Комментарии 69
Всё это очень плохо. Придётся таки писать скрипт-плагин к моему серверу, который (при получении чего-то новенького по SNI) будет пинать letsencrypt и получать новый сертификат. Потому как wildcard использовался, и поддомены я добавляю часто.
Поддерживаю, остается лишь ждать решения от StartCom. Хотя завтраками они кормят с конца октября.
Ну или пинать letsencrypt про wildcard-ы. Они вроде грозились, что «maybe in future»…
Не думаю, что Mozilla/Chrome согласятся принять перевыпущенный CA в список доверенных — ограничения действуют не на сам сертификат, а на компанию.
Посмотрел — действительно так. Однако, процедура рассмотрения занимает 8-12 месяцев, не говоря о том, что StartCom необходимы доработки ПО и аудит.
Зато всё будет автоматом. А то, что они ещё обновляются сами — так вообще же красота.
https://github.com/GUI/lua-resty-auto-ssl
Вот вам готовый вариант для OpenResty(с чистым nginx'ом не работает). Можете себе привинтить, как-нибудь. Какое-то время сам использовал, даже OpenResty для него пакетил под Ubuntu 14.04 LTS, потом необходимость отпала.
Вот вам готовый вариант для OpenResty(с чистым nginx'ом не работает). Можете себе привинтить, как-нибудь. Какое-то время сам использовал, даже OpenResty для него пакетил под Ubuntu 14.04 LTS, потом необходимость отпала.
У меня сервер на node.js, с хитрыми многоходовочками. Так что скорее придётся писать своё решение на базе вот этого. Возможно, поделюсь.
подскажите, пожалуйста, если знаете, конечно ))
при генерации сертификатов lua-resty-auto-ssl — он nginx перезапускает или как-то на лету меняет сертификаты?
сейчас рестартую Nginx при замене сертификата
при генерации сертификатов lua-resty-auto-ssl — он nginx перезапускает или как-то на лету меняет сертификаты?
сейчас рестартую Nginx при замене сертификата
Все без рестартов работает.
Да и вы зря рестартуете nginx, достаточно делать reload.
А, вообще, все прекрасно работает по схеме acmetool(ну или еще кто получающий и обновляющий сертификаты) обновляет по крону, а nginx все равно получает HUP при logrotate и подхватывает новый сертификат. Так как сертификат обновляется задолго до дня X все проходит прекрасно на автомате и без ручных релоадов.
Да и вы зря рестартуете nginx, достаточно делать reload.
А, вообще, все прекрасно работает по схеме acmetool(ну или еще кто получающий и обновляющий сертификаты) обновляет по крону, а nginx все равно получает HUP при logrotate и подхватывает новый сертификат. Так как сертификат обновляется задолго до дня X все проходит прекрасно на автомате и без ручных релоадов.
Это вполне можно автоматизировать с помощью scm типа ansible'а. Если интересно, могу поделиться нужной ролью.
мы у себя используем docker-gen: https://github.com/jwilder/nginx-proxy к нему ест контейнер компаньон, который занимается выпуском и продлением LE сертификатов. То есть он смотрит какие запущены контейнеры на машине, читает их переменные окружения, смотрит в них vhosts которые нужно создать и собственно поднимает прокси ко всем внутренним контейнерам. Это оказалось невероятно удобным способом запустить к примеру 15 разных WP (с разными версиями PHP), вместе с парой приложений на nodejs в рамках одной машины раскидав их на разные домены. Однако у схемы с LE оказался неожиданный минус. Я сделал стэйдж таким образом, при наличии 15 сайтов мы уперлись в rate limit от LE. Слишком много сертификатов выдано на домен и все. Все попытки написать LE запрос на увеличение лимитов по домену (есть у них форма на сайте) ни к чему не привели. Так что если у вас много поддоменов — рекомендую задуматься о покупке иного wildcard.
> Новость печальная, учитывая, что это были самые дешевые wildcard сертификаты.
Печальной была новость, что эти мошенники выпускали сертификаты на популярные домены для левых людей. А то, что их выкинули на мороз — новость прекрасная.
Печальной была новость, что эти мошенники выпускали сертификаты на популярные домены для левых людей. А то, что их выкинули на мороз — новость прекрасная.
… вместе с их пользователями?
Следующая компания, которая подумывала заниматься таким мошенничеством — подумает дважды.
