klink0v (klink0v) wrote,
klink0v
klink0v

Let's encrypt!

Мало ли, вдруг кто пропустил.

Относительно недавно в этих наших энторнетах появился новый сервис под названием "Let's encrypt". Примечателен он тем, что совершенно безвозмездно, то есть даром, раздаёт в неограниченных количествах всем желающим годные валидные SSL-сертификаты для всяких сайтиков, апачей и прочих SSL-сервисов. При этом взамен не требует абсолютно ничего, даже регистрации. Я проверил, это действительно работает. Браузеры не ругаются, говорят что всё ОК. Подтверждение владения доменом осуществляется либо внесением записей в DNS, либо созданием страничек с хитрыми наперёд заданными URLами.

Одно "но". Там нет ни "личного кабинета", ни привычного веб-интерфейса, как у того же StartSSL. Всё взаимодействие с сервисом осуществляется при помощи набора специальных Python-овских скриптов, которые нужно скачать с GitHub-а и запустить у себя на сервере. Для особо ленивых одминов вроде меня эти же скрипты уже оформлены в виде пакетов в составе наиболее популярных Linux-дистрибутивов. В качестве приятного бонуса эти же скрипты могут автоматически внести изменения в конфигурационные файлы веб-сервера. Однако, есть и некоторые нюансы (см. ниже).

Достоинства такого подхода.


  • Халява!!!11 "Много счастья, всем и даром". ©

  • Простота. "И не надо ничего знать, только скриптики запускать..." ©

  • Широкие возможности для автоматизации ("пыщь — и готово").

  • Можно указывать сколько угодно доменов в поле DNSAlternativeName.

Недостатки.


  • Сертификаты выпускаются сроком всего на три месяца. После чего их надо обновлять-продлевать всё тем же скриптом.

  • Пока что скрипты умеют нормально взаимодействовать только с Apache. Для Nginx и прочих подсовывать сертификаты "придётся вручную" ©.

  • Принципиально не дают wildcard-сертификаты (а кто их вообще даёт нахаляву?).

  • Сертификаты они выпускают таки слегка кривые. Из-за весьма своеобразного заполнения поля CertificatePolicy им наотрез отказывается верить Windows XP в любых видах и проявлениях. С более современными операционными системами проблем нет.

В-общем, штука интересная. Тот же StartSSL тоже может предоставить бесплатный сертификат, но с существенными ограничениями: только для частного использования физическим лицом, на один год и только для одного домена (плюс один поддомен в AltName). LetsEncrypt даёт сколько хочешь, кому хочешь, но только на три месяца и с некоторыми заморочками. Но если припрёт, то вполне можно пользоваться.
Tags: it, x509, безопасность, интернетное, технологии
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 4 comments