The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Организация EFF анонсировала новый клиент для сервиса Let's Encrypt

13.05.2016 12:14

Организация Electronic Frontier Foundation (EFF), являющаяся одним из учредителей некоммерческого удостоверяющего центра Let's Encrypt, опубликовала новый клиент для данного сервиса - "Certbot", позволяющий автоматизировать получение TLS/SSL сертификатов сайтами и настройку конфигурации HTTPS на сервере. Взаимодействие с Let's Encrypt осуществляется при помощи протокола ACME (Automatic Certificate Management Environment).

Также изменилось позиционирование клиентского ПО от проекта Let's Encrypt, которое больше не продвигается как официальный клиент (изначальный основной клиент Let's Encrypt разработан EFF и сейчас просто изменилось его позиционирование), вместо которого предлагается сервис для использования совместимых с ACME реализаций. На странице Certbot пользователю предлагается выбрать используемые http-сервер и операционную систему, после чего будет выдана специфичная для данной связки инструкция по настройке Let's Encrypt. Например, выбрав FreeBSD будет предложен порт py-letsencrypt, в Debian 8 пакет letsencrypt, а в Debian 7 внешний скрипт dl.eff.org/certbot-auto.

  1. Главная ссылка к новости (https://www.eff.org/deeplinks/...)
  2. OpenNews: Некоммерческий удостоверяющий центр Let's Encrypt вышел из стадии бета-тестирования
  3. OpenNews: Некоммерческий удостоверяющий центр Let's Encrypt начал выдачу сертификатов всем желающим
  4. OpenNews: EFF, Mozilla, Cisco и Akamai создадут контролируемый сообществом удостоверяющий центр
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/44418-eff
Ключевые слова: eff, letsencrypt
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (55) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 12:43, 13/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Заменили питон на шелл скрипт? Прогресс
     
     
  • 2.2, Аноним (-), 12:49, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Цитата из скрипта



      $SUDO apt-get install $YES_FLAG --no-install-recommends \
        python \
        python-dev \
        $virtualenv \
        gcc \
        dialog \
        $augeas_pkg \
        libssl-dev \
        libffi-dev \
        ca-certificates \



     
     
  • 3.3, Аноним (-), 13:00, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Еще цитата из скрипта:
    # TODO: Deal with quotes in pathnames.
    СДЕЛАТЬ: Разобраться с кавычками в файловых путях.

    # TODO: Clean up temp dir safely, even if it has quotes in its path.
    СДЕЛАТЬ: Безопасную очистку временного каталога даже если в путях есть кавычки.

    rm -rf "$TEMP_DIR"
    Без комментариев.

    Перед использованием делайте бекапы.

     
     
  • 4.27, freehck (ok), 20:23, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Они создают TEMP_DIR посредством mktemp в начале блока кода, и в конце блока - удаляют его. Поэтому конкретно в этой версии скрипта кавычек там не может быть никогда.

    К тому же у них set -e, так что при малейшей ошибке - вылет.

    Скрипт-то сам не плохой. Просто комментарии страшные. :)


     
     
  • 5.28, Vee Nee (?), 21:29, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну если придираться то может - mktemp использует $TMPDIR и может найтись псих у которого там все что угодно :)
     
  • 5.29, Анончег (?), 21:38, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А где в том скрипте кнопка "сделать зашибись"?
     
  • 2.4, Аноним (-), 13:03, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Так это регресс.
     
     
  • 3.42, Анончег (?), 01:00, 14/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Так это регресс.

    Не суетись, к следующему релизу запилят православный жабаскриптик и все будут счастливы.

     

  • 1.5, Аноним (-), 13:58, 13/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    Пока не упростят обновление серта до curl'овского однострочника - пусть идут в пень.
     
     
  • 2.6, Дэмиен (?), 14:18, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • –5 +/
    +++++
     
  • 2.12, Crazy Alex (ok), 15:08, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Ну сиди как дурак без шифрования, делов-то. Можно подумать, что там что-то сложное.
     
     
  • 3.14, пох (?), 15:47, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Можно подумать, что там что-то сложное.

    можно подумать, что-то сложное в том, чтобы разово поставить нормальный сертификат, а не летсэнкриптовскую поделку.

    вся идея была именно в том, что оно автоматическое и бесплатное, поэтому подойдет, скажем, для ферм из сотен или тысяч ящиков с малопонятным содержимым.
    Но, судя по качеству кода в этих скриптах, ну его нафиг такое использовать на подобных фермах.
    И, следовательно, основной целевой ареал - наколенные серверы горе-админов, неспособных осилить три строчки в конфиге.