Если админ чесал яйца полгода и не заменил сертифаты выданные этой шарашкой на нормальные, то лопатой по голове такому админу. Сертификаты от этой шарашки доверенными быть не могут, учитывая, что и как они выдавали.
Ну, расскажите же мне, чесавшему яйца полгода, какие «нормальные» wildcard-сертификаты мне использовать, не сильно дороже $55 в год за 8 штук. И после этого — лопатой по голове можете погладить, если сильно хочется.
Научится работать с Shell и прикрутить letsencrypt?
Об этом смотрите первый комментарий к данному посту и ветку из него. Но речь про Wildcard, которых letsencrypt (пока?) не даёт.
Я вам указал готовое решение для openresty, которое выпускает сертификаты, при первом обращении к домену. То что вы используете какую-то маргинальщину, как веб-сервер — ваши проблемы. Ну и для «бызнеса» который не может купить себе, если они РЕАЛЬНО нужны 8 wildcard у кого угодно есть повод задуматься «А мы вообще все правильно делаем?» и «У нас админ — бездельник получающий деньги ни за что». Настроить получение сертификатов автоматом для домена при обращении дело — часа-полутора, вместе с пакетированием openresty под ваш дистрибутив. Пойдите на апворк, найдите человека, заплатите 80-90 баксов за его работу и проблема решена на годы вперед, все будет получаться и обновляться само, в отличии от того же StartCom, сертификаты которого нужно было получать через почту и браузер, отправлять на сервер и так далее. Автоматика настраивается один раз и все.
Я использую много доменов для личных и некоммерческих нужд. «Маргинальщину» в качестве веб-сервера я использую по причине того, что ни один из готовых «комбайнов» меня по той или иной причине не устроил. И тратить на проекты, которые приносят по 10-50 баксов в год, по 400 баксов на SSL, я не считаю правильным. Да, letsencrypt решает проблему «запустить SSL хоть как-нибудь», но у меня действительно МНОГО поддоменов (которые генерируются автоматически логикой проектов). И я не уверен, что letsencrypt не заставит меня приехать в какой-нибудь лимит (как вышло у NosovK несколькими комментариями выше). Настроить автополучение даже на существующей системе для меня — дело одного выходного дня, мне не сложно. Вот только как бы это не выдало огромное количество проблем в будущем. Поэтому нужен wildcard. И пока что я не вижу решения, которое при той же цене, что у startssl (или хотя бы сопоставимой), покрывало бы эту задачу.
Ну тут все просто. Либо генерируйте сертификаты для каждого домена, что делается элементарно, либо покупайте, если вам нужно то, что стоит денег.
Ну и байки про лимит они смешные. Есть лимит на 20 в неделю и 100 в одном сертификате, то есть вы можете выпускать в неделю сертификаты для 2000 доменов, я сильно сомневаюсь, что что-то нормальное требует у вас больше. Не, если вы делаете фишинговые сайты и косите под PayPal, тогда они у вас живут 2-3 дня и вы можете упереться в лимиты, а в противном случае это практически нереально.
StartCom/WoSign были пойманы на мошенничестве с сертификатами и правильно мошенников выкинули из доверенных, я у себя на компах их заблокировал раньше. Вы страдаете от того, что Google сказал «Нельзя доверять мошенникам», вы хотите, что бы люди доверяли мошенникам. У меня закрадываются подозрения в отношении ваших сайтов.
Ну и байки про лимит они смешные. Есть лимит на 20 в неделю и 100 в одном сертификате, то есть вы можете выпускать в неделю сертификаты для 2000 доменов, я сильно сомневаюсь, что что-то нормальное требует у вас больше. Не, если вы делаете фишинговые сайты и косите под PayPal, тогда они у вас живут 2-3 дня и вы можете упереться в лимиты, а в противном случае это практически нереально.
StartCom/WoSign были пойманы на мошенничестве с сертификатами и правильно мошенников выкинули из доверенных, я у себя на компах их заблокировал раньше. Вы страдаете от того, что Google сказал «Нельзя доверять мошенникам», вы хотите, что бы люди доверяли мошенникам. У меня закрадываются подозрения в отношении ваших сайтов.
