| 1.3, Х (?), 23:38, 08/12/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
На фоне acme.sh как эта софтинка? Знаю, что популярна (тем более, вот, уже и версия 1.0 вышла, не прошло и многих лет), но может кто сравнивал в жизни?
| | |
| |
| 2.7, Fyjy (?), 03:34, 09/12/2019 [^] [^^] [^^^] [ответить]
| +7 +/– |
Использовал разные сторонние варианты, но таки со временем пришел к рекомендованному LEшниками certbot и все прекрасно с ним живет теперь. 20 серверов у разных заказчиков, суммарно больше 100 доменов второго уровня и еще третьи-четвертые уровни на них, все прекрасно получается, потом все само обновляется и жрать не просит
| | |
| |
| 3.32, В (?), 09:47, 09/12/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> все прекрасно получается, потом все само обновляется и жрать не просит
У того же acme.sh тоже все получается прекрасно. Т.е. - в чем плюс-то?
| | |
|
| 2.47, Аноним (47), 14:32, 09/12/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Требует рута, лезет без спроса в системные конфиги. Для любителей острых ощущений — самое то.
| | |
| |
| |
| 4.60, Аноним (47), 16:14, 09/12/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Видимо, используешь только standalone-плагин. Ну или manual, если мазохист.
| | |
| |
| |
| 6.68, Аноним (47), 17:51, 09/12/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
В том, что устанавливаешь программу для автоматизации, но ничего не автоматизируешь, а делаешь всё ручками.
| | |
| |
| 7.81, Григорий Федорович Конин (?), 20:03, 09/12/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
> В том, что устанавливаешь программу для автоматизации, но ничего не автоматизируешь, а
> делаешь всё ручками.
Включаю ssl для хоста руками, обновляет сертификат оно потом само. Можно и включать ssl не руками, но мне лень писать для этого скрипт потому что я админ локалхоста.
| | |
|
|
| 5.103, Аноним (103), 22:31, 12/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
Можно и DNS-плагины использовать. К слову, единственный вариант для получения сертификата с вайлдкардом на поддомены.
| | |
|
|
|
|
| |
| |
| 3.41, gogo (?), 11:51, 09/12/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Зачем жиробас Вася, кода есть проворный и беспроблемный Петя?
Делают одну работу, только Вася пи этом пальцы растопыривает и ведет себя не по задаче нагло.
| | |
|
| 2.14, Аноним (14), 08:44, 09/12/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Такой инструмент можно использовать на OpenWRT - закинул в крон и все.
Certbot сам все делает, но требует жырного питона, который не везде поместится.
| | |
| |
| 3.15, SOska (?), 08:52, 09/12/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну не осилили разрабы certibot язык с, вот ждем когда ты полную замену напишеш.
| | |
| |
| |
| 5.89, mumu (ok), 02:28, 10/12/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Указатели он там все разыменовал? Точно ни одного не забыл? За массивчик не собирается выходить как обычно?
| | |
|
|
|
| 2.35, Аноним (1), 10:11, 09/12/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ох уж этот плохой питон. Нужно его поскорее удалить из интернета, потому что опеннетовским сисадминам и мойщикам туалетов он не нравится
| | |
| 2.40, gogo (?), 11:47, 09/12/2019 [^] [^^] [^^^] [ответить]
| +4 +/– |
Плюсанул.
Дегидрейтед себе просто работает от юзера и не горузит кучи каких-то модулей/обновлений из-под рута каждый раз.
| | |
| 2.65, привет (ok), 17:03, 09/12/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
 плюсую да дегидратор
у меня на части серверов и питона то нет
и еслиб был - не уверен что стал бы сабж тянуть
сертобот скорее самое простейшее решение
потому и рекомендуется - каждой домохозяйке по серту
думаю, имеет право на существование за счет этого.
| | |
| |
| |
| 4.91, привет (ok), 10:09, 10/12/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Часть серверов без питона это с виндой? :)))
нет, на FreeBSD, с виндой есть - но это виртуалки для rdp.
