✉️ Saņem šito visu e-pastā. Tā vietā, lai palaistu garām kaut ko no tā, ko es rakstu savā blogā, tagad vari pierakstīties un saņemt e-pastā visu, ko es te rakstu. Tas nav bieži.

← Uz sākumu

Let's encrypt - SSL bez maksas

2015. gada 7. decembrī, 21 komentārs

Ja mēs atceramies, ka galvenais SSL mērķis ir nodrošināt savienojumu ar pietiekamu drošību, lai nevar noklausīties tur sūtītos datus, tad pilnībā pietiek ar pašu lētāku no drošajiem SSL sertifikātiem. Tas tad, ja nav nepieciešams arī pierādīt, ka atvērtā lapa pieder kādam konkrētam īpašniekam.

Parasti to darīja ar pašparakstītajiem. Vai arī ar StartSSL (un citiem), kuru biznesa modelis grozījās ap "izsniedzam par velti, bet atkārtoti izsniedzam vai atsaucam par naudu". Nākamais variants bija šķirties no līdz pat daždesmit dolāriem gadā par puslīdz feinu sertifikātu.

Tie laiki nu ir garām.

Publiskā betā ir aizgājis projekts Let's Encrypt. Faktiski tas ir Mozilla iniciēts un citu lielo kompāniju atbalstīts pakalpojums, kurš nodrošina pilnīgi bezmaksas uzticama CA izsniegtu drošu sertifikātu tavai lapai. Gan tā izsniegšanu, gan atjaunināšanu. Jebkurai tavai lapai, kura ir internetos. Par velti. Pavisam.

Pašlaik produkts ir publiskajā betā, bet tā kā ideja un viss pārējais ir atvērts, tad cilvēki jau labu laiku to attīsta, veido alternatīvus klientus, integrē visur, kur vajag un nevajag. Šodien pamēģināju uzlikt uz sava servera. Kā var redzēt, izdevās :)

Jebkura veida savienojums ar lāci nupat ir drošs.
Jebkura veida savienojums ar lāci nupat ir drošs.

Tehniski, viss, kas nepieciešams, ir uzinstalēt diezgan samuhļītu, bet strādājošu viņu klientu (vai uzrakstīt savu; vai paņemt izstrādē esošu alternatīvu) un palaist. Pirmajā reizē tiks uzdoti daži jautājumi, bet nākamajās tikai viens - "vai pāradresēt http uz https?". Protams, jautājums ir - cik ļoti tu uzticies risinājuma, kurš uz tava servera kaut ko dara (instalē pakotnes, konfigurē apaci, ģenerē atslēgu pārus, utt).

Man uz Ubuntu, kurā beidzot pieturējos pie standarta virtuālo hostu nomenklatūras, viss notika neticami automātiski. Tādiem, kas negrib iedziļināties lietas būtībā, pieejamo rīku klāsts palielināsies, integrācija ar sistēmām uzlabosies.

Secinājums - lieliski. Beidzot vairs nav neviena paša argumenta pret to, lai tavai lapai nebūtu SSL. Ja nu vienīgi tie divi papildus HTTP(S) pieprasījumi. Net tas, takš, viss ir nieks.

Tu atbildi augstāk redzamajam komentāram. Atcelt

Gravatar Endijs Lisovskis

2015. gada 7. decembrī, plkst. 22:37

Ja uz savas kastes neko instalēt negribi/nevari, bet tomēr gribi SSL vari izmanto CloudFlare Flexible SSL. Tas gan nebūs kā smuks sertifikāts tavai lapai, taču gala lietotājam tāpat būs šifrēts saturs. Te gan ir jāuzticas CloudFlare ar savu traffic. Bet kaut kādiem blogiem utml., jau tā nav problēma. Tiem kuri nesaprata, Flexible SSL stradā sekojoši. Kad Jānis pieprasa lapu endijs.com, vispirms info saņem CloudFlare caur SSL. Tad CloudFlare sazinās ar serveri bez SSL, savāc response un atgriež lietotājam atkal jau šifrētu. Viens sīkums - Flexible SSL nestrādā uz Android 2.3.x telefoniem. :)

Gravatar Mārtiņš

2015. gada 8. decembrī, plkst. 07:30

Nav jau obligāti kaut kas jāinstalē. Visu sertifikāta dabūšanas procesu var manuāli izdarīt no citas vietas.

Gravatar laacz Autors

2015. gada 8. decembrī, plkst. 08:35

Šī pasākuma burvība ir tieši automatizācijāun atvērtībā. Lai dabūtu un uzstellētu SSL sertifikātu vairs nebūs nepieciešams apgūt relatīvi sarežģītas lietas.

Gravatar Mārtiņš

2015. gada 8. decembrī, plkst. 21:58

Jā, bet ja Endijs negrib neko instalēt uz server, tad Endijs var uz Windows'a dabūt savu LE sertifikātu un uzlikt uz servera. Nav jau nekāda "raķešzinātne".

Es piemēram negribu uz sava servera ar root'u laist kaut kādus svešus skriptus, kas modificēs webservera konfigurāciju. LE sertifikāta dabūšanu var relatīvi viegli izdarīt kā nepriviliģēts lietotājs, un pēc tam atliek vienkārši pielabot webservera config failu, kas man jau ir izdarīts esošajam ssl sertifikātam.