Google и Mozilla сказали «Нельзя доверять мошенникам» — это хорошо, я же не спорю. Вот только сначала они сказали «окей, мы не будем доверять вашим новым сертификатам, потому что вы про**ались, обновите инфраструктуру, пройдите проверку, и всё ОК». А теперь они говорят «окей, а давайте ка мы убьём все ваши сертификаты воапще, просто потому что мы большие и мы можем, а на тех, кто вашими услугами пользовался честно — наплевать». А вдобавок параллельно помечают сайты без HTTPS как небезопасные.
Этим корневым сертификатом может быть подписано неизвестно что, учитывая что их за руку на этом поймали никакого доверия к тому что это единичный случай итд быть не может, отзыв этого сертификата был вопросом времени.
То, что его не убрали сразу как раз является заботой о невинных пользователях, которые должны были посмотреть на всё это и сделать выводы.
В этой ситуации WoSign и StartCom должны были сразу заняться переделкой системы и аудитом, если бы они заботились о своих клиентах. Но они решили что и так пронесёт, не пронесло.
При этом сам LetsEncrypt появился как ответ на косяки дешёвых/бесплатных сертификационных центров, потому что пользователям уходить было бы некуда если их бы сразу отрубили, я думаю в дальнейшем при возникновении таких ситуаций отрубать будут быстрее, и это правильно.
То, что его не убрали сразу как раз является заботой о невинных пользователях, которые должны были посмотреть на всё это и сделать выводы.
В этой ситуации WoSign и StartCom должны были сразу заняться переделкой системы и аудитом, если бы они заботились о своих клиентах. Но они решили что и так пронесёт, не пронесло.
При этом сам LetsEncrypt появился как ответ на косяки дешёвых/бесплатных сертификационных центров, потому что пользователям уходить было бы некуда если их бы сразу отрубили, я думаю в дальнейшем при возникновении таких ситуаций отрубать будут быстрее, и это правильно.
Сертификат Let's Encrypt менее удобен хотя бы тем, что его нужно каждые полгода вручную обновлять (некоторые хостинги это умеют, но мой, к сожалению, нет). В тех случаях тоже надо было вручную, но намного реже — я осенью 2015-ого взял сертификат от WoSign аж на два года бесплатно. И он всё ещё работает :)
Но что ещё хуже — я вообще не понял, как сертификат от Let's Encrypt вручную установить на обычный хостинг с обычной панелью управления ISP. Читал их сайт, пытался понять. Не понял. Пишут про установку каких-то консольных утилит, причём сильно ориентированных на Linux. Когда покупал сертификат от WoSign, было намного проще всё.
А не подскажете, на чём именно их поймали? Что они кому выдали там, я не в теме немного.
Но что ещё хуже — я вообще не понял, как сертификат от Let's Encrypt вручную установить на обычный хостинг с обычной панелью управления ISP. Читал их сайт, пытался понять. Не понял. Пишут про установку каких-то консольных утилит, причём сильно ориентированных на Linux. Когда покупал сертификат от WoSign, было намного проще всё.
А не подскажете, на чём именно их поймали? Что они кому выдали там, я не в теме немного.
Не каждый полгода, а раз в три месяца, не вручную, а автоматически. А так все хорошо. Использую сертификаты от LE с момента, как они вышли в бету и получили кросс-подпись, сертификаты обновляются сами и не требуют моего внимания вообще. А вы дальше врите.
Ну настройте автопродление сертификата для приватного сервера (недоступного боту LE) с DNS у nic.ru.
А сейчас LE вообще лежит.
А сейчас LE вообще лежит.
А где я вру? Вот попробуйте сами на HostYes установить сертификат от Let's Encrypt. Вы не только обновить его не сможете, но скорее всего даже и поставить — в связи с глюками новой версии панели ISP, откуда исчезла опция установки стороннего сертификата (либо хостер её специально выключил).
