Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Mam pytanie odnośnie tego poradnika.
https://dug.net.pl/tekst/330/darmowy_certyfikat_ktory_akceptuje_ca:)/
Czy ten certyfikat automatycznie "dopisuje się" do wszystkich domen które mam na serwerze? Adres httpS również ?
Offline
Ile masz tych domen na serwerze?
Pytam, bo darmowe CA nie zastąpią każdego typu certyfikatu, letsencrypt jest na jedną domenę i można tam dopisać kilka subdomen, ale np wildcarda na subdomeny chyba już nie można.
Natomiast kilku oddzielnych domen na cercie letsencrypta nie postawisz na pewno.
Tu na dug.net.pl masz certyfikat letsencrypta.
Do "multiple domains" i wildcardu musisz wyskrobać trochę drobnych przynajmniej na
StartSSL™ Identity Validation[/quote]
lub podobny certyfikat "Class 2".Ostatnio edytowany przez Jacekalex (2017-09-07 07:32:18)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
[quote=mati75]Startssl jest be dla wielu firm jak przejeli ich chinczycy.[/quote]
Chińczycy, Rosjanie, Amerykanie, Niemcy, Hindusi, czy Brazylijczycy, niebyt istotna sprawa.
Poza tym diabelnie śmieszna sytuacja, szefowie firm nie boją się łazić w chińskich gaciach a nawet używać chińskich kondonów, ale boją się chińskiego CA.
Przy SSL klucz prywatny generujesz i nikomu nie pokazujesz, wysyłasz tylko CSR
i certyfikat do podpisania.
Centrum autoryzacji nie przechowuje Twoich kluczy prywatnych tylko własne root-CA.
Jeżeli natomiast CA chce Twoje klucze prywatne, to noga, dupa okno dla takiego CA
i idziesz gdzie indziej.
Chociaż certy Unizeto są już wyraźnie droższe, o Thawte, Geotrust czy Symantec/Verising nie wspominając w ogóle.
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2017-09-07 11:55:15)
Offline
W kwestii formalnej: letsencrypt obsługuje multidomain i to całkiem inteligentnie. Wildcarda nie i o ile pamiętam to się zarzekali, że nigdy nie będzie.
Offline
[quote=ethanak]W kwestii formalnej: letsencrypt obsługuje multidomain i to całkiem inteligentnie. Wildcarda nie i o ile pamiętam to się zarzekali, że nigdy nie będzie.[/quote]
Nie pamiętasz przypadkiem, ile domen można na jednym cercie letsencrypta umieścić?
Bo jak ostatnio się nim bawiłem, połknął tylko domenę i ze dwie czy trzy subdomeny,
na tym się skończyło.
Ostatnio edytowany przez Jacekalex (2017-09-07 16:29:47)
Offline
JW tej chwili mam trzy domeny - to akurat firmówki i mogę je mieć na jednym cercie. Z subdomen mam tylko do każdej www.
Natomiast mam klienta na letsencrypcie z sześcioma subdomenami. Jakieś pół roku temu miałem problemy z odnowieniem, ostatnio znikły do tego stopnia, że wrzuciłem odnawianie do crona (czytaj: ma się zrobić a ja mam ciekawsze zajęcia) :)
Offline
Z pięcioma subdomenami działa, więc tu nie powinno być problemu.
Co do Crona, letsencrypt ma wbudowaną opcję automatycznego odnawiania - chyba via Cron właśnie
Offline
https://certbot.eff.org/
[quote="certbot"]Automatically enable HTTPS on your website with EFF's Certbot, deploying Let's Encrypt certificates.
To get instructions for Certbot, choose your server software and the system it is running on from the dropdown menus above. You can then pick "advanced" if you want less automation and more control.[/quote]
Offline
Co właściwie chciałeś przez to powiedzieć bo niespecjalnie rozumiem Twoje intencje...
@yossarian: tak, ma, tylko wtedy nie chciało działać.
Offline
Automatyczne odnawianie działa tak:
cat /lib/systemd/system/certbot.timer [Unit] Description=Run certbot twice daily [Timer] OnCalendar=*-*-* 00,12:00:00 RandomizedDelaySec=3600 Persistent=true [Install] WantedBy=timers.target
cat /lib/systemd/system/certbot.service [Unit] Description=Certbot Documentation=file:///usr/share/doc/python-certbot-doc/html/index.html Documentation=https://letsencrypt.readthedocs.io/en/latest/ [Service] Type=oneshot ExecStart=/usr/bin/certbot -q renew PrivateTmp=true
Z Cronem można zrobić identycznie.
Offline
Dobra Panowie. A co jeśli dodam nową stronkę do serwera a certyfikat jest już zainstalowany ? Muszę go jakoś "uaktualnić" ??