| | |
| |
| 5.93, Пеньвкольто (?), 12:31, 10/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
Один фиг утилита седом парсящая джейсона это так себе развлечение, имхо конечно. Не сказал бы что я к нему нелюбовь какую-то испытываю, просто забыл уже и вспоминать не хочу.
| | |
| 5.94, Пеньвкольто (?), 12:39, 10/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
Да и фряха что-то по-моему в чистом виде осталась только на рутуре древнем, причем древность ее зашкаливает уже, страшновато, надо снести, но лень... А так - фринасов парочка еще болтается на переферии где-то и все... Вот это печально конечно, любовь детства, до сих пор неровно дышу, но как-то ненужно стало :\
| | |
| |
| 6.95, привет (ok), 13:18, 10/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Да и фряха что-то по-моему в чистом виде осталась только на рутуре
> древнем, причем древность ее зашкаливает уже, страшновато, надо снести, но лень...
> А так - фринасов парочка еще болтается на переферии где-то и
> все... Вот это печально конечно, любовь детства, до сих пор неровно
> дышу, но как-то ненужно стало :\
Вы просто ушли в мейнстрим :) Отлично себя показывает
для хостинга, бд, почтовики. роутеры и нас - тут понятно все,
замечательно zfs работает (пока что) напрямую из модуля ядра.
BSD хоронят давно, не печальтесь - еще нас всех переживет.
| | |
| |
| 7.96, Пеньвкольто (?), 13:54, 10/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
Да пусть живёт, конечно, вопросов нет. Я вообще за видовое разнообразие и свободу выбора.
| | |
|
|
|
|
|
|
| 1.10, Аноним (10), 08:09, 09/12/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
В другой ветке говорили же, что без оснований Let's Encrypt блокируется в РФ по IP6. Зачем это здесь?
| | |
| |
| 2.11, Аноним (10), 08:12, 09/12/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Иногда работает. Это приводит к тому, что ваш сайт с данным сертификатом доступен не всегда. Классная перспектива.
| | |
| |
| 3.19, Аноним (19), 09:06, 09/12/2019 [^] [^^] [^^^] [ответить]
| +/– | |
Это как? Сертификат же не на день даётся.
Ты, скорее всего, и не пользовался им, но решил лапшы навесить?
| | |
| |
| 4.22, Аноним (10), 09:09, 09/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
Ну как так. Иногда работает. Там же человек пояснил, почему происходит.
| | |
|
| 3.29, В (?), 09:45, 09/12/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
А разницы никакой, что с платными, что с бесплатными сертификатами. Блокировки рандомны и непредсказуемы. Точно так же можно и собственный хостинг однажды в черном списке увидеть - так что, хостинги не покупать?
| | |
|
| 2.13, A.Stahl (ok), 08:38, 09/12/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Ну и пусть. Что теперь, если что-то блокируется в РФ, то теперь этого нет и говорить об этом нельзя?
| | |
| |
| |
| |
| 5.97, Аноним (10), 14:06, 10/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
А за что было блокировать невинный OTRS? Причем опять без всяких упоминаний, что блокировать именно его.
| | |
| |
| 6.101, Фигноним (?), 10:45, 11/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
Никто не помнит уже что это, наверное :))) А то бы уже откомментили, что хотя бы за то, что на перле :)))
| | |
|
|
|
|
| 2.24, Fyjy (?), 09:10, 09/12/2019 [^] [^^] [^^^] [ответить]
| +5 +/– |
> В другой ветке говорили же, что без оснований Let's Encrypt блокируется в
> РФ по IP6. Зачем это здесь?
А почему людей должны волновать проблемы РФ? Да и откуда в РФ IPv6?
| | |
| |
| 3.34, Аноним (10), 10:10, 09/12/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Да и откуда в РФ IPv6?
Так и блокирует не местный провайдер, а на уровне выхода суверенного в мировой.
| | |
| |
| 4.48, Аноним (47), 14:36, 09/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
Вообще-то именно местный. Хоть в этом китайский опыт пока не переняли.
| | |
|
|
| 2.31, Аноним (31), 09:46, 09/12/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
> В другой ветке говорили же, что без оснований Let's Encrypt блокируется в
> РФ по IP6. Зачем это здесь?