Касательно косяков WoSign (StartCom был куплен WoSign) есть параграф тут, ну и по ссылкам в нём
https://habrahabr.ru/company/qrator/blog/326824/
сейчас letsencrypt очень легко управляется, в многие панели он уже встроен
для совсем ручного управления:
certbot certonly предложит мастер получения ключей, отвечаем на вопросы, находим сертификаты в /etc/letsencrypt/live/$domain
certbot renew по крону и релоад сервера (чтобы новые файлы сертификатов подхватились сервером, если это требуется)
https://habrahabr.ru/company/qrator/blog/326824/
сейчас letsencrypt очень легко управляется, в многие панели он уже встроен
для совсем ручного управления:
certbot certonly предложит мастер получения ключей, отвечаем на вопросы, находим сертификаты в /etc/letsencrypt/live/$domain
certbot renew по крону и релоад сервера (чтобы новые файлы сертификатов подхватились сервером, если это требуется)
>находим сертификаты в /etc/letsencrypt/live/$domain
Мы точно об одном и том же говорим? Какой ещё /etc на Windows? Или вы про SSH? Так он тоже не на любом хостинге есть…
Мы точно об одном и том же говорим? Какой ещё /etc на Windows? Или вы про SSH? Так он тоже не на любом хостинге есть…
Cygwin же. У любого уважающего себя разработчика (который не осилил установку линукса или покупку мака) он должен быть. Ну или VirtualBox.
А зачем веб-разработчику (уважающему себя или не очень) ставить линукс или покупать мак? Это ведь не сисадмин на стажировке, которому тренироваться надо (там можно и без виртуалки поставить нужную ОС). Для написания кода на PHP, JS или Python не важно, какая у тебя ОС. Текстовых редакторов удобных под любую полно, есть даже онлайновые вполне неплохие.
Вот поэтому мне и непонятен подход «хочешь с удобством использовать наш сервер — поставь Cygwin или виртуалку). Я кстати работаю с виртуальными машинами. Но у меня там другие ОС крутятся. Win 98, Win XP с IE7, Win 10.
Вот поэтому мне и непонятен подход «хочешь с удобством использовать наш сервер — поставь Cygwin или виртуалку). Я кстати работаю с виртуальными машинами. Но у меня там другие ОС крутятся. Win 98, Win XP с IE7, Win 10.
Win 98
Win XP
IE7
Таких уже нет.
Win 10
А в ней почти из коробки есть подсистема линукса, которая может во всё это, и куда можно нативно поставить letsencrypt.
Так они у меня в виртуалках. 98-ая — для фана. А насчёт IE7 — а как иначе в нём тестировать работу сайтов, если у меня стоит IE8? Две разных версии IE на одну винду никак не поставить.
Я в курсе, что IE7 не поддерживает новые SSL шифры, и если делать сайт полностью на HTTPS, то этот браузер в любом случае идёт лесом. Но если допустим HTTP достаточно — почему не обеспечить работу ещё и в этом браузере? Хотя это требует много трудозатрат и не так тривиально, естественно. Но можно повысить стоимость работы, если заказчик не против.
Не расскажете про это чуть подробнее? Может, пригодится.
Я в курсе, что IE7 не поддерживает новые SSL шифры, и если делать сайт полностью на HTTPS, то этот браузер в любом случае идёт лесом. Но если допустим HTTP достаточно — почему не обеспечить работу ещё и в этом браузере? Хотя это требует много трудозатрат и не так тривиально, естественно. Но можно повысить стоимость работы, если заказчик не против.
А в ней почти из коробки есть подсистема линукса, которая может во всё это, и куда можно нативно поставить letsencrypt.
Не расскажете про это чуть подробнее? Может, пригодится.
В таком случае вам прямая дорога в Cloudflare с их flexible SSL
Что такое openresty вообще, и с каких пор веб-сервер стал «маргинальщиной»? Или вы толсто потроллить тут всех решили?
По этому я и упомянул shell — что бы letsencrypt генерировал новые сертификаты автоматически для новых доменов.
Amazon выдаёт бесплатные Wildcard сертификаты. Правда использовать их можно внутри AWS, но всё же.
не сильно дороже $55 в год за 8 штукБешеные бабки, конечно, ради них можно и не на такое пойти.
Не понял ваш комментарий. $59 стоила верификация Class2 у StartSSL, после чего Wildcard давались бесплатно (сколько надо). Самый дешёвый Wildcard сейчас — у GeoTrust и Comodo: $149/шт, $1192 за 8 — в 20 раз больше, чем я платил до этого. Больше половины моей з/п за месяц.
// промахнулся ссылкой — правильная вот эта.
На gogetssl comodo начинается от $62/yr, есть ещё их subordinate (под comodo, вроде) с wildcard ~$40/yr если брать на два года.
Даже если брать в расчёт реселлеров (хотя я их не люблю): 40*8 = 320. В 5 раз больше. Менее фатально, но…
Оказывается они выключили прямую оплату с карт, сейчас оплата работает только через дурацкие онлайн-кошельки. gogetssl зачем вы так?
