Организация Electronic Frontier Foundation (EFF), являющаяся одним из учредителей некоммерческого удостоверяющего центра Let's Encrypt, опубликовала (https://www.eff.org/deeplinks/2016/05/announcing-certbot-new...) новый клиент для данного сервиса - "Certbot (https://certbot.eff.org/)", позволяющий автоматизировать получение TLS/SSL сертификатов сайтами и настройку конфигурации HTTPS на сервере. Взаимодействие с Let's Encrypt осуществляется при помощи протокола ACME (https://tools.ietf.org/html/draft-ietf-acme-acme-02) (Automatic Certificate Management Environment).
Также изменилось позиционирование клиентского ПО от проекта Let's Encrypt, которое больше не продвигается как официальный клиент (изначальный основной клиент Let's Encrypt разработан EFF и сейчас просто изменилось его позиционирование), вместо которого предлагается сервис для использования совместимых с ACME реализаций (https://community.letsencrypt.org/t/list-of-client-implement...). На странице Certbot (https://certbot.eff.org/) пользователю предлагается выбрать используемые http-сервер и операционную систему, после чего будет выдана специфичная для данной связки инструкция по настройке Let's Encrypt. Например, выбрав FreeBSD будет предложен порт py-letsencrypt, в Debian 8 пакет letsencrypt, а в Debian 7 внешний скрипт dl.eff.org/certbot-auto.
URL: https://www.eff.org/deeplinks/2016/05/announcing-certbot-new...
Новость: http://www.opennet.me/opennews/art.shtml?num=44418
Заменили питон на шелл скрипт? Прогресс
Цитата из скрипта
$SUDO apt-get install $YES_FLAG --no-install-recommends \
python \
python-dev \
$virtualenv \
gcc \
dialog \
$augeas_pkg \
libssl-dev \
libffi-dev \
ca-certificates \
Еще цитата из скрипта:
# TODO: Deal with quotes in pathnames.
СДЕЛАТЬ: Разобраться с кавычками в файловых путях.# TODO: Clean up temp dir safely, even if it has quotes in its path.
СДЕЛАТЬ: Безопасную очистку временного каталога даже если в путях есть кавычки.rm -rf "$TEMP_DIR"
Без комментариев.Перед использованием делайте бекапы.
Они создают TEMP_DIR посредством mktemp в начале блока кода, и в конце блока - удаляют его. Поэтому конкретно в этой версии скрипта кавычек там не может быть никогда.К тому же у них set -e, так что при малейшей ошибке - вылет.
Скрипт-то сам не плохой. Просто комментарии страшные. :)
Ну если придираться то может - mktemp использует $TMPDIR и может найтись псих у которого там все что угодно :)
А где в том скрипте кнопка "сделать зашибись"?
Так это регресс.
> Так это регресс.Не суетись, к следующему релизу запилят православный жабаскриптик и все будут счастливы.
Пока не упростят обновление серта до curl'овского однострочника - пусть идут в пень.
+++++
Ну сиди как дурак без шифрования, делов-то. Можно подумать, что там что-то сложное.
> Можно подумать, что там что-то сложное.можно подумать, что-то сложное в том, чтобы разово поставить нормальный сертификат, а не летсэнкриптовскую поделку.
вся идея была именно в том, что оно автоматическое и бесплатное, поэтому подойдет, скажем, для ферм из сотен или тысяч ящиков с малопонятным содержимым.
Но, судя по качеству кода в этих скриптах, ну его нафиг такое использовать на подобных фермах.
И, следовательно, основной целевой ареал - наколенные серверы горе-админов, неспособных осилить три строчки в конфиге.И да, это очень, очень хорошо, что его нельзя установить вручную. Потому что забанив всего два корневых сертификата, можно автоматически получать от браузера предупреждения, что на том конце, конечно, есть шифрование, только вот доверять ему не надо совсем.
Разово поставить - сложное. Потому что это человеческий фактор. Установка, замена если заэкспайрился и т.п. И долгое время жизни тоже не в плюс.Лично я готов подобной штуке доверять куда больше, чем тому, где любят ручками всё делать. Но поседевшие в писаниях "трёх строчек" админы, конечно, против.
А что там внутри - да плевать. Баги серьёзные есть? Нет - значит, годится.
Помним. Гордимся. Не забудем.За тобой выехали с халатами
Поминать будете как раз "традиционных" админов, лезущих руками туда, где можно обойтись автоматикой и думающих "как не сломать" вместо "как пережить поломку". Потому что эта деятельность из искусства/ремесла превращается в технологию, но кое-кто это упорно не хочет понимать. Все эти девопсы - как раз оно.