Gravatar laacz Autors

2015. gada 8. decembrī, plkst. 22:12

Protams. Tev vienkārši. Citiem tā ir raķešzinātne. Kaut kā cilvēki mūždien aizmirst, ka visi nav kā viņi. Žēl, ka skolā nemāca psiholoģijas pamatus. Šis ir klasisks naive realism paraugs.

Gravatar Mārtiņš

2015. gada 9. decembrī, plkst. 04:21

Nepiekrītu. Ja tu hostē webserveri, kuram tu gribi https, tad tev jāsaprot kā tas darbojas, kāpēc tas ir vajadzīgs un kā to nokonfiguret. Ja to nesaprot, tad visai ticami ka sataisīsi kaut kādu caurumu webservera konfigurācijā (ar LE automatizāciju vai bez), un ļaunie "hakeri" visu sabojās. Tas jau ne vienu vien reizi ir bijis publiski lasāms dažādās ziņu vietnēs.

Gravatar laacz Autors

2015. gada 9. decembrī, plkst. 08:58

Sen jau vairs tā nav. Tas ir forši, tā vajag, bet tā nav.

Gravatar ppp

2016. gada 25. augustā, plkst. 17:29

Ir skripts, kuram nav nepieciešams root konts - https://github.com/Neilpang/acme.sh

An ACME Shell script: acme.sh

  • DOES NOT require root/sudoer access.

Gravatar capsx

2015. gada 7. decembrī, plkst. 22:45

Takš ir pieejami bezmaksas oficiāli stbalstītie sertifikāti.

Gravatar laacz Autors

2015. gada 7. decembrī, plkst. 22:51

Es jau teicu. Revocation ir par bargu maksu. Reissue ir par bargu maksu. Nav automatizējams. Utt. Let's encrypt mainīs pasauli.

Gravatar KasparsM

2015. gada 8. decembrī, plkst. 01:26

Tu man paskaidro, kā šitas strādā? Ne tehniski, bet principiāli. Es biju ilūzijās, ka ssl sertifikāts ir ne tikai par šifrēšanu, bet arī īpašnieka identitātes apliecinātājs. Ja es atveru https://uzticiesman.lv, tad es nu ne uzticēties, bet vismaz zināt, ka mani apkrāpa kāds, kura eksistenci un identitāti sertifikāta izdevējs ir vismaz formāli pārbaudījis. Par to taču sertifikātu izdevēja iekasēja naudiņu, lai mēs visi sēdētu drošībā.

Bet tagad tu saki, ka var būt anonīms sertifikāts bez īpašnieka identitātes, un to lietotājs to nu nekādi nevar ar aci redzēt, kamēr neklikšķina bezjēgā?

Gravatar Mārtiņš

2015. gada 8. decembrī, plkst. 07:29

Nē viņš to nesaka. Viņš saka "jebkurai tavai lapai".

Lai dabūt SSL sertifikātu no Let's Encrypt it jāvalidē domēns. Tā ir daļa no instalācijas procesa (automātiska vai manuāla).

Gravatar laacz Autors

2015. gada 8. decembrī, plkst. 08:34

Tieši tā. Šis ir "domain validated" sertifikāts, kurš apstiprina, ka to ir uzstellējis jebkurš ar tehnisku piekļuvi domeinam. Ir dažādu līmeņu/tipu sertifikāti. Bez maksas ir tikai DV: https://support.dnsimple.com/articles/ssl-certificates-types/

Gravatar Jānis

2015. gada 8. decembrī, plkst. 08:44

Ļoti īss termiņš sertifikātam. Tas pēc tam automātiski atjaunojams?

Gravatar Mārtiņš

2015. gada 9. decembrī, plkst. 04:13

Jā, sertifikātu viņi dod uz 90 dienām. Doma tāda - tāpēc ka sertifikāta dabūšana ir tik viegla (skripts visu izdara), tad to visu var darīt automātiski no crontab'a.

Gravatar Neticis

2015. gada 8. decembrī, plkst. 21:17

Kāpēc sertifikāta derīguma termiņš tikai 2016.03.06?

Gravatar laacz Autors

2015. gada 8. decembrī, plkst. 21:42

Noklusētais termiņš ir tieši tāds. Nav iemesla mainīt.

Gravatar Evalc

2015. gada 16. decembrī, plkst. 09:36

Kā Mārtiņš rakstīja, garāku par 90 dienām (3 mēnešiem) nemaz nav iespējams dabūt. Tas ir darīts speciāli, domāts, ka atjaunošana notiek automātiksi, ne manuāli.

Gravatar

2015. gada 13. decembrī, plkst. 19:33

Es paņēmu namecheap ssl. Kaut kādi 10€ gādā.

No sākuma gribēju godaddy, bet pa lielam neredzēju nekādu starpību, tik cik godaddy atpazīstamība.

Gravatar Arnis

2015. gada 22. decembrī, plkst. 16:26

Izskatās, ka ir pirmais trūkums šim. Tūlīt bļausiet ka "sīkums" un to 0.1% lietotāju dēļ nav jēga u.t.t.

Taču - neatbalsta Windows XP. Arī Chrome uz IE nevar autentificēt sertifikātu.

Sākumā domāju, ka laacz servera konfigurācijā, bet arī šis neveras: https://helloworld.letsencrypt.org/

Gravatar laacz Autors

2015. gada 22. decembrī, plkst. 16:32

Tieši tā. Tas ir saistīts ar vairākām lietām. <a href="https://community.letsencrypt.org/t/which-browsers-and-operating-systems-support-lets-encrypt/4394" rel="nofollow">Sīkāk šajā foruma ierakstā</a>.