Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим,
объявил (https://community.letsencrypt.org/t/acme-v2-and-wildcard-cer...) о внедрении второй версии протокола ACME и обеспечении возможности использования масок в сертификатах. Маски позволяют охватить в одном сертификате группу поддоменов (например, *.example.com).
Для создания сертификатов с масками требуется (https://community.letsencrypt.org/t/acme-v2-production-envir...) наличие клиентского ПО (https://letsencrypt.org/docs/client-options/#acme-v2-compati...) с поддержкой протокола ACMEv2. Для пользователей уже получивших сертификаты при помощи протокола ACMEv1 для получения сертификатов с масками требуется повторная авторизация (для получения сертификатов без масок можно продолжить использование ACMEv1). Для подтверждения доменов, для которых будут запрашиваться сертификаты с маской, первое время будет допустима только верификация через DNS, подтверждающая владение базовым доменом. В дальнейшем не исключена реализация и других методов верификации.
Поддержка масок относилась к наиболее востребованным возможностям, чаще всего упоминаемым в пожеланиях к Let's Encrypt. Ожидается, что сертификаты с масками, которые заметно упрощают работу при задействовании на сайте нескольких поддоменов, станут важным звеном для достижении цели проекта Let's Encrypt - 100% охват сайтов протоколом HTTPS (сейчас доля сайтов с HTTPS составляет (https://letsencrypt.org/stats/) 69%, из которых 42% пользуются (https://nettrack.info/ssl_certificate_issuers.html) сертификатами Let's Encrypt).
URL: https://community.letsencrypt.org/t/acme-v2-and-wildcard-cer...
Новость: https://www.opennet.me/opennews/art.shtml?num=48255
Уже есть где-то инфа как перевести старый клиент (где сертификат генерился для каждого поддомена отдельно с использованием проверки через другой веб-сервер, параметр webroot), на новый с использованием wildcard?
Обновить клиента и вручную запустить новую генерацию сертификата с выбором новой возможности и новой авторизацией? ПО целая куча https://letsencrypt.org/docs/client-options/#acme-v2-compati... - читайте документацию.
Wildcard по очевидным причинам требует подтверждения через DNS. Так что первым делом надо настроить dns-01.В dehydrated <https://github.com/lukas2511/dehydrated> это делается вот так:
https://github.com/lukas2511/dehydrated/blob/master/docs/dns...
https://github.com/lukas2511/dehydrated/wiki/Examples-for-DN...Для использования ACME v2 и wildcards в нем же достаточно указать API=2 в конфиге.
Что там с certbot-ом, не знаю, не имею привычки ставить софт, который что-то там от рута делает сам себе.
У меня для certbot отдельная виртуалочка (запускаю виртуалку, пара команд, забираю серты и ставлю куда надо), мне все равно, что она там у себя делает, хоть от рута, хоть от обычного юзера..Погуглив, вроде есть такие решение (официальный certbot):
You need to add
--server https://acme-v02.api.letsencrypt.org/directoryto your Certbot command to tell it to use the ACME v2 API that supports Wildcard certificates.
./certbot-auto --server https://acme-v02.api.letsencrypt.org/directory -d *.ymeng.net --manual --preferred-challenges dns-01 certonlyИли в конфиг можно еще прописать:
server = https://acme-v02.api.letsencrypt.org/directoryНо еще не проверял все это дело.
Lets encrypt - потрясающее ПО.
Ваш сервер аж трисёт??
А как получить сертификат для хостинга, не имея доступа к консоли для установки ПО?
Dns
www.sslforfree.com/
> А как получить сертификат для хостинга, не имея доступа к консоли для установки ПО?Сходить на поклон к хостеру, вестимо. Гостинцев прихватить не забудь.
Такая вот монополия на рынке ssl-сертов, но без клыков большой и жадной корпорации, присущих подобным проектам)
Первая доза всегда бесплатно 😏
не вижу ничего хорошего в том что какая-то группа хитрозадых личностей фактически монополизировала контроль над вебом.захотят - уберут завтра из своего "единого списка выданных сертификатов" все российские в качестве санкций, вот радости то.
Так может сделать любой другой "центр", только этот хотя бы бесплатный ;)
> захотят - уберут завтра из своего "единого списка выданных сертификатов" все российские в качестве санкцийКак говорит Екатерина Шульман: "отстаивайте политические права и свободы. ифонов и роботов вам если что завезут, а вот прав и свобод не завезут".
