| |
| 2.2, Аноним (-), 12:49, 13/05/2016 [^] [^^] [^^^] [ответить]
| +/– |
Цитата из скрипта
$SUDO apt-get install $YES_FLAG --no-install-recommends \
python \
python-dev \
$virtualenv \
gcc \
dialog \
$augeas_pkg \
libssl-dev \
libffi-dev \
ca-certificates \
| | |
| |
| 3.3, Аноним (-), 13:00, 13/05/2016 [^] [^^] [^^^] [ответить]
| +10 +/– |
Еще цитата из скрипта:
# TODO: Deal with quotes in pathnames.
СДЕЛАТЬ: Разобраться с кавычками в файловых путях.
# TODO: Clean up temp dir safely, even if it has quotes in its path.
СДЕЛАТЬ: Безопасную очистку временного каталога даже если в путях есть кавычки.
rm -rf "$TEMP_DIR"
Без комментариев.
Перед использованием делайте бекапы.
| | |
| |
| 4.27, freehck (ok), 20:23, 13/05/2016 [^] [^^] [^^^] [ответить]
| +3 +/– |
 Они создают TEMP_DIR посредством mktemp в начале блока кода, и в конце блока - удаляют его. Поэтому конкретно в этой версии скрипта кавычек там не может быть никогда.
К тому же у них set -e, так что при малейшей ошибке - вылет.
Скрипт-то сам не плохой. Просто комментарии страшные. :)
| | |
| |
| 5.28, Vee Nee (?), 21:29, 13/05/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Ну если придираться то может - mktemp использует $TMPDIR и может найтись псих у которого там все что угодно :)
| | |
|
|
|
| |
| 3.42, Анончег (?), 01:00, 14/05/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Так это регресс.
Не суетись, к следующему релизу запилят православный жабаскриптик и все будут счастливы.
| | |
|
|
| 1.5, Аноним (-), 13:58, 13/05/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –8 +/– |
Пока не упростят обновление серта до curl'овского однострочника - пусть идут в пень.
| | |
| |
| 2.12, Crazy Alex (ok), 15:08, 13/05/2016 [^] [^^] [^^^] [ответить]
| –5 +/– |
 Ну сиди как дурак без шифрования, делов-то. Можно подумать, что там что-то сложное.
| | |
| |
| 3.14, пох (?), 15:47, 13/05/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Можно подумать, что там что-то сложное.
можно подумать, что-то сложное в том, чтобы разово поставить нормальный сертификат, а не летсэнкриптовскую поделку.
вся идея была именно в том, что оно автоматическое и бесплатное, поэтому подойдет, скажем, для ферм из сотен или тысяч ящиков с малопонятным содержимым.
Но, судя по качеству кода в этих скриптах, ну его нафиг такое использовать на подобных фермах.
И, следовательно, основной целевой ареал - наколенные серверы горе-админов, неспособных осилить три строчки в конфиге.
И да, это очень, очень хорошо, что его нельзя установить вручную. Потому что забанив всего два корневых сертификата, можно автоматически получать от браузера предупреждения, что на том конце, конечно, есть шифрование, только вот доверять ему не надо совсем.
| | |
| |
| 4.15, Crazy Alex (ok), 16:09, 13/05/2016 [^] [^^] [^^^] [ответить]
| –2 +/– | |
Разово поставить - сложное. Потому что это человеческий фактор. Установка, замена если заэкспайрился и т.п. И долгое время жизни тоже не в плюс.
Лично я готов подобной штуке доверять куда больше, чем тому, где любят ручками всё делать. Но поседевшие в писаниях "трёх строчек" админы, конечно, против.
