letsencrypt ingyenes tanusítvány megbízhatóság

Security-all

Sziasztok!

Adott egy web szerver, amely szerveren minden weboldal https-en keresztül kell, hogy elérhető legyen.

Soha nem volt dolgom még tanúsítványokkal, ezért utánaolvastam a témának.

Tekintve, hogy nekünk 5 féle aldomain igényli a tanúsítványt, ezért úgy gondolom , hogy a Wildcard domain ellenőrző tanúsítványra (RapidSSL Wildcard vagy Comodo Positive SSL Wildcard) lesz szükségünk, mert az , ha jól olvastam, akkor az adott domain név összes aldomainjét hitelesíti.

A szolgáltatók többsége wildcard ssl tanusítványt 29 000 - 33 0000 ft közötti áron szolgáltat.

Viszont szóba jött egy olyan lehetőség, hogy a letsencrypt.org szolgáltató által igénylünk ingyenesen tanusítványt, ami a fórumok szerint , egyszerű, ingyenes, biztonságos, de arra sajnos sehol nem találtam választ, hogy a free verzió biztosít-e wildcard ssl-t.

A másik dolog, hogy a főnököm meg van róla teljes mértékben bizonyosodva, hogy nem kell a wildcard ssl , hanem minden egyes aldomainhez külön igényel 2 800 Ft/ aldomain áron tanusítványt, így 16 000 Ft-ot spórolunk akkor is, ha nem a letsencrypt.org által szolgáltatott tanúsítványt választjuk.

1. Kérdés: Szerintetek jó megoldás az, hogy nem wildcard ssl, hanem aldomainenkent egy tanusitvanyt igenylunk, egyaltalan kivitelezheto ez?

2. Kérdés: Van esetleg tapasztalatotok a letsencrypt.org szolgáltatóval, vagy a hasonló ingyenes ssl szolgáltatókkal kapcsolatban?

Előre is köszönöm a segítséget!

( toMpEr | 2016. 12. 27., k – 19:01 )

Szerintem jo megoldas, max 100 domaint rakhatsz egy letsencryptes cert-be, en igy szoktam igenyelni/frissiteni:

./letsencrypt-auto certonly -d domain.hu -d sub.domain.hu -d sub2.domain.hu --webroot -w /var/www/domain

Wildcard nincs a lejarat meg 3 honap, igy erdemes crontabba rakni ezt a parancsot.

+1, sőt a script-ek, amit "adnak" hozzá intelligensek, ha 30 napon belül van a lejárat, akkor nem is mennek el a szerverre, újat kérni. Akár "0 */4 * * *"-ot is adhatsz neki (asszem a doksiban ezt javasolják), azaz 4 óránként próbál újat kérni, ha kell.

----------------
symbolweb.hu

( meridian v | 2016. 12. 27., k – 19:02 )

Hamár felmerült ez a kérdés, akkor különböző domain nevekre, melyek egy ip címen leledzenek milyen tanusítvány kellene ?

Ha minden régi klienst és/vagy olyan protokollt is támogatnod, amiben nincs SNI (Server Name Indication - kiterjesztés az SSL/TLS-hez, hogy a kliens el tudja küldeni, ő milyen címen találta meg a gépet, hogy a szerver az ahhoz a címhez érvényes certet tudja az arcába tolni), akkor egy naaaagy cert, subjectAltName-ben felsorolva minden.
Ha elég az SNI-képes dolgokkal foglalkoznod (XP+IE6 fölött ill. Android 4.0 fölött gyakorlatilag minden), akkor külön tanúsítvány / domain név.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

( seferbt v | 2016. 12. 27., k – 19:13 )

Mi a letsencrypt cert-eket teszt és "játszós" rendszereken használunk. Jellemzően nincs velük gond, a böngészők többsége gond nélkül elfogadja. Viszont lényeges különbség a fizetős tanúsítványokhoz képest, hogy 90 naponta lejárnak, ami üzemeltetési szempontból jelent némi kényelmetlenséget, bár egy cron job-bal elvileg könnyen orvosolható a probléma.

