Конец золотой эпохи
В конце кажется будто он язык высунул
15.06.2016, 14:03
Немного офтоп.
Объясните мне недоверчивому почему я должен перевести свои сервера и сервера клиентов на let's encrypt ?
Поиски в гугле пока ничего не дали, кроме инструкции как настроить.
Даже спонсоры, указанные на сайте, используют сторонние сертификаты (comodo, digicert, google).
Один мой знакомый закрыл сайт ещё почти год назад и довольный, но лично я по прежнему испытываю странное чувство, а не наебут ли как в фильме Агенты Кингсман (есессно сертификат не замотивирует человеков на убийство), а второе сомнение - SSL это гигантский рынок с колоссальным оборотом за почти ничего и тут появляется бесплатный и безопасный сертификат, который работает в большинстве, если не во всех, браузеров.
Единственный сайт который использует let's encrypt, из известных мне, это https://stepic.org
Объясните мне недоверчивому почему я должен перевести свои сервера и сервера клиентов на let's encrypt ?
Поиски в гугле пока ничего не дали, кроме инструкции как настроить.
Даже спонсоры, указанные на сайте, используют сторонние сертификаты (comodo, digicert, google).
Один мой знакомый закрыл сайт ещё почти год назад и довольный, но лично я по прежнему испытываю странное чувство, а не наебут ли как в фильме Агенты Кингсман (есессно сертификат не замотивирует человеков на убийство), а второе сомнение - SSL это гигантский рынок с колоссальным оборотом за почти ничего и тут появляется бесплатный и безопасный сертификат, который работает в большинстве, если не во всех, браузеров.
Единственный сайт который использует let's encrypt, из известных мне, это https://stepic.org
Вообще-то на SSL полно бесплатных сертификатов. Их нынче выпускают все кому не лень. Но let's encrypt пока что единственный сервис, заточенный под автоматическое продление бесплатных сертификатов. Они даже не выдают сертификаты более чем на три месяца (а в перспективе срок жизни сертификата будет месяц), зато обновление можно (и нужно) полностью автоматизировать.
У меня по крону раз в неделю запускается скрипт для обновления и все, я больше не слежу за сертификатами - они в порядке. А если что-то не так, то крон присылает письма.
Чуть геморройнее выглядит отвязывание его авторизации от 80-го порта - нужно запускать обновлятор на другом порту, а вебсерверу сказать, куда перенаправлять запросы. Но я не стал заморачиваться. 10 секунд в неделю в 5 утра сервер может и отдохнуть.
У меня по крону раз в неделю запускается скрипт для обновления и все, я больше не слежу за сертификатами - они в порядке. А если что-то не так, то крон присылает письма.
Чуть геморройнее выглядит отвязывание его авторизации от 80-го порта - нужно запускать обновлятор на другом порту, а вебсерверу сказать, куда перенаправлять запросы. Но я не стал заморачиваться. 10 секунд в неделю в 5 утра сервер может и отдохнуть.
Спасибо.
Простой (даже 5 секунд) - стрёмно. Но я попробую manuale (питоновский клиент для генерации сертификатов) Официальный клиент не буду пробовать, т.к. я злобный тиран и не люблю конкурентов на сервере.
Однако меня не покидает чувство что это мышеловка.
Если срок жизни сертификатов будет 1 месяц, и текущий рынок сертификатов падёт, то совершенно внезапно можно сделать let's encrypt платным и думать будет особо некогда (я читал что организация не комерческая, но человеки они такие).
Простой (даже 5 секунд) - стрёмно. Но я попробую manuale (питоновский клиент для генерации сертификатов) Официальный клиент не буду пробовать, т.к. я злобный тиран и не люблю конкурентов на сервере.
Однако меня не покидает чувство что это мышеловка.
Если срок жизни сертификатов будет 1 месяц, и текущий рынок сертификатов падёт, то совершенно внезапно можно сделать let's encrypt платным и думать будет особо некогда (я читал что организация не комерческая, но человеки они такие).
