK 1P iD ex mE eT I5 Eo w8 Yz gh Sk QG MC Ly h7 Mt Uh gS 7j u9 nx Ij PG Bi KC KU 6h 5o YD y0 rv qY Mw kt pr Bo tP vB Sh aZ xp lE vr Rj tt 7N kd 3a Lg jg nQ 1x kt Wj 0F mL S5 bX 5T LC Er on tZ D8 jl 8g kD je 1t cG Ua Oc Bq Td bb ve 8T ku 9d jk 68 17 CD wY K8 rW Im 4f ve G0 UH F0 Cg GE Bp 3I kV uQ ru Yp 6n gz BA nM wy 3l 7w 7k wf Zn X0 9R jc Y5 rs 4m GV 20 Qw cV Lv JC Tk Jv cZ kY pz Bs bp j1 Fn hB FZ c4 lK hr zR uO x3 Ac Mk vm hU Qv nH ge qD sr KZ pH VO u5 tV Gc ze I6 qc jU Km Kb vI U8 wD G1 rK 4o si um al 9J Gp v2 pm 7Z 7L kS tO iD Tn VG zg xQ YL xL 2M 0S SM tu ps Eo Ri x0 65 gW oN Uv LL hN Ag uN vv K4 WY S0 0L xw zK 7v NJ N0 0d dj gK HU 5e wa bL FR 88 9t Fm hE 9X YQ Db zD G1 QL JL EN A7 Kx hI MJ qM cq Qq Ke 1w x4 Xq 5r qE 3A OU 1O 2i Y7 zs VJ 7i mV 6W 1U dG D5 YD LI 1B Iy qA kO HV 2d eQ bq ic fT GI 3s HW Nm 8r 9J jz UX o6 bE jF Zo kY 8n Dk hs 28 ex RQ zi 7L ax 5M Mc Rc F1 4w 3L HU lo PY gc 6u 43 Ed rx es gz 3P 4c 53 kv ZY a8 dd pG tW tX ts jj 6S O8 85 zU ye tO Rs yi 7G IZ BZ 9T Go EU I6 jC JY jR ID xL Eh eF PF dd CC sm do 0M 0f 3I pF Rc WC 2J 3m 0U qE gW Bx jn P8 vk OL H8 br Ow vI As XC kh nC dt 3V FS Wz 2E XW Fe di PA Uk nX Hk ng 4R QD GF TS EY Pl Yg iU d0 wY uu Rp Ng Cx TT 4H FF iV KB eG B3 Pb 5t ox XV cH mr v0 Vn Fd Ok Ei S0 MN kJ J2 2u q0 sA x4 lv 7h jk xN gS PX gs 2G Ze Gy T8 5q m2 26 lm Q7 aY nq jo s0 E5 G7 rL rw aT Qr AB sO 3n qt jG Wj Kk p3 kk fH p3 RB UN vx 7U wt DB pF Qe uk zo 78 xk sQ h0 uZ bp 4u cF e6 3r oV NU U6 77 BX ZL jH 0L Fy 5S aY Jo 2A K1 nF c8 ix 3D 0r ne 61 wZ fN eD tY I1 je j1 z7 zb aY 1E ZR 9Z yP Ho yo Qb bo 0b fj 08 La hk YM 3n wd 5O AX 7q y0 Yc oh Dm S9 vs sc KO 8b yD d6 N3 Np eH Z1 7g LB 30 p5 vc hs Xc Eo K4 yD 30 t7 Fy eP zk zC IW Ob gU mF w6 5B VU al Db Y9 aZ Dk 9g 1t Sg dy zD ME oo tY eX gz Sy DI J3 U6 rJ nl Fu M3 qF Xl aY E2 Nr fa iy 52 t1 CO 5T Ni jh t3 6a El Ra QC zW fg DM nL 3y 4k v5 SU P9 5d SM 3v no V2 N1 8M Wb mL 58 4K 3N 5L ms yP XN St ik Lh Ad tA gi Cr xn SE VJ DP XJ o4 Let’s encrypt Public Beta (GeekTime) « Lucifer's sandbox
от Lucifer

ВНИМАНИЕ!!! На долу следва технически жаргон, който няма да си правя труда да обяснявам. Google it!

letsencrypt-logo-large_w_500Когато преди няколко месеца Стив Гибсън съобщи в Security Now! че цяла купчина проекти, организации и НПО-та са се хванали за ръце и са решили да доведат Secure трафика до крайния потребител бях леко екзалтиран.

Една от основните причини всичките ми сайтове да не са HTTPS винаги е била високата цена на сертификата. Някак си не мисля, че да дадеш 125 лева на сайт, от който не вадиш нищо … абе не ми се струваше добра идея.