Az aldomainenkénti tanúsítvány is működik, csak épp nem a főnököd fog vele dolgozni. Ez még 5 cert-nél nem a világ, még kezelhető. Igazá2ól azt kell eldönteni, hogy mennyire kell komoly tanúsítvány. Mondjuk ha "vérkomolyba" nyomod és az jön ki, hogy kell a dokumentum hitelesített, "A" osztályú, akkor az sok pénz, de cserébe ott van egy elég komoly felelősségbiztosítás is mögötte.

( gelei v | 2016. 12. 27., k – 19:29 )

> megbízhatóság

Nem kevésbé megbízható mint a pénzért vett: a technológia ugyanaz mögötte, a bizalmi rendszer pedig ugyanolyan adottság, amit vagy elfogadsz, vagy nem. Ez utóbbit neked kell eldöntened, hogy kiben mennyire bízol meg.

( s_balazs | 2016. 12. 27., k – 19:38 )

A Let’s Encrypt ma már elég elterjedt, szkriptből könnyű karbantartani. Itt egy lista, hogy milyen böngészőkben/eszközökön működik: https://letsencrypt.org/docs/certificate-compatibility/

Ha üzleti igény, hogy "mindenhol mennie kell", akkor ma még a fizetős változatok játszanak csak (régebbi mobilok és otthon porosodó Windows XP gépek miatt leginkább). A wildcard előnye, hogy csak egy tanúsítványt kell karbantartani és cserébe korlátlan számú aldomainra érvényes. Aldomain aldomainére viszont nem, azaz *.domain.com-os tanúsítvánnyal ez nem megy: foo.bar.domain.com

Kivitelezhető az aldomainenkénti cert, de egy bizonyos darabszám felett a karbantartása nehézkes - mondjuk nem 5 darabnál és inkább ha más-más időpontban járnak le.

OFF: A főnököd elfelejtette a plusz munkádat beleszámolni az összehasonlításba. ;)

OFF: A főnököd elfelejtette a plusz munkádat beleszámolni az összehasonlításba. ;)

Ez egy ötkilences, ugyanis a vezetők kb. ennyi százalékban nem gondolnak bele abba, hogy az emberük ideje is pénzbe kerül nekik. Mert az nem jelenik meg számla formájában a pénzügyön (hacsak nem külsős az illető), így a logikájuk szerint az emberóra nem kerül pénzbe, hiszen úgyis megkapja a fizetését. ;) Hogy ezen idő alatt mást is tudna csinálni, ami több pénzt hozna a cégnek, az már erős túlgondolása a dolgoknak. :D

Az inkompatiblitási listában is a legtöbb esetben esetben "csak" a gyökértanúsítvány hiányzik.

A Blackberry OS-ben például nagyon kevés CA-van benne, aki használni akarja kénytelen saját maga kibővíteni a listát. Az IdenTrust bekerülésével pedig kiválóan menni fog a letsencrypt. (Én is OS10-et használok.)

Igen, megy. Játszós gépen nginx-nek a cert-et adtam meg, a desktop chrome nem problémázott érte csak a mobil. A fullchain-t megadva cert-nek mobilon is jó. (Azért nem foglalkoztam komolyabban a dologgal mert nem cél a mobil, ami elérhető rajta az mobilon használhatatlan. De így tisztább, szárazabb érzés.)

( Lacyc3 v | 2016. 12. 28., sze – 21:15 )

Több helyen használom, eddig teljesen jó.
Én kézzel újítom három havonta (szkepticizmus rulz), csak hogy lássam van-e a folyamatban gikszer. Eddig minden teljesen rendben volt, nyugodtan scriptelhető, jövőre én is fogom. Ahogy fentebb is említette kolléga, csak az ócska rendszerek nem ismerik el megbízhatónak a Let's Encrypt-es tanúsítványokat.

