Forum Debian Users Gang

Startssl jest be dla wielu firm jak przejeli ich chinczycy.

W kwestii formalnej: letsencrypt obsługuje multidomain i to całkiem inteligentnie. Wildcarda nie i o ile pamiętam to się zarzekali, że nigdy nie będzie.

JW tej chwili mam trzy domeny - to akurat firmówki i mogę je mieć na jednym cercie. Z subdomen mam tylko do każdej www.
Natomiast mam klienta na letsencrypcie z sześcioma subdomenami. Jakieś pół roku temu miałem problemy z odnowieniem, ostatnio znikły do tego stopnia, że wrzuciłem odnawianie do crona (czytaj: ma się zrobić a ja mam ciekawsze zajęcia) :)

https://certbot.eff.org/

[quote="certbot"]Automatically enable HTTPS on your website with EFF's Certbot, deploying Let's Encrypt certificates.

To get instructions for Certbot, choose your server software and the system it is running on from the dropdown menus above. You can then pick "advanced" if you want less automation and more control.[/quote]

Automatyczne odnawianie działa tak:

cat /lib/systemd/system/certbot.timer
[Unit]
Description=Run certbot twice daily

[Timer]
OnCalendar=*-*-* 00,12:00:00
RandomizedDelaySec=3600
Persistent=true

[Install]
WantedBy=timers.target

cat /lib/systemd/system/certbot.service
[Unit]
Description=Certbot
Documentation=file:///usr/share/doc/python-certbot-doc/html/index.html
Documentation=https://letsencrypt.readthedocs.io/en/latest/
[Service]
Type=oneshot
ExecStart=/usr/bin/certbot -q renew
PrivateTmp=true

Z Cronem można zrobić identycznie.

Samo się nic nie robi, nowa stronka? jeśli w nowej domenie, to trzeba albo osobny certyfikat dla nowej domeny, albo kombinowanie, jak dopisać stronę od obecnego certyfikatu, który będzie trzeba generować od nowa.

Chyba, że wykombinujesz jakiś magiczny certyfikat dla np domeny *.pl, żeby obejmował cały polski internet, ale w takiego raczej żaden CA nie da zarejestrować, choć próbować możesz.

Ostatnio edytowany przez Jacekalex (2017-09-07 18:22:22)

[quote=mati75][quote=ethanak]Wildcarda nie i o ile pamiętam to się zarzekali, że nigdy nie będzie.[/quote]
https://letsencrypt.org/2017/07/06/wildcard-certificates-coming-jan-2018.html[/quote]
Dobra nowinka dla nas, ale straszna dla komercyjnych CA, które stracą tony kasy przez "nieuczciwą konkurencję" xD

Ciekawe, które zbankrutują pierwsze, obstawiałbym kłopoty Unizeto, Startcoma i innych maluszków na początku, do tego kosmiczne obniżki w Geotrust czy Thawte.

Pozdro

Ostatnio edytowany przez Jacekalex (2017-09-08 09:37:29)

[quote=mati75]Geotrust dla resellerów ma ceny tak - 50% jak przeciętnego kowalskiego.[/quote]
I co z tego, że dla resellerów, jak za najtańszy wildcard  np RapidSSL trzeba płacić w okolicach 370-450 zł, ile kosztuje SSL 123 czy QuickSSL?

Jeżeli Letsencrypt  wchodzi w wildcardy, to dla komercyjnych CA jest noc św Bartłomieja, nie każda strona potrzebuje Extended Validation albo tryb SAN na 24 domeny,
za co Geotrust każe sobie płacić około $600-800.
Chyba 90% certów na świecie to jest jedna domena + wildcard na subdomeny,
żeby MXy mogły się jednym certem posługiwać.

Do tego dochodzi jeszcze podpisywanie poczty (banki coś takiego stosują),
ale to też jest marginalna sprawa.

Na innych usługach typu podpisywanie dokumentów w MS Office czy  DNSSEC,
to komercyjne CA na waciki nie zarobią.

Ostatnio edytowany przez Jacekalex (2017-09-08 12:16:36)

[quote=szalon]Mam pytane jeszcze odnosnie tego letsencrypt. Czy ten certyfikat tworzy mi nowe IP dla domeny ? Bo są chyba też takie rozwiązania ?[/quote]
Certyfikat nie tworzy nowego IP, IP gwarantuje operator, u którego masz wykupiony serwer.

[quote=urbinek]@Jacekalex, on nie wie o co chodzi ale zasadniczo chodzi mu o to co daje ci cloudflare, ssl+proxy (czyli nowe IP :D)[/quote]
Jak nie wiadomo, o co chodzi, to skąd wiadomo, że "zasadniczo chodzi o..."? xD

Ostatnio edytowany przez Jacekalex (2017-09-10 20:11:51)