да уж пусть лучше они, чем родное ФСБ с каким-нибудь MITM "сертификатом национальной безопасности"
вы еще скажите, что мы когда-то отказывались сотрудничать с ФСБ
> без клыков большой и жадной корпорацииНа список спонсоров посмотри. Они в эту тушку все одновременно уцепились и каждый выпустить боится.
Ну и ладушки, конечный результат вполне хорош
> Ну и ладушки, конечный результат вполне хорошда, прекрасен - конкурентов у нас скоро вообще не будет.
а вы схаваете, давясь и чавкая, любой кал, лишь бы вам на халяву он доставался.
Халявный воздух? Возмутительно!
>100% охват сайтов протоколом HTTPSА потом их перестанут выдавать всяким мещанам. А когда очнутся, браузеры уже и не поддерживают http.
Нравится или нет, но рано или поздно это произойдёт. Такова логика развития событий при капитализме.
> Нравится или нет, но рано или поздно это произойдёт. Такова логика развития
> событий при капитализме.Единственное, что может компенсировать это - опенсорс.
> Единственное, что может компенсировать это - опенсорс.мурзилла ваша - вполне себе опенотсос. И хромиум тоже. Вы можете решить проблему Честного Ахмеда? Нет. Поэтому сказочки что опенотсос чего-то там компенсирует - оставьте своей детсадовской младшей группе.
а, да - софт для организации собственного ca тоже вполне себе опенотсосен (и даже такой CA давно уже организован). Только вот добавить его в список вы не сможете - теперь, помимо требований дать в жoпу (и железнодорожный состав денег) компании-аудитору, не умеющей настроить собственный веб сайт, еще и требование добавлять все выданное в чудо-логи. Один из которых принадлежит гуглю, и второй..а, тоже гуглю. И нет, там нигде не написано что кому-то разрешат туда добавляться бесплатно.
единственное, что может компенсировать это - вмешательство федеральной антимонопольной службы. Не то чтобы совсем уж сказочное явление (мы-то помним судьбу AT&T) - но даже если сказка обернется явью - уйдет полсотни лет чтобы компенсировать разрушенное (включая бесконечные суды с наследниками патентов в пятом поколении, которые по сей день не закончились).
>>100% охват сайтов протоколом HTTPS
> А потом их перестанут выдавать всяким мещанам. А когда очнутся, браузеры уже
> и не поддерживают http.зачем? нас вполне устраивает нынешняя ситуация - когда нас в бой пошлет товарищ...э...г-н неважно кто будет директор NSA в тот момент - мы выдадим ровно столько поддельных сертификатов ваших сайтов, сколько потребуется.
И в чудо-логах их заменим, они принадлежат и контролируются тем же.А еще, вечно что-то меняя и улучшая в своем чудо-протоколе, мы все же приучим вас тупо запускать левый код от имени пользователя, умеющего подменять сертификаты (и, скорее всего, как минимум, перезапускать веб-сервер), не особо вглядываясь, что он там делает.
> мы все же приучим вас тупо запускать левый код от имени пользователя, умеющего подменять сертификаты (и, скорее всего, как минимум, перезапускать веб-сервер), не особо вглядываясь, что он там делаетИ кто мешает господам админам вынести небезопасный "левый" код получения сертификатов на отдельную машину? А уже с нее СВОИМ подконтрольным кодом со всеми возможными и невозможными проверками копировать сертификаты по рабочим серверам и (при необходимости) перезапускать веб-сервер.
Примерно то-же что мешает не использовать leftpad, идеальное решение длаже если и будет проиграет в конкурентной борьбе, конкуренция она про компромиссы.
Лень или темнота, или ещё что - всё то же, что заставляет делать curl | bash
> И кто мешает господам админам вынести небезопасный "левый" код получения сертификатов на
> отдельную машину? А уже с нее СВОИМ подконтрольным кодом со всеминапример, отсутствие этой отдельной машины? Или она вам бесплатно достается, вместе с электричеством? (а если уж быть параноиком, то нужна именно физически отдельная, пусть и дохлая - ибо спектр)
> возможными и невозможными проверками копировать сертификаты по рабочим серверам и (при
> необходимости) перезапускать веб-сервер.это все прекрасно работает в случае большой конторы с лишними "отдельными машинами" и имеющими массу лишнего времени (и неленивыми) админами, "но есть ньюанс": у такой конторы есть еще и лишние деньги, поэтому ей это все просто не нужно - у нее и на "зеленый" EV найдется, который не надо раз в три дня менять, а раз в три года вручную проверяют, и на собственный intermediate, если надо сразу много "синих", может найтись.