> Поминать будете как раз "традиционных" .... эта деятельность из искусства/ремесла превращается в технологию<зевая> Тыщу раз уже эти глупости слышали.
> А что там внутри - да плевать.Х.як, х.як и в продакшен, да.
Ещё раз. Баги серьёзные находились? Нет. Тестировали достаточно долго и достаточно много людей. Что тебе ещё надо?
"openssl тестировали достаточно долго и достаточно много людей". А потом там нашли heartbleed.Заткни пасть, ламер.
> Разово поставить - сложное. Потому что это человеческий фактор. Установка, замена если
> заэкспайрился и т.п. И долгое время жизни тоже не в плюс.
> Лично я готов подобной штуке доверять куда больше, чем тому, где любят
> ручками всё делать. Но поседевшие в писаниях "трёх строчек" админы, конечно,
> против.
> А что там внутри - да плевать. Баги серьёзные есть? Нет -
> значит, годится.Точно! Ху.к, х.як и в production!
>И да, это очень, очень хорошо, что его нельзя установить вручную.Тебя и здесь сиииильно наеОбмнули :))))
> Пока не упростят обновление серта до curl'овского однострочника - пусть идут в
> пень.https://calomel.org/lets_encrypt_client.html
# dependency: bash, openssl, curl
Ха! Сalomel молодца, как обычно. Оно не идеальное, есть что покрутить, но простое и надёжное как АК-47 :)
> Ха! Сalomel молодца, как обычно. Оно не идеальное, есть что покрутить, но
> простое и надёжное как АК-47 :)Согласен, видно что человек писал не только для себя - код хороший, и допилить не трудно если что.
Вот еще один молодец, кому надо - https://github.com/lukas2511/letsencrypt.sh
Угу, заменить софт от создателей решения на нечто непонятно от студента с гитхаба, которое невесть кто и невесть как тестировал.
Да действительно молодец, но тут уже вкусовщина.
Сам Calomel пишет:
This lets_encrypt.sh script is a simplified branch of the original script by lukas2511/letsencrypt.sh and all credit for the script's design goes to the original developer. If you require more functionality then our version of the script can provide, please contact lukas on Github.Так что - да.
Скачать и положить руками до сих пор нельзя?
И правильно, что нельзя. Тут вся суть - именно в автоматизации.
> И правильно, что нельзя. Тут вся суть - именно в автоматизации.Вы какой клей нюхаете?!?!
>> И правильно, что нельзя. Тут вся суть - именно в автоматизации.
> Вы какой клей нюхаете?!?!Поясню мыстлЪ: "вся суть - именно в автоматизации" - с этим я согласен. Я не согласен что вручную - нельзя. У них на сайте есть инструкция, следуя ей я ручками и ставил. На поиграццо.
Да я даже не смотрел, можно или нет. Потому что это неправильно это. Всё равно как плоскогубцами гводи забивать. Ну можно. Ну плоскогубцы не испортятся. Но - применение инструмента не по назначению и хреновая эффективность.
> Да я даже не смотрел, можно или нет. Потому что это неправильно
> это. Всё равно как плоскогубцами гводи забивать. Ну можно. Ну плоскогубцы
> не испортятся. Но - применение инструмента не по назначению и хреновая
> эффективность.Можно. Но неправильно , да :)
А ещё они грозились когда всё наладится уменьшить эскпирэйшен. Прикинь - уменьшат с 90 дней до к примеру трёх 8-)
Самый адекватный клиент https://github.com/lukas2511/letsencrypt.sh
https://github.com/xenolf/lego fixed
https://github.com/xenolf/lego/issues
Что сказать-то хотел?
То, что багов в трекере >0? Так это у любого популярного проекта так. Пустой трекер - наоборот повод задуматься.
Просто переименовали они просто.
https://github.com/certbot/certbot/commit/785010fe5001a3c147...+Certbot (previously, the Let's Encrypt client)
Имхо, эту штуку нужно встраивать прямо в демоны, как плагин.
Скажем, просто добавляю я слово "ssl-letsencrypt;" (а лучше, когда появятся несколько таких сертификационных центров, по крайней мере я на это надеюсь, "ssl-auto <урл апи или чего там>";) в нужную секцию server в Nginx, и все, больше ни над чем запариваться не обязательно - вот это будет уже разговор.
А клиенты все эти - какое-то костыление.
Но это опять же мое мнение.
Два чая [s]этому господину[/s] Игорю Сысоеву.
Встраивать надо не в серверы, а в решения, вроде iRedmail или OwnCloud. А если уж сервер руками настраиваешь - то, IMHO, отдельный инструментарий и ожидание некоторого понимания в самый раз - мало ли что ты там накуролесишь в конфиге.