( pantomin | 2016. 12. 29., cs – 13:29 )

Teljesen laikusként kérdezem a hozzáértőket, hogy a Let's Encrypt scriptje mennyire jelent biztonsági kockázatot a rendszerre? Ha jól tudom mégiscsak root jogokkal fut, és egy harmadik féltől származó "ismeretlen" scriptet mégis csak kétséges root jogokkal éles rendszerre ráengedni. Vagy csak én vagyok nagyon paranoiás?

A világ IQ-ja állandó, csak egyre többen vagyunk rá....

Root jogok nelkul is fut ./letsencrypt-auto certonly -d domain.hu -d sub.domain.hu -d sub2.domain.hu --webroot -w /var/www/domain
Igy csak a /var/www/domain-hez (a domain tulajdonsoganak validalasahoz van ra szukseg) es /etc/letsencrypt -hez kell irasjog (ide rakja majd a cert-et).

De ezzel pl online is el tudod vegezni a folyamatot: https://gethttpsforfree.com/

( andrej_ v | 2016. 12. 30., p – 00:15 )

A több tanusítvány teljesen jó megoldás, de a wildcard adminisztrációs oldalról egyszerűbb és később sincs gond újabb hosztnevekkel. Aminek még nézzetek utána, hogy több tanusítványkiadó már ad néhány SAN (jelen esetben subject alternate names) tanúsítványt is és ezzel mégjobban leszorítható a költség. Én személy szerint attól tartok, hogy óradíjban a 5db CSR + telepítgetés/aláírás többe kerül, mint egy wildcard tanusítvány.

( NevemTeve | 2016. 12. 30., p – 07:58 )

Igazából (de ez titok, maradjon közöttünk), az ilyen tanusítványok két dolgot jelenthetnek:

1. képes voltál fizetni X összeget egy hitelesítésszolgáltatónak, akiről egyébként semmit sem tudsz, és ő sem rólad
2. nem fizettél, de képes voltál self-signed certificate-et generálni

Akkor már inkább a második, ha engem kérdezel...

( seferbt v | 2016. 12. 30., p – 23:06 )

Van most egy Indegogo kampányuk, amiben szeretnének a folytatáshoz 200.000.- USD összeszedni, kb. a fele már megvan, lehet őket támogatni.

Szerintem egyszeri 200k USD a cél, havi 200 sok lenne...

Így már logikus, hogy miért adták eddig ingyen. Sajnos ez a freessl is kiesik pár hónap múlva...még jó hogy kevés ügyfelünknek adtunk ilyet.

ps: http://fontawesome.io/icons/ is szépen ment, rengeteg oldal használja. Most pedig épp elő lehet fizetni rá. Ez a mesterkélt/késleltetett füssőgég (aka. addikció, lásd kábítószerek) nem bicskanyitogató?

Lehet, de pl van egy NAS-om, rajta néhány film, stb. Le akarom játszani chromecaston. A http-t tiltottam.
A chromecast csak akkor játsza le https-en, ha alá van írva.

A TOR ugyancsak nem biztonságos, végül is az Amerikai Egyesült Államok tengerészgyalogsága fejlesztette éveken át, nem gondolom, hogy nem hagytak benne kiskaput.

Igen, ahogy írják és idézted, egy havi költségüket fedezi, amiben benne vannak a fejlesztések, amit terveznek. Azt sehol nem írják, hogy ezt minden hónapban össze akarják kalapozni. Fejleszteni akarnak, ehhez kell nekik +1 havi költségkeret. Nem is lenne értelme a havi üzemeltetést ebből finanszírozni, mert kb. 2 hónapja fut a gyűjtés, és még csak a felénél tartanak. Azaz 1 hónapnyi pénz legalább 4 hónap alatt jön össze, ha nem lassul a gyűjtés üteme.

Egy szóval sem irják, hogy fedezné a havi költségüket. Inkább csak belesegit.
Mivel valóban jó, ha 4 hónap alatt össze tuják kalapozni nyilván nem havonta kérik.
Hogy ki fizeti a többit azt nem tudom, de nem tűnik túl fenntarthatónak, ha igaz amit irnak.