    И да, это очень, очень хорошо, что его нельзя установить вручную. Потому что забанив всего два корневых сертификата, можно автоматически получать от браузера предупреждения, что на том конце, конечно, есть шифрование, только вот доверять ему не надо совсем.

     
     
  • 4.15, Crazy Alex (ok), 16:09, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Разово поставить - сложное. Потому что это человеческий фактор. Установка, замена если заэкспайрился и т.п. И долгое время жизни тоже не в плюс.

    Лично я готов подобной штуке доверять куда больше, чем тому, где любят ручками всё делать. Но поседевшие в писаниях "трёх строчек" админы, конечно, против.

    А что там внутри - да плевать. Баги серьёзные есть? Нет - значит, годится.

     
     
  • 5.16, Дэмиен (?), 16:38, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Помним. Гордимся. Не забудем.

    За тобой выехали с халатами

     
     
  • 6.18, Crazy Alex (ok), 17:01, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Поминать будете как раз "традиционных" админов, лезущих руками туда, где можно обойтись автоматикой и думающих "как не сломать" вместо "как пережить поломку". Потому что эта деятельность из  искусства/ремесла превращается в технологию, но кое-кто это упорно не хочет понимать. Все эти девопсы - как раз оно.
     
     
  • 7.20, Аноним (-), 17:25, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Поминать будете как раз "традиционных" .... эта деятельность из  искусства/ремесла превращается в технологию

    <зевая> Тыщу раз уже эти глупости слышали.

     
  • 5.19, Аноним (-), 17:24, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А что там внутри - да плевать.

    Х.як, х.як и в продакшен, да.

     
     
  • 6.47, Crazy Alex (ok), 03:05, 14/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ещё раз. Баги серьёзные находились? Нет. Тестировали достаточно долго и достаточно много людей. Что тебе ещё надо?
     
     
  • 7.53, Аноним (-), 06:49, 14/05/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    "openssl тестировали достаточно долго и достаточно много людей". А потом там нашли heartbleed.

    Заткни пасть, ламер.

     
  • 5.26, deffic (?), 19:14, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Разово поставить - сложное. Потому что это человеческий фактор. Установка, замена если
    > заэкспайрился и т.п. И долгое время жизни тоже не в плюс.
    > Лично я готов подобной штуке доверять куда больше, чем тому, где любят
    > ручками всё делать. Но поседевшие в писаниях "трёх строчек" админы, конечно,
    > против.
    > А что там внутри - да плевать. Баги серьёзные есть? Нет -
    > значит, годится.

    Точно! Ху.к, х.як и в production!

     
  • 4.21, _ (??), 18:22, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >И да, это очень, очень хорошо, что его нельзя установить вручную.

    Тебя и здесь сиииильно наеОбмнули :))))

     
  • 2.13, Аноним (-), 15:16, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Пока не упростят обновление серта до curl'овского однострочника - пусть идут в
    > пень.

    https://calomel.org/lets_encrypt_client.html

    # dependency: bash, openssl, curl

     
     
  • 3.22, _ (??), 18:29, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ха! Сalomel молодца, как обычно. Оно не идеальное, есть что покрутить, но простое и надёжное как АК-47 :)
     
     
  • 4.30, Аноним (-), 22:12, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Ха! Сalomel молодца, как обычно. Оно не идеальное, есть что покрутить, но
    > простое и надёжное как АК-47 :)

    Согласен, видно что человек писал не только для себя - код хороший, и допилить не трудно если что.

     
  • 4.32, Аноним (-), 22:31, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Вот еще один молодец, кому надо - https://github.com/lukas2511/letsencrypt.sh
     
     
  • 5.48, Crazy Alex (ok), 03:09, 14/05/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Угу, заменить софт от создателей решения на нечто непонятно от студента с гитхаба, которое невесть кто и невесть как тестировал.
     
  • 5.51, . (?), 05:19, 14/05/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да действительно молодец, но тут уже вкусовщина.
    Сам Calomel пишет:
    This lets_encrypt.sh script is a simplified branch of the original script by lukas2511/letsencrypt.sh and all credit for the script's design goes to the original developer. If you require more functionality then our version of the script can provide, please contact lukas on Github.

    Так что - да.

     

  • 1.7, Аноним (-), 14:30, 13/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Скачать и положить руками до сих пор нельзя?
     
     
  • 2.11, Crazy Alex (ok), 15:07, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • –4 +/
    И правильно, что нельзя. Тут вся суть - именно в автоматизации.
     
