Комментарии 36
Недавно перевёл всю свою инфраструктуру на них и бед не знаю, и клиенты довольны — не надо за что-то платить, что-то скачивать, передавать нам для внедрения и ставить напоминания об истечении срока действия.
Да, нужно погрузиться немного в тему, чтобы разобраться с нюансами acme, dns для wildcard, хуками для веб- серверов, но оно определённо того стоит.
Но, с другой стороны информации по Let's Encrypt достаточно много и она хорошо написана. Правда я компилировал все с англоязычных источников.
шаг 1: ставим нормальную панель управления хостингом
шаг 2: говорим ей использовать сертификаты LE для наших вебсайтов
Всё.
Я с вами согласен. Единственное, чего нет в let's encrypt, так это EV-сертификатов, но смысл в них ускользающе невелик.
С другой стороны, меня настораживает то, что инфраструктура SSL фактически все больше централизуется и завязывается на одного поставщика. История нам говорит о том, что кончается это обычно нехорошо. Но пока альтернатив нет — будем пользоваться let's encrypt...
Known Incompatible
Blackberry < v10.3.3
Android < v2.3.6
Nintendo 3DS
Windows XP prior to SP3
cannot handle SHA-2 signed certificates
Java 7 < 7u111
Java 8 < 8u101
Windows Live Mail (2012 mail client, not webmail)
cannot handle certificates without a CRL
PS3 game console
PS4 game console with firmware < 5.00
Наверное кому-то и нужна поддержка таких динозавров, но кроме ps4 все в списке имхо имеет совсем уж призрачную актуальность.
Вы лучше расскажите, что именно у вас не получается. Например, у меня с первого раза все получилось, потому сложно рассказать, как именно я с этим справлялся.
Я, правда, пользуюсь dehydrated, но вряд ли есть принципиальная разница.
Или я точно делаю что-то не так. У Вас есть возможность опубликовать/дать ссылку на черновик Вашей инструкции?
www.nic.ru/help/api-dns-hostinga_3643.html
И вот сюда посмотрите:
certbot.eff.org/docs/using.html#pre-and-post-validation-hooks
Записи надо обновлять автоматически через хуки.
У меня свой bind (его можно обновлять через nsupdate) и я пользуюсь dehydrated. Выглядит это примерно так: в конфигурации dehydrated указан HOOK="/path/to/nsupdate_hook.sh", а nsupdate_hook.sh сделан на основе вот этого примера: https://github.com/lukas2511/dehydrated/wiki/example-dns-01-nsupdate-script
Готовые хук-скрипты есть для большинства DNS-хостеров.
Но хуки спасают, дописать --renew-hook «service nginx reload» несложно.
С другой стороны для обычных сертификатов точно так же надо их перезапускать, так что это не в огород Let's Encrypt камень в целом.
Со всякими джабберами имеет смысл терминировать SSL тем же nginx-ом и проксировать уже по http.
Если есть всякие хитрые alpn-ы (я уже давно забыл, что там в XMPP), то можно соорудить что-то вроде того. (Не в плюсе тоже работает).
Переходите на Let's Encrypt и получите скидку 100%!
Недоверие ко всем сертификатам семейства Symantec означает последний этап трехступенчатого процесса, инициируемый Google и Mozilla, который позволит полностью избавить Интернет от невалидных SSL.При этом Mozilla пошла на попятный, в Firefox 63 сертификаты Symantec по-прежнему будут поддерживаться.
Нет никакого нарушения функционирования банка, есть только единичные нарушения функционирования одного из сервисов банка, совершенно не критичного для его работы.
avangard.ru — 11.10.2018
severgazbank.ru — 15.10.2018
bsu.edu.ru — не обновились, хром должен ругаться
volsu.ru — 10.10.2018
telenor.rs — 17.10.2018
C выходом Chrome 70 тысячи сайтов, защищенных сертификатами Symantec, станут недоверенными