А что там внутри - да плевать. Баги серьёзные есть? Нет - значит, годится.
| | |
| |
| |
| 6.18, Crazy Alex (ok), 17:01, 13/05/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Поминать будете как раз "традиционных" админов, лезущих руками туда, где можно обойтись автоматикой и думающих "как не сломать" вместо "как пережить поломку". Потому что эта деятельность из искусства/ремесла превращается в технологию, но кое-кто это упорно не хочет понимать. Все эти девопсы - как раз оно.
| | |
| |
| 7.20, Аноним (-), 17:25, 13/05/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Поминать будете как раз "традиционных" .... эта деятельность из искусства/ремесла превращается в технологию
<зевая> Тыщу раз уже эти глупости слышали.
| | |
|
|
| 5.19, Аноним (-), 17:24, 13/05/2016 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> А что там внутри - да плевать.
Х.як, х.як и в продакшен, да.
| | |
| |
| 6.47, Crazy Alex (ok), 03:05, 14/05/2016 [^] [^^] [^^^] [ответить]
| +/– |
Ещё раз. Баги серьёзные находились? Нет. Тестировали достаточно долго и достаточно много людей. Что тебе ещё надо?
| | |
| |
| 7.53, Аноним (-), 06:49, 14/05/2016 [^] [^^] [^^^] [ответить]
| –1 +/– | |
"openssl тестировали достаточно долго и достаточно много людей". А потом там нашли heartbleed.
Заткни пасть, ламер.
| | |
|
|
| 5.26, deffic (?), 19:14, 13/05/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Разово поставить - сложное. Потому что это человеческий фактор. Установка, замена если
> заэкспайрился и т.п. И долгое время жизни тоже не в плюс.
> Лично я готов подобной штуке доверять куда больше, чем тому, где любят
> ручками всё делать. Но поседевшие в писаниях "трёх строчек" админы, конечно,
> против.
> А что там внутри - да плевать. Баги серьёзные есть? Нет -
> значит, годится.
Точно! Ху.к, х.як и в production!
| | |
|
| 4.21, _ (??), 18:22, 13/05/2016 [^] [^^] [^^^] [ответить]
| +/– | |
>И да, это очень, очень хорошо, что его нельзя установить вручную.
Тебя и здесь сиииильно наеОбмнули :))))
| | |
|
|
| |
| 3.22, _ (??), 18:29, 13/05/2016 [^] [^^] [^^^] [ответить]
| +/– |
Ха! Сalomel молодца, как обычно. Оно не идеальное, есть что покрутить, но простое и надёжное как АК-47 :)
| | |
| |
| 4.30, Аноним (-), 22:12, 13/05/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Ха! Сalomel молодца, как обычно. Оно не идеальное, есть что покрутить, но
> простое и надёжное как АК-47 :)
Согласен, видно что человек писал не только для себя - код хороший, и допилить не трудно если что.
| | |
| |
| 5.48, Crazy Alex (ok), 03:09, 14/05/2016 [^] [^^] [^^^] [ответить]
| –2 +/– |
Угу, заменить софт от создателей решения на нечто непонятно от студента с гитхаба, которое невесть кто и невесть как тестировал.
| | |
| 5.51, . (?), 05:19, 14/05/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Да действительно молодец, но тут уже вкусовщина.
Сам Calomel пишет:
This lets_encrypt.sh script is a simplified branch of the original script by lukas2511/letsencrypt.sh and all credit for the script's design goes to the original developer. If you require more functionality then our version of the script can provide, please contact lukas on Github.
Так что - да.
| | |
|
|
|
|
| |
| |
| 3.23, _ (??), 18:29, 13/05/2016 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> И правильно, что нельзя. Тут вся суть - именно в автоматизации.
Вы какой клей нюхаете?!?!
| | |
| |
| 4.24, _ (??), 18:46, 13/05/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> И правильно, что нельзя. Тут вся суть - именно в автоматизации.
> Вы какой клей нюхаете?!?!