     
  • 3.23, _ (??), 18:29, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > И правильно, что нельзя. Тут вся суть - именно в автоматизации.

    Вы какой клей нюхаете?!?!

     
     
  • 4.24, _ (??), 18:46, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> И правильно, что нельзя. Тут вся суть - именно в автоматизации.
    > Вы какой клей нюхаете?!?!

    Поясню мыстлЪ: "вся суть - именно в автоматизации" - с этим я согласен. Я не согласен что вручную - нельзя. У них на сайте есть инструкция, следуя ей я ручками и ставил. На поиграццо.

     
     
  • 5.49, Crazy Alex (ok), 03:11, 14/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Да я даже не смотрел, можно или нет. Потому что это неправильно это. Всё равно как плоскогубцами гводи забивать. Ну можно. Ну плоскогубцы не испортятся. Но - применение инструмента не по назначению и хреновая эффективность.
     
     
  • 6.52, . (?), 05:29, 14/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Да я даже не смотрел, можно или нет. Потому что это неправильно
    > это. Всё равно как плоскогубцами гводи забивать. Ну можно. Ну плоскогубцы
    > не испортятся. Но - применение инструмента не по назначению и хреновая
    > эффективность.

    Можно. Но неправильно , да :)
    А ещё они грозились когда всё наладится уменьшить эскпирэйшен. Прикинь - уменьшат с 90 дней до к примеру трёх 8-)

     

  • 1.8, Аноним (-), 14:37, 13/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Самый адекватный клиент https://github.com/lukas2511/letsencrypt.sh
     
     
  • 2.9, Наркоман (?), 14:52, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    https://github.com/xenolf/lego fixed
     
     
  • 3.10, Дэмиен (?), 15:04, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    https://github.com/xenolf/lego/issues
     
     
  • 4.58, Аноним (-), 17:40, 15/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Что сказать-то хотел?
    То, что багов в трекере >0? Так это у любого популярного проекта так. Пустой трекер - наоборот повод задуматься.
     

  • 1.17, Аноним (-), 16:56, 13/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Просто переименовали они просто.
    https://github.com/certbot/certbot/commit/785010fe5001a3c1472bf3ef47e99fb1da32

    +Certbot (previously, the Let's Encrypt client)

     
  • 1.25, dr Equivalent (ok), 19:05, 13/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Имхо, эту штуку нужно встраивать прямо в демоны, как плагин.
    Скажем, просто добавляю я слово "ssl-letsencrypt;" (а лучше, когда появятся несколько таких сертификационных центров, по крайней мере я на это надеюсь, "ssl-auto <урл апи или чего там>";) в нужную секцию server в Nginx, и все, больше ни над чем запариваться не обязательно - вот это будет уже разговор.
    А клиенты все эти - какое-то костыление.
    Но это опять же мое мнение.
     
     
  • 2.31, Анонимус99987 (?), 22:21, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Два чая [s]этому господину[/s] Игорю Сысоеву.
     
  • 2.33, Crazy Alex (ok), 22:31, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Встраивать надо не в серверы, а в решения, вроде iRedmail или OwnCloud. А если уж сервер руками настраиваешь - то, IMHO, отдельный инструментарий и ожидание некоторого понимания в самый раз - мало ли что ты там накуролесишь в конфиге.
     
     
  • 3.39, Аноним (-), 23:33, 13/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Встраивать надо не в серверы, а в решения, вроде iRedmail или OwnCloud.
    > А если уж сервер руками настраиваешь - то, IMHO, отдельный инструментарий
    > и ожидание некоторого понимания в самый раз - мало ли что
    > ты там накуролесишь в конфиге.

    Встраивать надо действительно секьюрные решения, а не поeбeнь, которую на двадцатом году существования вдруг посчитали пригодным для чего-то кроме прикрытия стрема поросячьего и облепили костыликами для якобы лучшей безопасности, типа oscp степлинга, HSTS или пиннинга сертов. Оно и в этом случае всего лишь лобковые волосы. Кто думает иначе - тот недоумок и тупорас.

     
     
  • 4.44, Sw00p aka Jerom (?), 01:10, 14/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> Встраивать надо не в серверы, а в решения, вроде iRedmail или OwnCloud.
    >> А если уж сервер руками настраиваешь - то, IMHO, отдельный инструментарий
    >> и ожидание некоторого понимания в самый раз - мало ли что
    >> ты там накуролесишь в конфиге.
    > Встраивать надо действительно секьюрные решения, а не поeбeнь, которую на двадцатом году
    > существования вдруг посчитали пригодным для чего-то кроме прикрытия стрема поросячьего
    > и облепили костыликами для якобы лучшей безопасности, типа oscp степлинга, HSTS
    > или пиннинга сертов. Оно и в этом случае всего лишь лобковые
    > волосы. Кто думает иначе - тот недоумок и тупорас.