> Встраивать надо не в серверы, а в решения, вроде iRedmail или OwnCloud.
> А если уж сервер руками настраиваешь - то, IMHO, отдельный инструментарий
> и ожидание некоторого понимания в самый раз - мало ли что
> ты там накуролесишь в конфиге.Встраивать надо действительно секьюрные решения, а не поeбeнь, которую на двадцатом году существования вдруг посчитали пригодным для чего-то кроме прикрытия стрема поросячьего и облепили костыликами для якобы лучшей безопасности, типа oscp степлинга, HSTS или пиннинга сертов. Оно и в этом случае всего лишь лобковые волосы. Кто думает иначе - тот недоумок и тупорас.
>> Встраивать надо не в серверы, а в решения, вроде iRedmail или OwnCloud.
>> А если уж сервер руками настраиваешь - то, IMHO, отдельный инструментарий
>> и ожидание некоторого понимания в самый раз - мало ли что
>> ты там накуролесишь в конфиге.
> Встраивать надо действительно секьюрные решения, а не поeбeнь, которую на двадцатом году
> существования вдруг посчитали пригодным для чего-то кроме прикрытия стрема поросячьего
> и облепили костыликами для якобы лучшей безопасности, типа oscp степлинга, HSTS
> или пиннинга сертов. Оно и в этом случае всего лишь лобковые
> волосы. Кто думает иначе - тот недоумок и тупорас.DNSSEC+DANE TLSA и пининг не нужен, HSTS ще жесть надо же было до этого додуматься )))
пс: а почему всё так ? да потому, что все эти костыли придумывают люди далёкие от инфобеза, (про криптографию я промолчу)
То есть в половине случаев отдать контроль над сертификатами тем же, от кого надо защищаться, ага. Плюс сейчас надо получить контроль и над DNS, и над сертификатами, а так - только DNS хватит. Гениальное решение, как же.А HSTS... Кто понимает, что делает и зачем - запросто это разруливает (в мозиллообразных тем же ForceTLS), остальным - никакого вреда кроме пользы.
>>То есть в половине случаев отдать контроль над сертификатами тем же, от кого надо защищаться, ага.такс по подробней пжлста, я не понял сути данного предложения, попахивает - слышал звон не знаю где он (сарказм).
>> Плюс сейчас надо получить контроль и над DNS, и над сертификатами, а так - только DNS хватит. Гениальное решение, как же.жутко не хочу влезать в спор и на пальцах вам обьяснять как работает dnssec+tlsa, плиз прочтите rfc.
>>А HSTS... Кто понимает, что делает и зачем - запросто это разруливаетвы счтитаете отличным решение держать в браузере лист с доменами? или вы думаете тот же заголовок hsts нельзя вырезать? или чистить тот же лист в самом браузере ? может часики вперед и протухнет max-age ?
пс: тем же, от кого надо защищаться, ага - враг в голове или за бугром ? если за бугром, тогда напомню - всё оттуда же
Ну да, всё, что не противоатомный бункер - безопасность не обеспечивает, ага. Но, что характерно, хоть бы кто из борцунов предложил пригодную для промышленного применения альтернативу. По факту - HTTPS на порядки повышает встоимость взлома/слежки по сравнению с HTTP, этого уже достаточно, чтобы на него повсеместно перейти.
Не понимаю, как OwnCloud будет отдавать сертификат без участия веб-сервера.
Посмотри Caddy, он для всех хостов по дефолту сертификаты получает автоматически.
Кадди - няша, но до Nginx ему пока далеко.
что тока не придумывают лишь бы не юзать DNSSEC+DANE TLSA
> что тока не придумывают лишь бы не юзать DNSSEC+DANE TLSAЧто для подписывания своих зон используешь?
а то, dkim без него (dnssec) - пустое место
Пользователь не контролирует ни количество находящихся в доверенных удостоверяющих центров у себя в хранилище на компьютере, ни степень доверия к этим центрам! Любая программа и любой производитель железа старается внести какой-нибудь свой удостоверяющий центр ваше хранилище сертификатов. Особенно производители ноутбуков. Чего уж там говорить о миллионах сертификатов, которые сотни этих центров выдают ... Кому они выданы и даже непонятно кем...
Я бы оставлял минимум удостоверяющих центров в системе, а сам пользователь пусть думает ,нужны ему все эти сертификаты...
>>Я бы оставлял минимум удостоверяющих центров в системе, а сам пользователь пусть думает ,нужны ему все эти сертификаты...Поэтому нуно внедрить dnssec и хранить сертификаты самоподписные в зонах, и не нужны будут всякие "Тренты" заслуживающие доверия
В списке операционных систем альта не вижу