Ну, Let's Encrypt уже тем хорош, что заставляет остальных шевелиться. Вот буквально вчера StartSSL прислал письмо, что у них тоже теперь есть автоапдейт и автоинсталляция сертификатов, срок жизни - до 39 месяцев, до 120 доменов + вайлдкарты, а кроме того - EV SSL. Причем есть бесплатные EV SSL (greenbar) сертификаты. Вот в таком виде:
Каждый уважающий себя сайт обязан гарантировать юзеру безопасное соединение.
Это достигается с помощью HTTPS (secure HTTP).
Для этого используются цифровые сертификаты.
Чтобы такому сертификату доверял любой браузер по умолчанию, они должны быть выданы не абы кем, а специальными центрами.
Сертификаты стоят нихуевых денег, и выдаются на определенное время (подозреваю, что их замена была связана с определенным гемором).
Центры поднимают изи бабки на таких сертификатах, т.к. им выдача ничего не стоит.
Но вот появился Let’s Encrypt - бесплатные сертификаты с возможностью автоматического обновления (как-то так).
У существующих центров бомбит пукан, т.к. с массовым переходом на Let’s Encrypt курица перестанет нести золотые яйца.
Вот и все в общих чертах.
Это достигается с помощью HTTPS (secure HTTP).
Для этого используются цифровые сертификаты.
Чтобы такому сертификату доверял любой браузер по умолчанию, они должны быть выданы не абы кем, а специальными центрами.
Сертификаты стоят нихуевых денег, и выдаются на определенное время (подозреваю, что их замена была связана с определенным гемором).
Центры поднимают изи бабки на таких сертификатах, т.к. им выдача ничего не стоит.
Но вот появился Let’s Encrypt - бесплатные сертификаты с возможностью автоматического обновления (как-то так).
У существующих центров бомбит пукан, т.к. с массовым переходом на Let’s Encrypt курица перестанет нести золотые яйца.
Вот и все в общих чертах.
дополню, что все несколько серьезнее и выдаются только сертификаты "начального" левела, для "серьезных" контор все еще нужно отдавать нехуевые бабки за более зеленый замочег
Спасибо!
Твой оператор использует letsencrypt, который бесплатен.
Пользовались говеным халявным StartSSL и с гемором раз в год обновляли. Теперь letsencrypt обновляется себе по крону и никаких лишних телодвижений.
О, StartSSL. Обожаю его. Каждый год:
* Сначала не приходит уведомление о том, что пора обновлять сертификат
* Личный кабинет со входом по SSL-сертификату, причем, вход по сертификату в FF не заводится, приходилось ставить хром
* Далее обнаруживаеУ StartSSL есть забавм, что SSL-сертификат для входа тоже просрочился
* В истерике теребим гугл и узнаем, что нужно создавать новый аккаунт и писать в техподдержку, чтобы они перенесли домены
И главная фича: подтверждение при помощи сраной почты. Каждый год нужно поднимать/привязывать к яндексу почту.
Слава Let's encrypt. Правда, пока еще 3 года wosign не кончились
* Сначала не приходит уведомление о том, что пора обновлять сертификат
* Личный кабинет со входом по SSL-сертификату, причем, вход по сертификату в FF не заводится, приходилось ставить хром
* Далее обнаруживаеУ StartSSL есть забавм, что SSL-сертификат для входа тоже просрочился
* В истерике теребим гугл и узнаем, что нужно создавать новый аккаунт и писать в техподдержку, чтобы они перенесли домены
И главная фича: подтверждение при помощи сраной почты. Каждый год нужно поднимать/привязывать к яндексу почту.
Слава Let's encrypt. Правда, пока еще 3 года wosign не кончились
Администрация и так блокирует неугодные разделы. И https можно не афишировать, пока принудительно не пойдёшь по ссылке https://joyreactor.cc/
Я тоже в разделе dev где то год назад спрашивал про это, мне был дан ответ Риэл: проспонсируй - прикрутим. Я не готов на такие суммы идти, но если на халяву, то что бы и не спросить еще раз.
Я тоже в разделе dev где то год назад спрашивал про это, мне был дан ответ Риэл: проспонсируй - прикрутим. Я не готов на такие суммы идти, но если на халяву, то что бы и не спросить еще раз.
Чтобы написать коммент, необходимо залогиниться
