- A hozzászóláshoz be kell jelentkezni
- 5075 megtekintés
Hozzászólások
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
kiprobaltam, muxik. meglepo modon megeszi a certjet a mac-es ff, chrome, safari, win7-en ie, es iphone (ios8) is. kivancsi lennek hogy csinaltak hogy mindegyik elfogadja...
A'rpi
- A hozzászóláshoz be kell jelentkezni
Lehet két és fél hónap elég volt rá (és mintha a Mozilla eleve támogatójuk lenne) :)
"Sep 14, 2015 - Our cross signature is not yet in place, however this certificate is fully functional for clients with the ISRG root in their trust store. When we are cross signed, approximately a month from now, our certificates will work just about anywhere while our root propagates. We submitted initial applications to the root programs for Mozilla, Google, Microsoft, and Apple today."
Forrás
- A hozzászóláshoz be kell jelentkezni
Illetve itt: https://letsencrypt.org/certificates/
Egy már telepített CA cross sign-olja a kibocsátott cert-eket, így lehet használni már mostantól.
Úgy érzem itt az ideje hogy megszabaduljunk a mindenféle self-signed cuccoktól.
- A hozzászóláshoz be kell jelentkezni
Ha valaki teszteli még más böngésző klienseken, írja meg pls.
- A hozzászóláshoz be kell jelentkezni
Itt lehet tesztelni:
https://helloworld.letsencrypt.org/
Ezekkel jó: Linux FF 42, Android FF és Chrome
- A hozzászóláshoz be kell jelentkezni
Edge-dzsel (v1511) oké.
- A hozzászóláshoz be kell jelentkezni
Nézd meg a láncot. Mindig is tudta :D
- A hozzászóláshoz be kell jelentkezni
subs
--
Kum G.
Linux pólót a PingvinBoltból!
- A hozzászóláshoz be kell jelentkezni
Úgy néz ki nincs egyelőre lehetőség wildcard cert-re:
https://community.letsencrypt.org/t/please-support-wildcard-certificate…
Sebaj, ez nélkül is jó hír remélhetőleg.
A letsencrypt python tool azért felvet jó pár kérdést biztonsági szempontból. Főleg ha cron-ból vagy folyamatosan futni fog az update miatt.
- A hozzászóláshoz be kell jelentkezni
A letsencrypt python tool azért felvet jó pár kérdést biztonsági szempontból. Főleg ha cron-ból vagy folyamatosan futni fog az update miatt.
Én docker-ből futtattam „certonly” és „--manual” opcióval a menedzsment gépről. A domén igazoláshoz a kapott utasítások alapján beállítottam a webszervert. A kapott tanúsítványt és a kulcsot puppet-tel kiszórom a megfelelő kiszolgálóra. A tanúsítvány lejáratát zabbix-szal figyelem :-D
- A hozzászóláshoz be kell jelentkezni
Ilyenkor mindig felmerül benne, hogy a jó öreg KISS alapelvből (sajnos) nem maradt mára semmi. Én nem vagyok meggyőződve arról, hogy jó dolog az elbonyolított IT.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Erre gondolsz? http://blog.circleci.com/its-the-future/ :-D
Egyébként szerintem a KISS legalább annyira szubjektív, mint a JBGE IMHO ;-D
Eddig egyébként tényleg minimalista hozzáállásom volt a dologhoz, hozzáteszem minimális erőbefektetést teszek a saját privát levelező és webszerverem üzemeltetésébe, ami egy KVM virtualizált szerver valahol a cloudban :)
Az eredmény az volt, hogy a startssl tanúsítvány - bár levél jött róla - lejárt, minden programhoz külön volt a tanúsítvány fájl, még az azonos doménhez szóló is. Postfix, dovecot, apache... vagy sikerült mind cserélni vagy nem - persze ez saját trehányság. A tanúsítvány fájl tulajdonos/csoport és jogosultságokról ne is beszéljünk...
Mondjuk az igazsághoz hozzátartozik, hogy a zabbix és a puppet a munkám kapcsán, mint kb. homokozó, materializálódott a szerveren. Ha már ott van használjam...
Így most - ha nem felejtem el újrageneráltatni a tanúsítványokat - minden továbbiról a puppet gondoskodik, fájl, konfig, jogosultság, szolgáltatás újraindítás, egyéb programok futtatása. Ha úgy veszem ezzel a human feladat lényegesen egyszerűsödik.
Persze a human munkavégzés lehet öngyógyító, míg ezen a szinten a puppet nem tud mit kezdeni menet közben felbukkanó problémákkal.
- A hozzászóláshoz be kell jelentkezni