По IPv4 тоже блокируют
http://isitblockedinrussia.com/?host=letsencrypt.org
IP 167.99.137.12
Decision 2019-08-22-1780 made on 2019-08-28 by МВД.
This block affects IP 167.99.137.12 and domain rollsafe.org.
Судя по вскму на том IP какой-то балансировщик CDN DigitalOcean
| | |
| |
| 3.36, Аноним (10), 10:12, 09/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
А не местные выдавальщики коммерческих сертификатов подсуетились? Дак вроде и нет их, которые бы явно прописывать пользователям не пришлось.
| | |
| |
| 4.49, Аноним (47), 14:37, 09/12/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> местные выдавальщики коммерческих сертификатов
А они уже появились?
| | |
|
|
|
| 1.27, Ilya Indigo (ok), 09:20, 09/12/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
 Когда LE уже запилит
ECDSA Root and Intermediates
Currently Let’s Encrypt only signs end-entity certificates with RSA intermediates. Let’s Encrypt will generate an ECDSA root and intermediates which can be used to sign end-entity certificates.
https://letsencrypt.org/upcoming-features/
Это feature всё никак не upcoming. :-(
| | |
| |
| 2.92, Аноним (92), 12:12, 10/12/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> This block affects IP 167.99.0.0/16
Борцуны с телеграмом. Никто не застрахован от из безответственных действий.
| | |
|
| 1.42, Аноним (42), 13:05, 09/12/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
dehydrated приходится, кстати, тоже периодически обновлять :( ибо эти твари из ЛЕ постоянно что-то меняют в своем апи.
| | |
| |
| 2.50, Аноним (47), 14:39, 09/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
Ты посмотри, как в нём разбор JSON реализован. Там не обязательно API менять, чтобы сломать, достаточно слегка переформатировать.
| | |
|
| 1.44, pin (??), 13:42, 09/12/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Имеется возможность отзыва полученных сертификатов в случае компрометации системы.
И как клиентам объяснить, где получить список отозванных сертификатов?
| | |
| |
| |
| 3.56, Аноним (56), 15:35, 09/12/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Таки по официальной инструкции ты и неизвестные тебе репозиторий подключаешь например в Убунте и неизвестно что тебе из этого репозитория прилетит равно или поздно. И в кроне от рута неизвестно что запускаешь по расписанию. Полная С - секурность.
Хотя какому-нибудь пошутисту ничто не мешает тебе без рута добавить что-нибудь в ~/bin или в ~/.local/bin
| | |
| |
| 4.62, Crazy Alex (ok), 16:40, 09/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
 В дебиане - из коробки. В центоси - EPEL. В убунте - родной PPA certbot (или вы EFF меньше доверяете, чем Canonical?) - нигде криминала не вижу. Соответственно не страшнее, чем в кроне от рута запускать что угодно другое штатное.
| | |
| |
| 5.70, Аноним (47), 18:06, 09/12/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Так давно уже ничего штатно не запускается от рута без крайней необходимости. Только в EFF об этом почему-то не слышали.
| | |
| |
| |
| 7.73, Аноним (73), 18:34, 09/12/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Паранойи мало не бывает. И это еще ладно ты репе от летсинкрипта доверяешь. Но проблем запускания всего подряд от рута достаточно остро стоит. Ты небось и npm на сервере от рута запускаешь...
| | |
|
|
|
|
|
| |
| 3.59, Аноним (47), 16:09, 09/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
Ага-ага. Как же он, интересно, конфиг хоть того же апача правит?
| | |
| |
| 4.64, Григорий Федорович Конин (?), 17:01, 09/12/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
А зачем ему править конфиг вебсервера? В вебсервере можно указать путь до current сертификата, а certbot просто будет обновлять этот файл и релоадить вебсервер.
Зачем ему править конфиги вебсервера?
| | |
| |
| 5.69, Аноним (47), 18:02, 09/12/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> А зачем ему править конфиг вебсервера?
Да незачем, конечно. Но он это умеет и, зараза, делает.
