Разработчики Fedora Linux объявили (https://fedoramagazine.org/letsencrypt-now-available-fedora/) о включении в штатные репозитории Fedora 23 и Rawhide пакета с клиентским ПО для работы с общедоступным удостоверяющим центром Let’s Encrypt (https://letsencrypt.org), контролируемым сообществом. В пакете поставляется утилита letsencrypt, которая предоставляет несколько видов верификации владения доменом, необходимой для получения сертификата.
Также утилита реализует средства для генерации файлов конфигурации (mod_ssl, nginx), обновления и отзыва сертификатов.
Основные методы верификации:
- Ручной метод: генерация кода подтверждения и его копирование в файл ".well-known/acme-challenge/anotherrandomthinghere", относительно корня web-сервера;
- Самодостаточная проверка: на время проверки letsencrypt берёт на себя функции http-сервера, связанного с верифицируемым доменом, и напрямую отвечает на запросы сервиса;
- Проверка через автоматизированное создание файлов к корне web-сервера (клиент letsencrypt должет запускаться на сервере, где работает сайт проверяемого домена).URL: https://fedoramagazine.org/letsencrypt-now-available-fedora/
Новость: http://www.opennet.me/opennews/art.shtml?num=43522
В Арче уже давно: https://www.archlinux.org/packages/community/any/letsencrypt/
Arch не пример для подражания в отличие от Fedora. В Arch даже GUI инсталлятор поддерживать некому, а из AUR вообще сделали вонючую помойку
Ты так говоришь, словно это что-то плохое.
> а из AUR вообще сделали вонючую помойкуAUR можно сравнивать с OBS. Поэтому твой пойнт непонятно о чём говорит.
> AUR можно сравнивать с OBS.Ага. А школьника - с инженером.
>Ручной метод: генерация кода подтверждения и его копирование в файл относительно корня web-сервера;ну вот, кто там ругался что letsencrypt вынуждает что-то там ставить и запускать. Ждем пакеты в дебиане с убунтой.
Ты не заметил, что для "ручного" метода таки придется поставить и запустить утилиту?
> Ты не заметил, что для "ручного" метода таки придется поставить и запустить утилиту?На сервере её запускать не нужно. Можно сгенерировать ключ на рабочей машине или в виртуалке.
> Ты не заметил, что для "ручного" метода таки придется поставить и запустить
> утилиту?Проверочный ключ можно получить обычным curl через HTTP API, по сути та утилита отправляет запрос по HTTP и выводит ответ.
Да понятное дело, что при наличии открытого кода можно всегда разобрать как она работает и сделать без нее. Мне не нравится сам подход. Для понимания моего неприятия напомню, что всякие волшебные downloader'ы в файлообменниках тоже являются опциональными и всегда, внимательно присмотревшись, можно обнаружить ссылку на прямое скачивание, без установки этой мерзости(ой, простите, удобной утилиты). Letsencrypt делает ровно то же самое - навязывает свою утилиту и ставит преодолимые, но неприятные препоны на использование ручного способа.
Поддерживаю, пока не будет сделан "ручной" метод получения сертификатов без всяких левых даунлоадеров - я бы воздержался бы от использования letsencrypt.
И кстати, если я хочу получить сертификат для почтового сервера, мне теперь надо на нём http поднимать?
Вручную разбирать JSON и base64? Ну-ну.У процесса 11 параметров, из них 6 критически важных. Да и вся идеология PKI пахнет не розами.
Не хочешь Python, возьми Go или [упрощённый] bash - https://github.com/lukas2511/letsencrypt.sh
>Мне не нравится сам подход.Ты просто не ффтыкнул :)
Там для совсем уж отпетых можно прямо на их веб-сайтке формочки заполнить и получить всё копи-пастом.Тут крючок то в другом.
ТТЛ у их цертов - 90дней. И хотят уменьшать "значительно" ...
Не заенадоест то ручками обновлять? Вот от того и клиент. Воткнул, настроил, проверил, забыл. Кста - кроме офф. их настрогали с десяток уже, от баша до Go - от навороченных до простых как кувалда - выбирай на вкус! :)
Каждые пару месяцев будешь сам выпускать и менять сертификаты? В текущем виде реализация неудобная. Сделали бы год хотя бы, а так - уж лучше купить или в другом месте бесплатный взять на больший срок.
Ничего, что вся идея - в том, чтобы это автоматом делалось?
Поддержки Nginx - нет. Да и ставить на продакшен сервер, какой-то софт, который будет править конфиги, как-то не комильфо. Нафиг такую идею.Да и проще в другом месте бесплатный сертификат получить, пока в их софте разберёшься.
Нахрен нужна поддержка чего бы то ни было? Запускаешь с certonly, а конфиг сам ручками пишешь, хоть для nginx, хоть для haproxy какого-нибудь.В кроне раз в сколько-то там дней просто запускаешь заново с certonly и пинаешь твой сервер чтоб перечитал сертификат (лежать новый будет по тому же пути). Если же надо каким-то хитрым способом, отличным от дефолтного, составить цепочку, это так же можно сделать в своём кастомном скрипте.
>Let’s Encrypt,
> не поддерживает *.domain.tld сертификаты (wildcard ssl certificates)Не нужно.
Бесплатных сертификатов и так полно.
например? startssl и китайцы?
> startssl и китайцы?Дареному коню в зубы не смотрят © Народная мудрость
Кроме того, startssl и китайцы дают сертификаты на приличные сроки. А стабильность OCSP сама подтянется, когда лентяи оттянутся на Let's Encrypt. Я надеюсь…
http://lmgtfy.com/?q=free+ssl+certificates
> http://lmgtfy.com/?q=free+ssl+certificatesА ты сам то туда смотрел?
В выдаче - великолепное доказательство правоты твоих оппонентов. А ты лузер :)
> Бесплатных сертификатов и так полно.Ты сертификаты с флайерками перепутал.
В Фре в начале ноября добавили http://www.freshports.org/security/py-letsencrypt/
Давайте про каждый новый пакет в дистрах писать?
А давайте. А то новые добавляют, хоть в новостях узнать об этом можно будет)
Почему не было новости про Debian?
Потому что не было статьи в оригинале?КО сообщает: тут как бы ссылка на статью с описанием нюансов и подробными примерами - как создавать, проверять, продлевать, отзывать и все такое прочее, плюс подводные камни. А "добавили пакеты" это просто повод для новости (которая на самом деле о статье о работе с LetsEncrypt).
Написали бы такую статью про дебиан после добавления туда пакетов - была бы новость про дебиан.
Федоро-фанбои набигают.
> Федоро-фанбои набигают.В отличие от арчелоты им у мамки отпрашываться не надо.
Ждём в jessie-backports!
пакеты для Казахстана уже в пути?)
Их правители решили за них, что им этого ненужно.
А в Alt'e когда ждать?
Ну и для полноты картины в gentoo :Dtux-03 ~ $ eix letsencrypt
* app-crypt/letsencrypt
Available versions: ~0.1.0-r1 **9999 {test PYTHON_TARGETS="python2_7"}
Homepage: https://github.com/letsencrypt/letsencrypt https://letsencrypt.org/
Description: Let's encrypt client to automate deployment of X.509 certificates
Ради интереса потыкал, выплевывает ошибки, так нифига и не получилось :)