laacz.lv

Kaspara F. neoficiālā mājaslapa (Anno 1997)

Let’s encrypt – SSL bez maksas

Ja mēs atceramies, ka galvenais SSL mērķis ir nodrošināt savienojumu ar pietiekamu drošību, lai nevar noklausīties tur sūtītos datus, tad pilnībā pietiek ar pašu lētāku no drošajiem SSL sertifikātiem. Tas tad, ja nav nepieciešams arī pierādīt, ka atvērtā lapa pieder kādam konkrētam īpašniekam.

Parasti to darīja ar pašparakstītajiem. Vai arī ar StartSSL (un citiem), kuru biznesa modelis grozījās ap “izsniedzam par velti, bet atkārtoti izsniedzam vai atsaucam par naudu”. Nākamais variants bija šķirties no līdz pat daždesmit dolāriem gadā par puslīdz feinu sertifikātu.

Tie laiki nu ir garām.

Publiskā betā ir aizgājis projekts Let’s Encrypt. Faktiski tas ir Mozilla iniciēts un citu lielo kompāniju atbalstīts pakalpojums, kurš nodrošina pilnīgi bezmaksas uzticama CA izsniegtu drošu sertifikātu tavai lapai. Gan tā izsniegšanu, gan atjaunināšanu. Jebkurai tavai lapai, kura ir internetos. Par velti. Pavisam.

Pašlaik produkts ir publiskajā betā, bet tā kā ideja un viss pārējais ir atvērts, tad cilvēki jau labu laiku to attīsta, veido alternatīvus klientus, integrē visur, kur vajag un nevajag. Šodien pamēģināju uzlikt uz sava servera. Kā var redzēt, izdevās :)

Jebkura veida savienojums ar lāci nupat ir drošs.

Tehniski, viss, kas nepieciešams, ir uzinstalēt diezgan samuhļītu, bet strādājošu viņu klientu (vai uzrakstīt savu; vai paņemt izstrādē esošu alternatīvu) un palaist. Pirmajā reizē tiks uzdoti daži jautājumi, bet nākamajās tikai viens – “vai pāradresēt http uz https?”. Protams, jautājums ir – cik ļoti tu uzticies risinājuma, kurš uz tava servera kaut ko dara (instalē pakotnes, konfigurē apaci, ģenerē atslēgu pārus, utt).

Man uz Ubuntu, kurā beidzot pieturējos pie standarta virtuālo hostu nomenklatūras, viss notika neticami automātiski. Tādiem, kas negrib iedziļināties lietas būtībā, pieejamo rīku klāsts palielināsies, integrācija ar sistēmām uzlabosies.

Secinājums – lieliski. Beidzot vairs nav neviena paša argumenta pret to, lai tavai lapai nebūtu SSL. Ja nu vienīgi tie divi papildus HTTP(S) pieprasījumi. Net tas, takš, viss ir nieks.

Endijs Lisovskis

Ja uz savas kastes neko instalēt negribi/nevari, bet tomēr gribi SSL vari izmanto CloudFlare Flexible SSL. Tas gan nebūs kā smuks sertifikāts tavai lapai, taču gala lietotājam tāpat būs šifrēts saturs. Te gan ir jāuzticas CloudFlare ar savu traffic. Bet kaut kādiem blogiem utml., jau tā nav problēma. Tiem kuri nesaprata, Flexible SSL stradā sekojoši. Kad Jānis pieprasa lapu endijs.com, vispirms info saņem CloudFlare caur SSL. Tad CloudFlare sazinās ar serveri bez SSL, savāc response un atgriež lietotājam atkal jau šifrētu. Viens sīkums – Flexible SSL nestrādā uz Android 2.3.x telefoniem. :)

Mārtiņš

Jā, bet ja Endijs negrib neko instalēt uz server, tad Endijs var uz Windows’a dabūt savu LE sertifikātu un uzlikt uz servera. Nav jau nekāda “raķešzinātne”.

Es piemēram negribu uz sava servera ar root’u laist kaut kādus svešus skriptus, kas modificēs webservera konfigurāciju. LE sertifikāta dabūšanu var relatīvi viegli izdarīt kā nepriviliģēts lietotājs, un pēc tam atliek vienkārši pielabot webservera config failu, kas man jau ir izdarīts esošajam ssl sertifikātam.

laacz

Protams. Tev vienkārši. Citiem tā ir raķešzinātne. Kaut kā cilvēki mūždien aizmirst, ka visi nav kā viņi. Žēl, ka skolā nemāca psiholoģijas pamatus. Šis ir klasisks naive realism paraugs.

Mārtiņš

Nepiekrītu. Ja tu hostē webserveri, kuram tu gribi https, tad tev jāsaprot kā tas darbojas, kāpēc tas ir vajadzīgs un kā to nokonfiguret. Ja to nesaprot, tad visai ticami ka sataisīsi kaut kādu caurumu webservera konfigurācijā (ar LE automatizāciju vai bez), un ļaunie “hakeri” visu sabojās. Tas jau ne vienu vien reizi ir bijis publiski lasāms dažādās ziņu vietnēs.

KasparsM

Tu man paskaidro, kā šitas strādā? Ne tehniski, bet principiāli. Es biju ilūzijās, ka ssl sertifikāts ir ne tikai par šifrēšanu, bet arī īpašnieka identitātes apliecinātājs. Ja es atveru https://uzticiesman.lv, tad es nu ne uzticēties, bet vismaz zināt, ka mani apkrāpa kāds, kura eksistenci un identitāti sertifikāta izdevējs ir vismaz formāli pārbaudījis. Par to taču sertifikātu izdevēja iekasēja naudiņu, lai mēs visi sēdētu drošībā.

Bet tagad tu saki, ka var būt anonīms sertifikāts bez īpašnieka identitātes, un to lietotājs to nu nekādi nevar ar aci redzēt, kamēr neklikšķina bezjēgā?

Mārtiņš

Nē viņš to nesaka. Viņš saka “jebkurai **tavai** lapai”.

Lai dabūt SSL sertifikātu no Let’s Encrypt it jāvalidē domēns. Tā ir daļa no instalācijas procesa (automātiska vai manuāla).

Mārtiņš

Jā, sertifikātu viņi dod uz 90 dienām. Doma tāda – tāpēc ka sertifikāta dabūšana ir tik viegla (skripts visu izdara), tad to visu var darīt automātiski no crontab’a.

Iesniegt savu viedokli

Atruna par moderāciju. Daži vārdi, var gadīties, ka ir iz melnās listes (viagra and stuff). Tādi komentāri tiek aizturēti, pirms parādās lapā. Ja Tavs komentārs neparādās uzreizi, būs vien jāpagaida, līdz es jamo izlasīšu. Protams, ka paturu tiesības sev netīkošos komentārus dzēst, iemeslu neminot.