Странно, у меня оплата картой пытается сработать через paypal и также доступна оплата через paypal account. Только что ходил в https://my.gogetssl.com. Ради проверки не оплачивал, конечно.
Про блокировку всех сертификатов с 57 версии не предупреждали, это всплыло у пользователей беты и описание ограничилось комментарием к патчу.
Однако Microsoft Edge их спокойно «кушает»
Давно пора, LE уже доведен до состояния, когда его можно использовать без проблем. В том числе все нормальные хостинговые панели уже умеют его использовать.
Хух, успел. Буквально пару недель назад заменил бесплатный сертификат от StartCom на Letsencrypt
У LetsEncrypt нет поддержки Chrome под MacOs. Плюс недавний скиндал с PayPal. Да и случае наличия балансера / RR DNS настройка автоапдейтов становится довольно интересной.
В общем, если есть возможность купить — лучше купить, имхо.
В общем, если есть возможность купить — лучше купить, имхо.
Плюс недавний скиндал с PayPal.
Какой же это скандал? Фишеры научились запускать certbot?
Если CA должны отвечать за невыдачу сертификата, содержащего магическое слово (например, paypal в данном кейсе), то почему ICANN не должен делать то же самое на этап раньше, при регистрации домена?
Блин, а почему у меня при RR DNS все хорошо? Может потому, что я не сношаю мозг, а получаю сертификат на одной машине, а потом скриптом копирую на другие?
А скандал только в голове идиотов. Они выдают сертификаты владельцу домена. Они не должны проверять что там в домене, не их это дело.
А скандал только в голове идиотов. Они выдают сертификаты владельцу домена. Они не должны проверять что там в домене, не их это дело.
В Node.js 8.0 тоже невалидны сертификаты StartCom/WoSign, выпущенные с 2016-10-21, к слову.
Почитал тут комментарии и смотрю — многие нахваливают LetsEncrypt. Возник вопрос: откуда такая увeренность, что гугль и иже с ними не провернёт в будущем такой-же трюк с LE?
Пока letsencrypt не начнёт выдавать «неликвид» (как это, судя по всему, делали ребята из сабжа), банить их никто не будет. Как я понял, у letsencrypt с политикой и открытостью всё нормально, и вероятность блокировки крайне мала.
Вот прямо сейчас зашёл на сайт comodo: у них на главной странице висит здоровенный банер, на котором написано: «Google Distrust: Symantec, Thawte, & Geotrust — Switch to Comodo now to avoid disruption». А с этими какая проблема? Тоже промышляли «неликвидом»?
PS: картинка
Ну https://tech.slashdot.org/story/15/09/19/2313220/symantec-subsidiary-thawte-issues-rogue-google-certificates, например. И это далеко не единственное, что они там накрутили.
Почитайте объяснение от гугла, что ли.
Так, хабр не даёт редактировать.
Правильная вторая ссылка: https://groups.google.com/a/chromium.org/d/msg/blink-dev/eUAKwjihhBs/rpxMXjZHCQAJ, по той, что я привёл изначально — собственно основной пост свёрнут.
https://letsencrypt.org/sponsors/
Смотрели, не?
Посмотрите. Поищите знакомые буквы.
LE — некоммерческая организация за которой стоят столпы IT всего мира. WoSign были китайскими мошенниками выдававшими сертификаты на чужие домены кому попало.
Смотрели, не?
Посмотрите. Поищите знакомые буквы.
LE — некоммерческая организация за которой стоят столпы IT всего мира. WoSign были китайскими мошенниками выдававшими сертификаты на чужие домены кому попало.
В итоге подставилась вполне себе неплохая StartCom. Насчет намерений WoSign мне неизвестно, но стартком подвели их же уязвимости, связанные с валидацией доменов. На самом деле, вполне логичным решением была бы блокировка не корневого сертифката, а промежуточного, благодаря которому и подставились.
P.S. вообще эта тема с сертификатами коснулась и прочие организации, в том числе и Comodo, Symantec и прочие. Но, как ни странно, решение они предоставили быстро и предупредили своих клиентов об этом.
P.S.S. Та же участь вполне может постигнуть и let's encrypt, ведь от пожобного совершенно никто не застрахован.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Сертификаты от StartCom и WoSign окончательно превратились в тыкву