> В вебсервере можно указать путь до current сертификата, а certbot просто будет обновлять этот файл и релоадить вебсервер.
Ага. Только чтобы получить сертификат по http-01, ему надо выставить файл через веб-сервер. И большая часть способов это сделать предполагает либо правку конфигов веб-сервера самим certbot'ом, либо временное опускание веб-сервера.
А теперь расскажи, каким образом у тебя работающий якобы от непривилегированного пользователя certbot релодит веб-сервер.
| | |
| |
| 6.72, pin (??), 18:11, 09/12/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Он сам делает, хотя ты его не просишь об этом? Это в каком релизе такое?
| | |
| 6.80, Григорий Федорович Конин (?), 20:01, 09/12/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Ага. Только чтобы получить сертификат по http-01, ему надо выставить файл через веб-сервер. И большая часть способов это сделать предполагает либо правку конфигов веб-сервера самим certbot'ом, либо временное опускание веб-сервера.
<pre>'''
location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
root /home/lets_encrypt/certbot/webroot;
break;
}
'''</pre>
> А теперь расскажи, каким образом у тебя работающий якобы от непривилегированного пользователя certbot релодит веб-сервер.
sudo /etc/init.d/nginx reload
| | |
| |
| 7.82, Аноним (47), 20:12, 09/12/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> sudo /etc/init.d/nginx reload
Либо я отстал от жизни, либо ты не в курсе. nginx надо рестартовать, чтобы он подхватил новый серт, reload недостаточно. Кстати, сабж, правда, довольно древней уже версии, у меня категорически не хочет делать это хуком.
| | |
|
|
|
| 4.77, Аноним (77), 19:13, 09/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
nginx -T - dump config
nginx -c le.conf -s reload
nginx -c /etc/nginx/nginx.conf -s reload
| | |
|
|
|
| 1.52, InuYasha (?), 15:15, 09/12/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
Безденежная, но тоже добровольная центра-лизация. Отзовут тебя по любому поводу или забанят центр - и домохозяйки разбегутся в ужасе, когда браузер на весь экран в красных цветах устроит акцию устрашения.
| | |
| |
| 2.53, Аноним (56), 15:25, 09/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
Зато кулхацкер с линии провайдера не сможет просто так взять и увидеть что ты там передаёшь по HTTP. Потому что у тебя HTTPS.
| | |
| 2.67, Fyjy (?), 17:49, 09/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
Расскажи и у кого уже отозвали сертификат LE? Ну давай же! Примеры в студию! А что бы понимать, что именно LE никто не будет банить достаточно прочитать список тех, кто финансирует LE, но ты не осилишь. LE это победа разума и шифрованного трафика над идиотизмом, LE это победа над продавцами воздуха в виде платных сертификатов. Да, LE не нравится тем кто любит лезть в чужой трафик(например российской хунте) и тем кто продавал воздух, но первые ничего не могут сделать, а вторым пришлось смириться.
| | |
| |
| 3.74, Аноним (73), 18:35, 09/12/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Следуя теории заговора кто сертификаты финансирует тот их и ...читает...
| | |
| |
| 4.78, Fyjy (?), 19:34, 09/12/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
Да-да. А под кроватью сидят агенты ЦРУ и следят за каждым верным путинцем.
| | |
| |
| 5.83, Аноним (83), 20:46, 09/12/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
ЦРУ за всеми одинаково следит. Так что не надо тут делать вид что у кого-то есть привилегии.
| | |
|
| 4.88, admin localhost (?), 02:15, 10/12/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
1) Читаем теорию, и вспоминаем, что закрытого ключа у LE нет, они только подписывают .csr
2) Можно конечно навыписывать поддельных, но если это вскроется, а оно вскроется если будет, то репутации конец.
| | |
|
| 3.75, Аноним (75), 18:53, 09/12/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Да какая разница, если глобально система неверная. Нужен иной подход.
| | |
| |
| 4.79, Fyjy (?), 19:35, 09/12/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Да какая разница, если глобально система неверная. Нужен иной подход.
Ну так разработай, предложи всему миру и внедри! Я только за
| | |
|
|
|
|