а смысл летсдекрипта - нагнуть _массу_. Чтоб наши троянцы стояли в каждой мелкой лавочке и на каждом облачном хостинг-сайте за три доллара в месяц. Это вот интересно, а не по одной ягодке клевать.
> например, отсутствие этой отдельной машины? Или она вам бесплатно достается,Ну не за бесплатно, а допустим за 10 баксов на какой-нибудь orange pi. У тебя нет 10 баксов? Это ж пиварь не пожрать 1 раз.
контора не могущая предоставить/приобрети фактически не имеющий стоимости старый системник под роутер/или Это/еще что то - да кто там работает ? таким безопасность и не актуальна как правило - и я дворником лучше бы пошёл робить , чем к ним ..
Хорошая идея. А как ты собрался (автоматически) передавать ключи между ними? И вообще, по какому протоколу и каким образом будет вестись связь между сервером и внешней получалкой сертификатов?Дай угадаю… По SSL!?
сктиптами через SSH не ?
Объявили, а certbot в бубунтовских ppa ещё старый.
Репы как, за полсуток обновиться должны?
Кроме того -- вам не хватает acme.sh?
Самое смешное, что и раньше можно было выпрашивать у LE сертификат сразу на несколько доменов. Даже если софт не умеет SNI прекрасно всё работало.Хотя я эту фичу заметил только неделю назад.
Так что необходимость в wildcard сильно преувеличена. Но всё равно спасибо.
Там лимит - сто дополнительных доменов. У меня их, например, несколько сотен. Делать серт на каждую группу в 101 домен? Охрененно удобно.
Не важно, что задача специфичная, востребованность от этого никуда не девается.
> Там лимит - сто дополнительных доменов. У меня их, например, несколько сотен.Сеошник не палится типа :)
Список доменов занимает место в сертификате. Сертификат отправляется каждый раз при установке соединения (в ходе рукопожатия). Больше доменов — больше пакетов уйдёт на handshake, больше задержка прежде чем по соединению можно будет слать что-то полезное.Некоторые клиенты (например Хром) пытаются кешировать сертификаты, но пакет с сертификатом всё равно будет отправлен и потребует ACK-пакет от клиента.
В общем, всё та же борьба с RTT.
Надеюсь они позволят когда-нибудь генерить сертификаты для машин, к которым нет доступа извне?
Уже давно позволили, dns-01 и иже с ними
Это как? Машину не видно, домена вида "васян.петян" как бы нету. Как оно валидировать собралось?
Почему домена нет? На что ты сертификат брать собрался? На айпишник? Стандарт вроде не запрещает, но я такого не видел.
Ничего не мешает получить серт на васян.орг, который лукапится на приватный диапазон, недоступный снаружи (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12). Мой ISP давно так делает со своим кабинетом. Теперь уже с Let's Encrypt, ранее с каким-то CA. Просто по днс подтверждается владение доменом, доступность сервера тут не обязательна.
Т.е. мне для приватного использоавния всё равно придётся купить публичный домен васян.орг? Нафиг-нафиг.
Для приватного использования ты сам себе CA, нафига тебе кто-то ещё?
Так по DNS же.
А потом будет "Мы вам выдали сертификат. НО потом отзовем его и новый не дадим потому-что вас внесли в санкционный список. Так что курите бамбук"
Что же будет, когда хакнут Let's Encrypt?
> Что же будет, когда хакнут Let's Encrypt?PWNAGE!!!1111
спорим, корневой сертификат le давно у анб в запасах?
Спорим, все остальные корневые сертификаты тоже?
ну да, MITM атаку организвать может.
ну что можно сказать.. не пользуйтесь браузерам
Пока это не начнёт выдавать сертификаты хотя бы на год - оно не нужно.
>цели проекта Let's Encrypt - 100% охват сайтов протоколом HTTPSЕсли я не ошибаюсь, https не позоляет кшировать на прокси серверах.
То есть скоро интернет будет медленным