Страница 1 из 1

https

Добавлено: 2017-05-08 11:18:46
hizel
Мне неприятно по http логинится к тебе, что в freebsd letsencrypt не завезли?

https

Добавлено: 2017-05-08 14:32:30
f_andrey
Полностью поддерживаю нашего поня, а чего это вдруг не завезли https://crt.sh/?Identity=%25.freebsd.org
Это просто Лисс ретроград, он вон даже IPv6 до сих пор не прикрутил

https

Добавлено: 2017-05-08 15:50:18
hizel
ну ipv6 по справедливости не особенно нужен, а вот без https совсем плохо, надеюсь Лис ни как Макс с opennet-а по идейным соображениям https игнорирует

https

Добавлено: 2017-05-08 16:04:04
f_andrey
hizel писал(а):Источник цитаты по идейным соображениям

Это ж что за идеи? :)

https

Добавлено: 2017-05-08 16:09:59
Alex Keda
а в портах оно есть?

https

Добавлено: 2017-05-08 16:21:58
f_andrey
Да скокмо влезет
security/py-certbot - официальный какбе
security/letskencrypt - от братьев параноиков
security/py-acme-tiny - чё то мелкое
и ещё тыщи их, я вот думаю свежий модуль в ansible затестить

https

Добавлено: 2017-05-08 17:34:43
Alex Keda

Код: Выделить всё

vm1# pkg search py-certbot
vm1# pkg search letskencrypt
vm1# pkg search py-acme-tiny
vm1#

лыжи не едут?

Отправлено спустя 49 секунд:

Код: Выделить всё

vm1# cat /usr/local/etc/pkg/repos/FreeBSD.conf
#
FreeBSD: { enabled: no }


FreeBSD-latest: {
        url: "pkg+http://pkg.FreeBSD.org/${ABI}/latest",
        mirror_type: "srv",
        signature_type: "fingerprints",
        fingerprints: "/usr/share/keys/pkg",
        enabled: yes
}

vm1# uname -a
FreeBSD vm1.lissyara.su 11.0-RELEASE-p1 FreeBSD 11.0-RELEASE-p1 #0 r306420: Thu Sep 29 01:43:23 UTC 2016     root@releng2.nyi.freebsd.org:/usr/obj/usr/src/sys/GENERIC  amd64
vm1#

https

Добавлено: 2017-05-08 17:45:11
f_andrey
Ну ты как первый раз замужем :)

Код: Выделить всё

pkg search acme-client                                                                                                                                             
acme-client-0.1.16_1           Native C client for Let's Encrypt, designed for security                                                                                         
pkg search certbot                                                                                                                                                 
py27-certbot-0.13.0_1,1        Let's Encrypt client                                                                                                                             
pkg search acme-tiny                                                                                                                                               
acme-tiny-0.0.g.2016.08.18     Tiny script to issue and renew TLS certs from Let's Encrypt

Хотя конечно друзья параноики вон переименовались, но тоже не большой секрет

https

Добавлено: 2017-05-08 17:50:49
xM
Поддерживаю. Надо-надо. Товарищи майоры пусть дро... курят.

https

Добавлено: 2017-05-08 18:07:35
Alex Keda
https://forum.lissyara.su/viewforum.php?f=14

Отправлено спустя 17 секунд:
получите, распишитесь =)

Отправлено спустя 4 минуты 46 секунд:

Код: Выделить всё

vm1# certbot certonly --standalone -d www.lissyara.su
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
Obtaining a new certificate
Performing the following challenges:
tls-sni-01 challenge for www.lissyara.su

-------------------------------------------------------------------------------
Could not bind TCP port 443 because it is already in use by another process on
this system (such as a web server). Please stop the program in question and then
try again.
-------------------------------------------------------------------------------

бля, это на каждый виртуалост надо апача тормозить теперь?

https

Добавлено: 2017-05-08 18:14:42
f_andrey
Ещё себя пофиксь :) images/avatars/gallery/kino_heroes/admin_pic.gif
Хотя хорошо бы ещё безусловный редирект на https, но для начала и так конечно сойдёт :)

А так глядишь со временем мы тебя и на v6 и на какой нибудь DNSSEC совратим :)

https

Добавлено: 2017-05-08 18:25:51
Alex Keda
некогда мне себя фиксить
надо все вхосты на сервере этом к https подключать
иначе везде вместо сайтво будет первый открываться с https
апач жеж

Отправлено спустя 9 минут 6 секунд:
прицепил ко всему по сертфикату
посмотрим, как оно будет перевыпускаться-то...

и править всё надо, чтоб по https нормально было

не было печали - купила баба порося....

https

Добавлено: 2017-05-08 18:31:31
f_andrey
Alex Keda писал(а):Источник цитаты не было печали - купила баба порося....

Ну а так как иначе то, только бежа вперёд, можно хотя бы не отстать :)

https

Добавлено: 2017-05-08 18:46:35
Alex Keda
с сайтом проще всего было
в десятке мест поменял http: на https: и всё

Отправлено спустя 2 минуты 55 секунд:
а вообще, это гениальное маркетинговое решение, нельзя не признать
годика три-четыре поработать, а потом закрыть нафиг эту шаражку, или сделать платной - да хоть по баксу с носа.

если это придумка сторонних контор по выпуску сертфикатов - её прикроют
если их личная - то будет по баксу с носа =)

https

Добавлено: 2017-05-08 18:54:30
f_andrey
Кто ж их закроит, они же памятник, вроде как 2 лимона баксов в том году на 10-рых поделили и все довольны :)
Там же общий сговор, всяких там гуглоцисок и всего вот этого, летскрипт в общем то так вершинка айсберга ;)

Отправлено спустя 1 минуту 9 секунд:
Alex Keda писал(а):Источник цитаты в десятке мест поменял http: на https: и всё

А зачем форум именно твою то аватарку по http тянут, где то захордкожено что ли так чудно?

https

Добавлено: 2017-05-08 19:18:13
Alex Keda
у меня прямая ссылка на автару
поправил

https

Добавлено: 2017-05-08 19:23:05
f_andrey
О, да, теперь красивше, а то миксед контент понимаш ли, не по феншую.

Их кстати не обязательно так прям по одиночке выписывать, хотя иногда и удобнее. оно SAN и прочии IDN нормально поддерживает.

https

Добавлено: 2017-05-08 20:30:51
xM
Alex Keda писал(а):Источник цитаты vm1# certbot certonly --standalone -d http://www.lissyara.su

Зачем же standalone то? Понятно что он своё www соединение хочет организовывать.
Используйте webroot.
Типа как-то так.

Код: Выделить всё

# certbot certonly --agree-tos --email postmaster@lissyara.su --webroot -w /path/to/webroot/of/lissyara.su -d lissyara.su -d www.lissyara.su


Отправлено спустя 11 минут 46 секунд:
Alex Keda писал(а):Источник цитаты годика три-четыре поработать, а потом закрыть нафиг эту шаражку, или сделать платной - да хоть по баксу с носа.

Чё-то FreeBSD пока ни с кого не собирает и не закрывается. ;-)

https

Добавлено: 2017-05-08 21:15:10
Alex Keda
всё по инструкции что порт предложил
--
тёплое и мягкое путаете

если они даже объявят что фря стала платной - форк и поехали
или пользуйся дальше пока не надоест

а тут три месяца - и всё. плати бабки им или ещё кому-то - комодо, верисигну ....

https

Добавлено: 2017-05-09 0:55:32
f_andrey
Так они же не просто так, там вот ентот acme протокол/стандарт, потом там есть boulder или как то около этого, инфраструктура по выпуску, потом сертификат-трансперанси что то типа общего лога, кто что понавыписывал. Пока в общем то не хватает, чтоб выписывать мог именно ты, а доверяли все (но ты уже можеш сказать какому именно выписывальшику доверяет твой домен CAA).

https

Добавлено: 2017-05-09 15:46:20
xM
О, получилось! :-D

Отправлено спустя 2 часа 8 минут 57 секунд:
f_andrey писал(а):Источник цитаты Пока в общем то не хватает, чтоб выписывать мог именно ты, а доверяли все

У Let's Encrypt есть возможность использовать CSR же. См., к примеру
https://www.m0d3rnc0ad.com/post/letencr ... n-your-csr
Если же вы о своём CA, то есть DANE. Который, впрочем, производители софта не спешат поддерживать по понятным причинам.