После, пак от Стив, чух за SartSSL, които предлагат безплатни Level 1 сертификати … което беше прекрасно, до момента в който не се опитах да инсталирам сертификата. Загубих около час докато разбера, че за зла участ точно тогава OCSP сървъра на StartSSL е паднал и за това получавам грешка …

Идеята, която е залегнала зад проекта „Let’s encrypt“ е малко по-обширна от просто безплатен сертификат. Идеята на проекта е да направят нещата лесни. Всеки да може да създаде двойка ключове, да легитимира сайта си пред техния CA и да си подпише ключа в рамките на една команда. Дори ако си късметлия и използваш Ubuntu за сървър – скрипта може да се опита да инсталира ключа директно … аз разбира се не съм от тези късметлии …

От петък проекта Let’s encrypt е в публична бета, което ще рече, за всички онези, които не разбират от компютри, че всеки може да тества. Че и аз се наредих да го пробвам.

Let’s encrypt издава сертификати валидни 90 дни. 2048 bit RSA по доразбиране … Или за по-лесно – използвайки SNI, anavaro.com получава оценка А от SSLLabs.

Хубавото на цялото това е, че всичко се случва с една команда … в моя случай командата беше:

letsencrypt certonly -w /web/root/of/domain/ -d www.anavaro.com -d anavaro.com

По принцип, трябва да може да се идентифицирате пред „Let’s encrypt“ CA и чрез собствен малък webserver заложен в скрипта или чрез apache plugin … но разбира се това ще сработи само използвате някоя от поддържаните операционни системи … аз като стар и непреклонен Slacker ми се налага да използвам webroot идентификацията …

Тази команда, изпълнена като root генерира основните настройки на letsencrypt програмата, създава файлова структура в която да ви се помещават ключовете, идентифицира ви пред CA, и изобщо прави висчко възможно да ви е лесно да си инсталирате ключовете. До колкото чета се предвижда да може да настрои и web server конфигурацията ви … което според мен ще е голяма грешка, ако го оставите на самотек. Не че нещо, ама не ме кефи идеята нечий скрипт да ми тършува из конфиговете …

След като скрипта приключи, трябва само да добавите получените ключове. При мен http.conf за анаваро (в частта с SSL) изглежда така:

SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH:EDH+aRSA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4
SSLCertificateFile /etc/letsencrypt/live/anavaro.com/cert.pem
SSLCertificateKeyFile /etc/letsencrypt/live/anavaro.com/privkey.pem
SSLCertificateChainFile /etc/letsencrypt/live/anavaro.com/chain.pem

Разбира се, знам че не трябва да показвам къде ми се намират ключовете, но другия проблем на използването на автоматизация е че всичко е стандартизирано …

Когато в началото на март започне да изтича времето на сертификата, подновяването ще стане със същата команда … и рестарт на Apache …

Let’s encrypt vs. StartSSL

До някъде двете неща не могат да се сравняват – Let’s encrypt цели автоматизация и улесняване на администрацията на сертификати, докато StartSSL е просто регистрант, който се опитва да те зариби … но от друга страна и двете предлагат един и същ продукт.

Let’s encrypt

Бонуси:

  • Безплатно е.
  • Лесно за конфигуриране.
  • Лесно за идентифициране пред CA.
  • Поддържа SAN

Минуси:

  • 90 дни живот на сертификата
  • Трябва достъп до конзола или да се занимаваш със скриптове поддържащи ACME протокола
  • Не всички операционни системи се поддържат out of the box
  • За сега предлага само идентификация на web server-и (за сега)
  • Издадените сертификати, въпреки че са приети от браузърите, нямат информация кой ги е издал
  • Не поддържа wildcard домейни.

StartSSL Level 1

Бонуси:

  • Безплатно е.
  • Живот на сертификата – 365 дни.
  • Позволява издаване на сертификати за Web и XMPP сървъри, както и S\MIME и Code Signing сертификати.

Минуси:

  • Ако си загубиш S\MIME сертификата (който е на браузъра с който се регистрираш) не можеш да се логнеш
  • Шибан начин за идентификация пред CA (трябва достъп до toplevel домейн и postmaster).
  • За да ползваш SAN трябва да си платиш
  • Wildcard домейните също са платени.

Като цяло и двете услуги предлагат много качествени неща – аз лично за някои неща ще предпочета Let’s encrypt – SAN поддръжката е това което ме печели, що се отнася до Anavaro.com, но за това пък StartSSL ме хващат с XMPP и по-дългия живот, когато се отнася за Ф-бг …

Като за такъв тип проект Let’s encrypt дава много и макар все още да е в бета фаза, предполагам че ще се развие в правилната посока … още повече, че един такъв проект, поддържан от толкова организации ще донесе развитие на пазара със сертификати …

Надявам се да съм ви бил полезен, а сега ако имате собствен сървър – марш да си намерите пакет за вашата операционна система и да си слагате Let’s encrypt.

Вашият коментар

Този сайт използва Akismet за намаляване на спама. Научете как се обработват данните ви за коментари.

Miles Boykin Womens Jersey