Поясню мыстлЪ: "вся суть - именно в автоматизации" - с этим я согласен. Я не согласен что вручную - нельзя. У них на сайте есть инструкция, следуя ей я ручками и ставил. На поиграццо.
| | |
| |
| 5.49, Crazy Alex (ok), 03:11, 14/05/2016 [^] [^^] [^^^] [ответить]
| +/– |
Да я даже не смотрел, можно или нет. Потому что это неправильно это. Всё равно как плоскогубцами гводи забивать. Ну можно. Ну плоскогубцы не испортятся. Но - применение инструмента не по назначению и хреновая эффективность.
| | |
| |
| 6.52, . (?), 05:29, 14/05/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Да я даже не смотрел, можно или нет. Потому что это неправильно
> это. Всё равно как плоскогубцами гводи забивать. Ну можно. Ну плоскогубцы
> не испортятся. Но - применение инструмента не по назначению и хреновая
> эффективность.
Можно. Но неправильно , да :)
А ещё они грозились когда всё наладится уменьшить эскпирэйшен. Прикинь - уменьшат с 90 дней до к примеру трёх 8-)
| | |
|
|
|
|
|
| |
| |
| |
| 4.58, Аноним (-), 17:40, 15/05/2016 [^] [^^] [^^^] [ответить]
| +/– |
Что сказать-то хотел?
То, что багов в трекере >0? Так это у любого популярного проекта так. Пустой трекер - наоборот повод задуматься.
| | |
|
|
|
| 1.25, dr Equivalent (ok), 19:05, 13/05/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Имхо, эту штуку нужно встраивать прямо в демоны, как плагин.
Скажем, просто добавляю я слово "ssl-letsencrypt;" (а лучше, когда появятся несколько таких сертификационных центров, по крайней мере я на это надеюсь, "ssl-auto <урл апи или чего там>";) в нужную секцию server в Nginx, и все, больше ни над чем запариваться не обязательно - вот это будет уже разговор.
А клиенты все эти - какое-то костыление.
Но это опять же мое мнение.
| | |
| |
| 2.33, Crazy Alex (ok), 22:31, 13/05/2016 [^] [^^] [^^^] [ответить]
| –2 +/– |
Встраивать надо не в серверы, а в решения, вроде iRedmail или OwnCloud. А если уж сервер руками настраиваешь - то, IMHO, отдельный инструментарий и ожидание некоторого понимания в самый раз - мало ли что ты там накуролесишь в конфиге.
| | |
| |
| 3.39, Аноним (-), 23:33, 13/05/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Встраивать надо не в серверы, а в решения, вроде iRedmail или OwnCloud.
> А если уж сервер руками настраиваешь - то, IMHO, отдельный инструментарий
> и ожидание некоторого понимания в самый раз - мало ли что
> ты там накуролесишь в конфиге.
Встраивать надо действительно секьюрные решения, а не поeбeнь, которую на двадцатом году существования вдруг посчитали пригодным для чего-то кроме прикрытия стрема поросячьего и облепили костыликами для якобы лучшей безопасности, типа oscp степлинга, HSTS или пиннинга сертов. Оно и в этом случае всего лишь лобковые волосы. Кто думает иначе - тот недоумок и тупорас.
| | |
| |
| 4.44, Sw00p aka Jerom (?), 01:10, 14/05/2016 [^] [^^] [^^^] [ответить]
| +/– |
>> Встраивать надо не в серверы, а в решения, вроде iRedmail или OwnCloud.
>> А если уж сервер руками настраиваешь - то, IMHO, отдельный инструментарий
>> и ожидание некоторого понимания в самый раз - мало ли что
>> ты там накуролесишь в конфиге.
> Встраивать надо действительно секьюрные решения, а не поeбeнь, которую на двадцатом году
> существования вдруг посчитали пригодным для чего-то кроме прикрытия стрема поросячьего
> и облепили костыликами для якобы лучшей безопасности, типа oscp степлинга, HSTS
> или пиннинга сертов. Оно и в этом случае всего лишь лобковые
> волосы. Кто думает иначе - тот недоумок и тупорас.