Egyébként azt sem irták, hogy fejlesztésre kellene. Hardver, szoftver, munkabérre kérik, amelyek (együtt) a jelenlegi rendszer felügyeletét, növekedését szolgálják. Tehát nem egy adott, új fejlesztésre kérik a pénzt. A mindennapi működésük 1 havi költségéhez való hozzájárulására kérik.

Hát majd kiderül. Amit írnak, azét én úgy értelmeztem, hogy a fejlesztéshez kell plusz pénz (nem csak a szoftver fejlesztést értem alatta), és ebből tervezik fedezni. Én fizetés után tolok nekik pár USD-t, abba nem halok bele, főleg úgy, hogy használom is, amit csinálnak. Nekik meg segítség.

Szerintem még így is olcsó lenne. 200k * 12 hó = 2,4 millió dodó. Ha használja ezt 1 millió user akkor ez évente 2,4 dodó mindenre, miközben az olcsó DV cert-ek 5 dodó körül vannak a piacon per site. Ha 10 millió userrel számolunk akkor máris csak negyed dodó, 75 Ft évente.

Ha meg 1 milliárd userrel számolunk, akkor még kevesebb... :)

De itt nem arról beszélgetünk, hogy a kereskedelmi certificate-ekhez képest mennyibe kerül egy certificate. Hanem, hogy normális-e ennyi pénz erre a rendszerre, ami még csak nem is fedezi az 1 havi költségüket sem.

1 millió user 1 évben elvileg 4 db alkalommal kér tőlük 1 certificate-et meg validationt. Percenként, fél percenként egy kérés? Ennek a fenntartása kerülne 60+ millió ft-ba HAVONTA?

De még 10 millió userrel is csak 3 másodpercenként esne be egy kérés. De ez mindegy is, ha mondjuk naponta kéne certet cserélni, még akkor is erősnek érezém a 60 milliót/hó, nemhogy igy.

Szerintem elszámoltad (vagy én), 1m user évente 4x az 7,9 sec, 10 millával nyilván a tizede. De az évente 4 cert se jön ki (90*4 < 365), legyen öt. Aztán vannak még crl-ek és stb.

A 200k dodó szerintem egyáltalán nem sok, már ha nem garázscég és a "fejlett világban" van. Usákban egy átlag IT-sra számolhatsz évente 80-100k dodót, néha sokkal többet. Itt inkább többet, mert a HQ Frisco-ban van és a legendásan drága Bay Area a fizetést is felnyomja, pláne hogy komoly hiány van arrafelé mindenféle IT-s emberből. Gondolom nem 1 man show a project, szóval 20 - az usák átlagtól kicsit jobban - fizetett IT ipari dolgozóval számolva máris elment 200k USD havonta. És akkor nem költöttek irodára, infrastruktúrára, nincs üffélszolgálat, vízfej, stb.

A számitásban igazad van, inkább 1 másodpercenként lehet egy kérés 10 millió userrel. De az még mindig egy nagy nulla.

Én is attól félek, hogy lehet, hogy 20 mocskosul túlfizetett ember kell ennek a rendszernek a fenntartásához, ami elég durva.
De ez mind találgatás, mivel nem részletezték, hogy mire is kell az hónapot sem fedező 200k.

Ezek nem túlfizetett emberek, arrafelé ez az IT-s bér. Két éve 100k fölött volt az éves fizetés arrafelé a külföldi munkavállalóknak...

A 20 ember pedig nem hiszem hogy sok lenne, a 7/24 lefedéséhez kell legalább 4 ember (3x8 óra rotálva), és egy ember nem ember, jobb helyen minimum párban vannak. És akkor ők semmit se csinálnak, csak ügyeletben felügyelik a rendszert.
A 7/24/365 pedig eléggé alap kritikus infrastruktúránál.