    DNSSEC+DANE TLSA и пининг не нужен, HSTS ще жесть надо же было до этого додуматься )))

    пс: а почему всё так ? да потому, что  все эти костыли придумывают люди далёкие от инфобеза, (про криптографию я промолчу)

     
     
  • 5.46, Crazy Alex (ok), 03:01, 14/05/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    То есть в половине случаев отдать контроль над сертификатами тем же, от кого надо защищаться, ага. Плюс сейчас надо получить контроль и над DNS, и над сертификатами, а так - только DNS хватит. Гениальное решение, как же.

    А HSTS... Кто понимает, что делает и зачем - запросто это разруливает (в мозиллообразных тем же ForceTLS), остальным - никакого вреда кроме пользы.

     
     
  • 6.50, Sw00p aka Jerom (?), 03:16, 14/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >>То есть в половине случаев отдать контроль над сертификатами тем же, от кого надо защищаться, ага.

    такс по подробней пжлста, я не понял сути данного предложения, попахивает - слышал звон не знаю где он (сарказм).


    >>  Плюс сейчас надо получить контроль и над DNS, и над сертификатами, а так - только DNS хватит. Гениальное решение, как же.

    жутко не хочу влезать в спор и на пальцах вам обьяснять как работает dnssec+tlsa, плиз прочтите rfc.


    >>А HSTS... Кто понимает, что делает и зачем - запросто это разруливает

    вы счтитаете отличным решение держать в браузере лист с доменами? или вы думаете тот же заголовок hsts нельзя вырезать? или чистить тот же лист в самом браузере ? может часики вперед и протухнет max-age ?

    пс: тем же, от кого надо защищаться, ага - враг в голове или за бугром ? если за бугром, тогда напомню - всё оттуда же

     
  • 4.45, Crazy Alex (ok), 02:57, 14/05/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну да, всё, что не противоатомный бункер - безопасность не обеспечивает, ага. Но, что характерно, хоть бы кто из борцунов предложил пригодную для промышленного применения альтернативу. По факту - HTTPS на порядки повышает встоимость взлома/слежки по сравнению с HTTP, этого уже достаточно, чтобы на него повсеместно перейти.
     
  • 3.62, dr Equivalent (ok), 20:45, 19/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Не понимаю, как OwnCloud будет отдавать сертификат без участия веб-сервера.
     
  • 2.41, Наркоман (?), 00:07, 14/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Посмотри Caddy, он для всех хостов по дефолту сертификаты получает автоматически.
     
     
  • 3.61, dr Equivalent (ok), 20:38, 19/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Кадди - няша, но до Nginx ему пока далеко.
     
  • 2.43, Sw00p aka Jerom (?), 01:06, 14/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    что тока не придумывают лишь бы не юзать DNSSEC+DANE TLSA
     
     
  • 3.59, Аноним (-), 17:44, 15/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > что тока не придумывают лишь бы не юзать DNSSEC+DANE TLSA

    Что для подписывания своих зон используешь?

     
     
  • 4.60, Sw00p aka Jerom (?), 15:51, 16/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    а то, dkim без него (dnssec) - пустое место
     

  • 1.55, DmA (??), 07:49, 14/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Пользователь не контролирует ни количество находящихся в доверенных удостоверяющих центров у себя в хранилище на компьютере, ни степень доверия к этим центрам! Любая программа и любой производитель железа старается внести какой-нибудь свой удостоверяющий центр ваше хранилище сертификатов.  Особенно производители ноутбуков. Чего уж там говорить о миллионах сертификатов, которые сотни этих центров выдают ... Кому они выданы и даже непонятно кем...
    Я бы оставлял минимум удостоверяющих центров в системе, а сам пользователь пусть думает ,нужны ему все эти сертификаты...
     
     
  • 2.57, Sw00p aka Jerom (?), 13:19, 14/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >>Я бы оставлял минимум удостоверяющих центров в системе, а сам пользователь пусть думает ,нужны ему все эти сертификаты...

    Поэтому нуно внедрить dnssec и хранить сертификаты самоподписные в зонах, и не нужны будут всякие "Тренты" заслуживающие доверия

     

  • 1.56, Аноним (-), 10:18, 14/05/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    В списке операционных систем альта не вижу
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру