https

Обсуждаем сайт и форум.

Модератор: f0s

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

https

Непрочитанное сообщение hizel » 2017-05-08 11:18:46

Мне неприятно по http логинится к тебе, что в freebsd letsencrypt не завезли?
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

https

Непрочитанное сообщение f_andrey » 2017-05-08 14:32:30

Полностью поддерживаю нашего поня, а чего это вдруг не завезли https://crt.sh/?Identity=%25.freebsd.org
Это просто Лисс ретроград, он вон даже IPv6 до сих пор не прикрутил
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

https

Непрочитанное сообщение hizel » 2017-05-08 15:50:18

ну ipv6 по справедливости не особенно нужен, а вот без https совсем плохо, надеюсь Лис ни как Макс с opennet-а по идейным соображениям https игнорирует
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

https

Непрочитанное сообщение f_andrey » 2017-05-08 16:04:04

hizel писал(а): по идейным соображениям
Это ж что за идеи? :)
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

https

Непрочитанное сообщение Alex Keda » 2017-05-08 16:09:59

а в портах оно есть?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

https

Непрочитанное сообщение f_andrey » 2017-05-08 16:21:58

Да скокмо влезет
security/py-certbot - официальный какбе
security/letskencrypt - от братьев параноиков
security/py-acme-tiny - чё то мелкое
и ещё тыщи их, я вот думаю свежий модуль в ansible затестить
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

https

Непрочитанное сообщение Alex Keda » 2017-05-08 17:34:43

Код: Выделить всё

vm1# pkg search py-certbot
vm1# pkg search letskencrypt
vm1# pkg search py-acme-tiny
vm1# 
лыжи не едут?

Отправлено спустя 49 секунд:

Код: Выделить всё

vm1# cat /usr/local/etc/pkg/repos/FreeBSD.conf 
#
FreeBSD: { enabled: no }


FreeBSD-latest: {
        url: "pkg+http://pkg.FreeBSD.org/${ABI}/latest",
        mirror_type: "srv",
        signature_type: "fingerprints",
        fingerprints: "/usr/share/keys/pkg",
        enabled: yes
}

vm1# uname -a
FreeBSD vm1.lissyara.su 11.0-RELEASE-p1 FreeBSD 11.0-RELEASE-p1 #0 r306420: Thu Sep 29 01:43:23 UTC 2016     root@releng2.nyi.freebsd.org:/usr/obj/usr/src/sys/GENERIC  amd64
vm1# 
Убей их всех! Бог потом рассортирует...

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

https

Непрочитанное сообщение f_andrey » 2017-05-08 17:45:11

Ну ты как первый раз замужем :)

Код: Выделить всё

pkg search acme-client                                                                                                                                              
acme-client-0.1.16_1           Native C client for Let's Encrypt, designed for security                                                                                          
pkg search certbot                                                                                                                                                  
py27-certbot-0.13.0_1,1        Let's Encrypt client                                                                                                                              
pkg search acme-tiny                                                                                                                                                
acme-tiny-0.0.g.2016.08.18     Tiny script to issue and renew TLS certs from Let's Encrypt 
Хотя конечно друзья параноики вон переименовались, но тоже не большой секрет
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1316
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

https

Непрочитанное сообщение xM » 2017-05-08 17:50:49

Поддерживаю. Надо-надо. Товарищи майоры пусть дро... курят.
IT voodoo blog https://kostikov.co

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

https

Непрочитанное сообщение Alex Keda » 2017-05-08 18:12:21

viewforum.php?f=14

Отправлено спустя 17 секунд:
получите, распишитесь =)

Отправлено спустя 4 минуты 46 секунд:

Код: Выделить всё

vm1# certbot certonly --standalone -d www.lissyara.su
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
Obtaining a new certificate
Performing the following challenges:
tls-sni-01 challenge for www.lissyara.su

-------------------------------------------------------------------------------
Could not bind TCP port 443 because it is already in use by another process on
this system (such as a web server). Please stop the program in question and then
try again.
-------------------------------------------------------------------------------
бля, это на каждый виртуалост надо апача тормозить теперь?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

https

Непрочитанное сообщение f_andrey » 2017-05-08 18:14:42

Ещё себя пофиксь :) http://forum.lissyara.su/images/avatars ... in_pic.gif
Хотя хорошо бы ещё безусловный редирект на https, но для начала и так конечно сойдёт :)

А так глядишь со временем мы тебя и на v6 и на какой нибудь DNSSEC совратим :)
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

https

Непрочитанное сообщение Alex Keda » 2017-05-08 18:25:51

некогда мне себя фиксить
надо все вхосты на сервере этом к https подключать
иначе везде вместо сайтво будет первый открываться с https
апач жеж

Отправлено спустя 9 минут 6 секунд:
прицепил ко всему по сертфикату
посмотрим, как оно будет перевыпускаться-то...

и править всё надо, чтоб по https нормально было

не было печали - купила баба порося....
Убей их всех! Бог потом рассортирует...

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

https

Непрочитанное сообщение f_andrey » 2017-05-08 18:31:31

Alex Keda писал(а): не было печали - купила баба порося....
Ну а так как иначе то, только бежа вперёд, можно хотя бы не отстать :)
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

https

Непрочитанное сообщение Alex Keda » 2017-05-08 18:46:35

с сайтом проще всего было
в десятке мест поменял http: на https: и всё

Отправлено спустя 2 минуты 55 секунд:
а вообще, это гениальное маркетинговое решение, нельзя не признать
годика три-четыре поработать, а потом закрыть нафиг эту шаражку, или сделать платной - да хоть по баксу с носа.

если это придумка сторонних контор по выпуску сертфикатов - её прикроют
если их личная - то будет по баксу с носа =)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

https

Непрочитанное сообщение f_andrey » 2017-05-08 18:54:39

Кто ж их закроит, они же памятник, вроде как 2 лимона баксов в том году на 10-рых поделили и все довольны :)
Там же общий сговор, всяких там гуглоцисок и всего вот этого, летскрипт в общем то так вершинка айсберга ;)

Отправлено спустя 1 минуту 9 секунд:
Alex Keda писал(а): в десятке мест поменял http: на https: и всё
А зачем форум именно твою то аватарку по http тянут, где то захордкожено что ли так чудно?
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

https

Непрочитанное сообщение Alex Keda » 2017-05-08 19:18:13

у меня прямая ссылка на автару
поправил
Убей их всех! Бог потом рассортирует...

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

https

Непрочитанное сообщение f_andrey » 2017-05-08 19:23:05

О, да, теперь красивше, а то миксед контент понимаш ли, не по феншую.

Их кстати не обязательно так прям по одиночке выписывать, хотя иногда и удобнее. оно SAN и прочии IDN нормально поддерживает.
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1316
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

https

Непрочитанное сообщение xM » 2017-05-08 20:30:51

Alex Keda писал(а): vm1# certbot certonly --standalone -d http://www.lissyara.su
Зачем же standalone то? Понятно что он своё www соединение хочет организовывать.
Используйте webroot.
Типа как-то так.

Код: Выделить всё

# certbot certonly --agree-tos --email postmaster@lissyara.su --webroot -w /path/to/webroot/of/lissyara.su -d lissyara.su -d www.lissyara.su
Отправлено спустя 11 минут 46 секунд:
Alex Keda писал(а): годика три-четыре поработать, а потом закрыть нафиг эту шаражку, или сделать платной - да хоть по баксу с носа.
Чё-то FreeBSD пока ни с кого не собирает и не закрывается. ;-)
IT voodoo blog https://kostikov.co

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

https

Непрочитанное сообщение Alex Keda » 2017-05-08 21:15:10

всё по инструкции что порт предложил
--
тёплое и мягкое путаете

если они даже объявят что фря стала платной - форк и поехали
или пользуйся дальше пока не надоест

а тут три месяца - и всё. плати бабки им или ещё кому-то - комодо, верисигну ....
Убей их всех! Бог потом рассортирует...

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

https

Непрочитанное сообщение f_andrey » 2017-05-09 0:55:32

Так они же не просто так, там вот ентот acme протокол/стандарт, потом там есть boulder или как то около этого, инфраструктура по выпуску, потом сертификат-трансперанси что то типа общего лога, кто что понавыписывал. Пока в общем то не хватает, чтоб выписывать мог именно ты, а доверяли все (но ты уже можеш сказать какому именно выписывальшику доверяет твой домен CAA).
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1316
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

https

Непрочитанное сообщение xM » 2017-05-09 15:46:20

О, получилось! :-D

Отправлено спустя 2 часа 8 минут 57 секунд:
f_andrey писал(а): Пока в общем то не хватает, чтоб выписывать мог именно ты, а доверяли все
У Let's Encrypt есть возможность использовать CSR же. См., к примеру
https://www.m0d3rnc0ad.com/post/letencr ... n-your-csr
Если же вы о своём CA, то есть DANE. Который, впрочем, производители софта не спешат поддерживать по понятным причинам.
IT voodoo blog https://kostikov.co

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

https

Непрочитанное сообщение f_andrey » 2017-08-07 16:21:22

Ну что, проздравим, с первой проёбаной ротацией? :)
https://crt.sh/?q=%25.lissyara.su
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

https

Непрочитанное сообщение Alex Keda » 2017-08-07 16:49:35

а в кроне-то всё есть

Код: Выделить всё

vm1# crontab -l | tail -3
# перевыпуск сертфикатов
@daily                                  sleep `jot -r 1 3700 86400` && certbot renew >/dev/null 2>&1

vm1# 
я сразу писал что это голимная тема, но вы все орали что всё будет как в аптеке =)

Отправлено спустя 1 минуту 2 секунды:
смешно, короче
апач штоле тормозить надо на каждый чих?

Код: Выделить всё

vm1# certbot renew
Saving debug log to /var/log/letsencrypt/letsencrypt.log

-------------------------------------------------------------------------------
Processing /usr/local/etc/letsencrypt/renewal/forum.lissyara.su.conf
-------------------------------------------------------------------------------
Cert is due for renewal, auto-renewing...
Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
Renewing an existing certificate
Performing the following challenges:
tls-sni-01 challenge for forum.lissyara.su
Cleaning up challenges
Attempting to renew cert from /usr/local/etc/letsencrypt/renewal/forum.lissyara.su.conf produced an unexpected error: Could not bind TCP port 443 because it is already in use by another process on this system (such as a web server). Please stop the program in question and then try again.. Skipping.                                                             

-------------------------------------------------------------------------------
Processing /usr/local/etc/letsencrypt/renewal/www.lissyara.su.conf
-------------------------------------------------------------------------------
Cert is due for renewal, auto-renewing...
Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
Renewing an existing certificate
Performing the following challenges:
tls-sni-01 challenge for http://www.lissyara.su
Cleaning up challenges
Attempting to renew cert from /usr/local/etc/letsencrypt/renewal/www.lissyara.su.conf produced an unexpected error: Could not bind TCP port 443 because it is already in use by another process on this system (such as a web server). Please stop the program in question and then try again.. Skipping.                                                               

-------------------------------------------------------------------------------
Processing /usr/local/etc/letsencrypt/renewal/cacti.lissyara.su.conf
-------------------------------------------------------------------------------
Cert is due for renewal, auto-renewing...
Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
Renewing an existing certificate
Performing the following challenges:
tls-sni-01 challenge for cacti.lissyara.su
Cleaning up challenges
Attempting to renew cert from /usr/local/etc/letsencrypt/renewal/cacti.lissyara.su.conf produced an unexpected error: Could not bind TCP port 443 because it is already in use by another process on this system (such as a web server). Please stop the program in question and then try again.. Skipping.                                                             

-------------------------------------------------------------------------------
Processing /usr/local/etc/letsencrypt/renewal/gbi.lissyara.su.conf
-------------------------------------------------------------------------------
Cert is due for renewal, auto-renewing...
Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
Renewing an existing certificate
Performing the following challenges:
tls-sni-01 challenge for gbi.lissyara.su
Cleaning up challenges
Attempting to renew cert from /usr/local/etc/letsencrypt/renewal/gbi.lissyara.su.conf produced an unexpected error: Could not bind TCP port 443 because it is already in use by another process on this system (such as a web server). Please stop the program in question and then try again.. Skipping.

-------------------------------------------------------------------------------
Processing /usr/local/etc/letsencrypt/renewal/home.lissyara.su.conf
-------------------------------------------------------------------------------
Cert is due for renewal, auto-renewing...
Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
Renewing an existing certificate
Performing the following challenges:
tls-sni-01 challenge for home.lissyara.su
Cleaning up challenges
Attempting to renew cert from /usr/local/etc/letsencrypt/renewal/home.lissyara.su.conf produced an unexpected error: Could not bind TCP port 443 because it is already in use by another process on this system (such as a web server). Please stop the program in question and then try again.. Skipping.

-------------------------------------------------------------------------------
Processing /usr/local/etc/letsencrypt/renewal/lissyara.su.conf
-------------------------------------------------------------------------------
Cert is due for renewal, auto-renewing...
Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
Renewing an existing certificate
Performing the following challenges:
tls-sni-01 challenge for lissyara.su
Cleaning up challenges
Attempting to renew cert from /usr/local/etc/letsencrypt/renewal/lissyara.su.conf produced an unexpected error: Could not bind TCP port 443 because it is already in use by another process on this system (such as a web server). Please stop the program in question and then try again.. Skipping.

-------------------------------------------------------------------------------
Processing /usr/local/etc/letsencrypt/renewal/wiki.lissyara.su.conf
-------------------------------------------------------------------------------
Cert is due for renewal, auto-renewing...
Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
Renewing an existing certificate
Performing the following challenges:
tls-sni-01 challenge for wiki.lissyara.su
Cleaning up challenges
Attempting to renew cert from /usr/local/etc/letsencrypt/renewal/wiki.lissyara.su.conf produced an unexpected error: Could not bind TCP port 443 because it is already in use by another process on this system (such as a web server). Please stop the program in question and then try again.. Skipping.

-------------------------------------------------------------------------------
Processing /usr/local/etc/letsencrypt/renewal/www.depevo.ru.conf
-------------------------------------------------------------------------------
Cert is due for renewal, auto-renewing...
Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
Renewing an existing certificate
Performing the following challenges:
tls-sni-01 challenge for http://www.depevo.ru
Cleaning up challenges
Attempting to renew cert from /usr/local/etc/letsencrypt/renewal/www.depevo.ru.conf produced an unexpected error: Could not bind TCP port 443 because it is already in use by another process on this system (such as a web server). Please stop the program in question and then try again.. Skipping.

All renewal attempts failed. The following certs could not be renewed:
  /usr/local/etc/letsencrypt/live/forum.lissyara.su/fullchain.pem (failure)
  /usr/local/etc/letsencrypt/live/www.lissyara.su/fullchain.pem (failure)
  /usr/local/etc/letsencrypt/live/cacti.lissyara.su/fullchain.pem (failure)
  /usr/local/etc/letsencrypt/live/gbi.lissyara.su/fullchain.pem (failure)
  /usr/local/etc/letsencrypt/live/home.lissyara.su/fullchain.pem (failure)
  /usr/local/etc/letsencrypt/live/lissyara.su/fullchain.pem (failure)
  /usr/local/etc/letsencrypt/live/wiki.lissyara.su/fullchain.pem (failure)
  /usr/local/etc/letsencrypt/live/www.depevo.ru/fullchain.pem (failure)
8 renew failure(s), 0 parse failure(s)
vm1# 
Убей их всех! Бог потом рассортирует...

Аватара пользователя
f_andrey
майор
Сообщения: 2651
Зарегистрирован: 2007-12-26 1:22:58
Откуда: СПб
Контактная информация:

https

Непрочитанное сообщение f_andrey » 2017-08-07 17:12:17

А... тьфу блин, ну так ты сделай "заглушку" для чекалки, в nginx это так выглядит

Код: Выделить всё

    location /.well-known/acme-challenge/ {
      allow all;
      access_log /home/logs/www/acme-access.log vhosts;
      try_files $uri /dev/null =404;
    }
Ну и не давать ему запускаться как выделеный сервис, там есть какой то режим вроде, когда сервер у тебя уже есть и без него
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

https

Непрочитанное сообщение Alex Keda » 2017-08-07 17:29:00

да я сделал стоп апача, запуск, старт
Убей их всех! Бог потом рассортирует...