Ez egy certificate kiadó rendszer, nem túl jó ötlet külsősöket a közelébe engedni. Ettől függetlenül nem értem miért kellene a 24/7/365 ügyelet erre a rendszerre, egyáltalán nem annyira kritikus a folyamatos üzem mint elsőre tűnne. A certek megújítási időablaka bő 2 hét, egyáltalán nem szabadna komoly gondot okozzon akár 24 óra teljes kiesés sem.

Mitől kritikus?

Ha már kiadta a tanúsítványodat, akkor neked számít az, ha a következő napon karbantartás miatt mondjuk nem elérhetőek pár óráig? Vagy pár napig?

Vagy mire gondoltál?
Sürgősen vissza kell vonni egy tanúsítványt? (Nem tudom, hogy let's encrypt alatt hogyan megy a visszavonás, ha van egyáltalán).
Milyen esetben kell a CA-nak 24 órában elérhetőnek lennie?

OCSP? (aktív cucc) CRL? (ezt mondjuk akár egy cloudflare-re is fel lehetne tolni)

Egyébként meg onnantól kezdve, hogy egy CA-ra azt mondod, hogy megbízható, annak "illik" nagyon jó biztonsági előírásokkal és megszorításokkal dolgozni, nem szerencsés, ha outsource-olva van bármi komolyabb (pl. VM-ben fut, akkor akinek hozzáférése van a hypervisorhoz, annak a CA kulcsaihoz is). És persze a lehető legkevesebb embernek szabad csak hozzáférnie, mert nem szerencsés az audit logok alapján _utólag_ mutogatni valakire, aki mégse volt annyira megbízható.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Azon gondolkodtam, mire kell 24/7

Ha kell nekem egy új cert, valószínű tudok várni vele a következő munkanap reggelig. Vagy ha nem, akkor keresek másik céget, ahol hétvégén hajnal kettőkor is tudok venni egyet.

De vajon hány olyan ügyfél van, aki nem tud várni? Megéri ezért éjszakai műszakban embereket foglalkoztatnom, ha én vagyok a kibocsátó?

Nem tudom, pontosan miket csinál egy ilyen cég azon kívül, hogy az általam beküldött tanúsítványt aláírja egy kis ellenőrzés után. - Ezt nem gondolom kritikus, 24/7-es tevékenységnek.

Ezért kérdeztem, mi más van, amihez szükséges, hogy folyamatosan ott legyenek, folyamatosan éljen a rendszer.

Mi van, ha mondjuk hiba, betörés, akármi miatt leáll a weblap?
Én azt hívom kritikus rendszernek, ahol ilyen esetben más rendszerek is szívnak. Mondjuk ha minden https kapcsolat esetén elmenne a browser a CA-hoz, és egy online felületen lekérdezné, hogy az adott tanúsítvány rendben van-e. Szóval ha ilyen lenne a rendszer, a CA leáll, akkor az összes weblap, ami tőlük szerzett tanúsítványt, szívna.

De a mostani rendszerben, ha a tanúsítványom, és a teljes chain ott van a szerveremen, a browser ismeri a kibocsátót, akkor ha a CA leáll, attól én még tudok https felett hupot olvasni, vagy bankolni vagy vásárolni. Emiatt úgy gondolom, nem kritikus.

Nem tudom, van-e, és ha igen, hogyan működik mondjuk ellopott kulcshoz tartozó tanúsítvány letiltása. Ha ezt a kibocsátó intézi, akkor ez pl. simán lehet egy olyan szituáció, ahol nem jó, ha várni kell - erre simán elfogadom, ha kell a 24/7.

De szeretném, ha valaki leírná, miket csinál a CA, hogy lássam, mert most csak találgatok.

Nem tudom, van-e, és ha igen, hogyan működik mondjuk ellopott kulcshoz tartozó tanúsítvány letiltása.