Offline
Samo się nic nie robi, nowa stronka? jeśli w nowej domenie, to trzeba albo osobny certyfikat dla nowej domeny, albo kombinowanie, jak dopisać stronę od obecnego certyfikatu, który będzie trzeba generować od nowa.
Chyba, że wykombinujesz jakiś magiczny certyfikat dla np domeny *.pl, żeby obejmował cały polski internet, ale w takiego raczej żaden CA nie da zarejestrować, choć próbować możesz.
Ostatnio edytowany przez Jacekalex (2017-09-07 18:22:22)
Offline
[quote=ethanak]Wildcarda nie i o ile pamiętam to się zarzekali, że nigdy nie będzie.[/quote]
https://letsencrypt.org/2017/07/06/wildcard-certificates-coming-jan-2018.html
Offline
[quote=mati75][quote=ethanak]Wildcarda nie i o ile pamiętam to się zarzekali, że nigdy nie będzie.[/quote]
https://letsencrypt.org/2017/07/06/wildcard-certificates-coming-jan-2018.html[/quote]
Dobra nowinka dla nas, ale straszna dla komercyjnych CA, które stracą tony kasy przez "nieuczciwą konkurencję" xD
Ciekawe, które zbankrutują pierwsze, obstawiałbym kłopoty Unizeto, Startcoma i innych maluszków na początku, do tego kosmiczne obniżki w Geotrust czy Thawte.
Pozdro
Ostatnio edytowany przez Jacekalex (2017-09-08 09:37:29)
Offline
[quote=mati75]Geotrust dla resellerów ma ceny tak - 50% jak przeciętnego kowalskiego.[/quote]
I co z tego, że dla resellerów, jak za najtańszy wildcard np RapidSSL trzeba płacić w okolicach 370-450 zł, ile kosztuje SSL 123 czy QuickSSL?
Jeżeli Letsencrypt wchodzi w wildcardy, to dla komercyjnych CA jest noc św Bartłomieja, nie każda strona potrzebuje Extended Validation albo tryb SAN na 24 domeny,
za co Geotrust każe sobie płacić około $600-800.
Chyba 90% certów na świecie to jest jedna domena + wildcard na subdomeny,
żeby MXy mogły się jednym certem posługiwać.
Do tego dochodzi jeszcze podpisywanie poczty (banki coś takiego stosują),
ale to też jest marginalna sprawa.
Na innych usługach typu podpisywanie dokumentów w MS Office czy DNSSEC,
to komercyjne CA na waciki nie zarobią.
Ostatnio edytowany przez Jacekalex (2017-09-08 12:16:36)
Offline
Mam pytane jeszcze odnosnie tego letsencrypt. Czy ten certyfikat tworzy mi nowe IP dla domeny ? Bo są chyba też takie rozwiązania ?
Offline
[quote=szalon]Mam pytane jeszcze odnosnie tego letsencrypt. Czy ten certyfikat tworzy mi nowe IP dla domeny ? Bo są chyba też takie rozwiązania ?[/quote]
Certyfikat nie tworzy nowego IP, IP gwarantuje operator, u którego masz wykupiony serwer.
Offline
@Jacekalex, on nie wie o co chodzi ale zasadniczo chodzi mu o to co daje ci cloudflare, ssl+proxy (czyli nowe IP :D)
Offline
[quote=urbinek]@Jacekalex, on nie wie o co chodzi ale zasadniczo chodzi mu o to co daje ci cloudflare, ssl+proxy (czyli nowe IP :D)[/quote]
Jak nie wiadomo, o co chodzi, to skąd wiadomo, że "zasadniczo chodzi o..."? xD
Ostatnio edytowany przez Jacekalex (2017-09-10 20:11:51)
Offline
No to jeszcze mały gwoździk do trumny dla komercyjniaków:
DirectAdmin od wersji 1.50 (przedostatniej) obsługuje natywnie letsencrypta i SNI. Klikasz i masz wystawiony certyfikat, podłączony SSL i więcej się tym nie zajmujesz.
Offline
Time (s) | Query |
---|---|
0.00009 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00096 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.223.210.249' WHERE u.id=1 |
0.00070 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.223.210.249', 1732714462) |
0.00044 | SELECT * FROM punbb_online WHERE logged<1732714162 |
0.00045 | SELECT topic_id FROM punbb_posts WHERE id=314040 |
0.00213 | SELECT id FROM punbb_posts WHERE topic_id=29889 ORDER BY posted |
0.00069 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=29889 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00125 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=29889 ORDER BY p.id LIMIT 0,25 |
0.00075 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=29889 |
Total query time: 0.00755 s |