DNSSEC+DANE TLSA и пининг не нужен, HSTS ще жесть надо же было до этого додуматься )))
пс: а почему всё так ? да потому, что все эти костыли придумывают люди далёкие от инфобеза, (про криптографию я промолчу)
| | |
| |
| 5.46, Crazy Alex (ok), 03:01, 14/05/2016 [^] [^^] [^^^] [ответить]
| –1 +/– | |
То есть в половине случаев отдать контроль над сертификатами тем же, от кого надо защищаться, ага. Плюс сейчас надо получить контроль и над DNS, и над сертификатами, а так - только DNS хватит. Гениальное решение, как же.
А HSTS... Кто понимает, что делает и зачем - запросто это разруливает (в мозиллообразных тем же ForceTLS), остальным - никакого вреда кроме пользы.
| | |
| |
| 6.50, Sw00p aka Jerom (?), 03:16, 14/05/2016 [^] [^^] [^^^] [ответить]
| +/– | |
>>То есть в половине случаев отдать контроль над сертификатами тем же, от кого надо защищаться, ага.
такс по подробней пжлста, я не понял сути данного предложения, попахивает - слышал звон не знаю где он (сарказм).
>> Плюс сейчас надо получить контроль и над DNS, и над сертификатами, а так - только DNS хватит. Гениальное решение, как же.
жутко не хочу влезать в спор и на пальцах вам обьяснять как работает dnssec+tlsa, плиз прочтите rfc.
>>А HSTS... Кто понимает, что делает и зачем - запросто это разруливает
вы счтитаете отличным решение держать в браузере лист с доменами? или вы думаете тот же заголовок hsts нельзя вырезать? или чистить тот же лист в самом браузере ? может часики вперед и протухнет max-age ?
пс: тем же, от кого надо защищаться, ага - враг в голове или за бугром ? если за бугром, тогда напомню - всё оттуда же
| | |
|
|
| 4.45, Crazy Alex (ok), 02:57, 14/05/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну да, всё, что не противоатомный бункер - безопасность не обеспечивает, ага. Но, что характерно, хоть бы кто из борцунов предложил пригодную для промышленного применения альтернативу. По факту - HTTPS на порядки повышает встоимость взлома/слежки по сравнению с HTTP, этого уже достаточно, чтобы на него повсеместно перейти.
| | |
|
|
| 2.41, Наркоман (?), 00:07, 14/05/2016 [^] [^^] [^^^] [ответить]
| +/– |
Посмотри Caddy, он для всех хостов по дефолту сертификаты получает автоматически.
| | |
| |
| 3.59, Аноним (-), 17:44, 15/05/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> что тока не придумывают лишь бы не юзать DNSSEC+DANE TLSA
Что для подписывания своих зон используешь?
| | |
|
|
| 1.55, DmA (??), 07:49, 14/05/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Пользователь не контролирует ни количество находящихся в доверенных удостоверяющих центров у себя в хранилище на компьютере, ни степень доверия к этим центрам! Любая программа и любой производитель железа старается внести какой-нибудь свой удостоверяющий центр ваше хранилище сертификатов. Особенно производители ноутбуков. Чего уж там говорить о миллионах сертификатов, которые сотни этих центров выдают ... Кому они выданы и даже непонятно кем...
Я бы оставлял минимум удостоверяющих центров в системе, а сам пользователь пусть думает ,нужны ему все эти сертификаты...
| | |
| |
| 2.57, Sw00p aka Jerom (?), 13:19, 14/05/2016 [^] [^^] [^^^] [ответить]
| +/– | |
>>Я бы оставлял минимум удостоверяющих центров в системе, а сам пользователь пусть думает ,нужны ему все эти сертификаты...
Поэтому нуно внедрить dnssec и хранить сертификаты самоподписные в зонах, и не нужны будут всякие "Тренты" заслуживающие доверия
| | |
|
|