Erre van az a fenti kettő, amit írtam. A régi megoldás (Certificate Revocation List, CRL) simán egy a CA kulcsával aláírt gyűjtemény a kompromittált kulcsok sorozatszámairól, saját lejárati idővel, ami gyakorlatilag bárhol lehet. (Ez a CRL Distribution Points néven fut az Extensions részben Firefoxban a tanúsítvány adatainál - LE-nél pl. http://crl.identrust.com/DSTROOTCAX3CRL.crl). A modernebb megoldás, az OCSP (Online Certificate Status Protocol) kérés-válasz elven működik, annál egy-egy certről tudod lekérni, hogy "ezt még nem vonták vissza, igaz?". [mivel ez azért szép nagy terhelést generálhat a CA-nál, az OCSP Stapling is van, aminél a te SSL-es szervered kér egy aláírt igazolást a CA-tól, hogy nincs visszavonva a tanúsítvány és azt leküldi a kliensnek - de időnként ehhez is kell a CA] - szerk.: az LE OCSP-re a http://isrg.trustid.ocsp.identrust.com-t használja

--
szerk: a két URL-t benéztem (rossz certet jelöltem ki :) ), azok az LE intermediary-t aláíró IdenTrust szerverei. Az LE által kibocsátottak OCSP-n a http://ocsp.int-x3.letsencrypt.org/ címen ellenőrizhetők, ha jól látom CLR-t nem használnak (tippre ebben a nagyságrendben pillanatok alatt felelslegesen nagyra hízna).

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

"Nem tudom, pontosan miket csinál egy ilyen cég azon kívül, hogy az általam beküldött tanúsítványt aláírja egy kis ellenőrzés után. - Ezt nem gondolom kritikus, 24/7-es tevékenységnek."

A kiadás szerintem se kritikus, ráadásul ez automatizált DV cert, szóval elő ember nem foglalkozik vele.
Cert igényléskor kapsz egy "titkot" az adott domain-hez, azt kiteszi a script web-re, azt lekéri a LE szervere, és ha az van ott amit neked küldött akkor aláírt cert-et kapsz. Hasonlóan működik a kézi módszer / DNS validálás / stb. is. Tehát ehhez pont nem kell ember, pár másodperc alatt humán ellenőrzés tuti nincs.

Azért kritikus, mert egy CA az, akiben definíció szerint megbízunk. (Pontosabban: még ha mi nem is, de a böngészők igen, és a felhasználóink megbíznak a böngészők szép zöld feliratában.)

És hogy mire gondoltam? Pl. ha van valami biztonsági probléma, akkor ne annyi legyen már a dolog hogy egy L1 helpdesk-es nyit egy ticket, aztán majd 3-4 nap múlva előkerül valaki aki tud is ezzel érdemben foglalkozni, csak mert épp karácsony / hálaadás / céges csapatépítő / akármi volt.

OK, szóval akkor nem az egész cég 24/7, hanem csak úgy mint pl. a legtöbb online üzlet akiket eddig láttam: van üzemeltetés, vannak emberek ügyeletben, ha gond van, akkor viszonylag hamar valaki rá tud nézni.

Lehet, hogy csak terminológia, én nem ezt hívom kritikus infrastruktúrának.

Gondolom van üzemeltetés, van fejlesztés, van vízfej, stb.

De mit gondolkodok én, le is írják. Szóval 2 millió dodóba kerül nekik egy évre 5 üzemeltető, 3 fejlesztő, 1 sajtós és 1 főnök, bár ebből kettőt más foglalkoztat(EFF és mozzarella). A 7/24 felügyelettel jól tippeltem.

A többi költségük kijön 850 ezer dodóból.

Egy rendesen megtervezett CA-nál, ha biztonsági probléma van, akkor sem viszik a mesterkulcsot, "csak" hamis certeket tudnak a CA rendszerében generálni. Ennek az orvoslására elég egy nagy piros gomb ami lelő mindent, aztán majd javítják meg elkezdenek visszavonogatni.

Ha pedig valami miatt mégis viszik a kulcsot, akkor annak a CA-nak már úgyis mindegy, akár 7/24 akár nem.