Publikus bétába fordult a Let's encrypt kezdeményezés

Let's encrypt public beta

Tavaly novemberben jelentette be a The Electronic Frontier Foundation (EFF), hogy egy új, non-profit szervezet beindításában segítkezik, amelynek célja a biztonságos internetböngészés / használat még szélesebb körben való elterjesztése.

A Let's Encrypt nevű hitelesítés-szolgáltató felügyeletét a Internet Security Research Group (ISRG) végzi majd. Az ISRG a Mozilla-val, Cisco-val, Akamai-vel, EFF-fel és másokkal együttműködve építi fel a szolgáltatáshoz szükséges infrastruktúrát.

Az EFF most bejelentette, hogy publikus bétába fordult a Let's Encrypt kezdeményezés.

[ publikus béta bejelentés | fórum | béta kliens ]

Hozzászólások

kiprobaltam, muxik. meglepo modon megeszi a certjet a mac-es ff, chrome, safari, win7-en ie, es iphone (ios8) is. kivancsi lennek hogy csinaltak hogy mindegyik elfogadja...

A'rpi

Lehet két és fél hónap elég volt rá (és mintha a Mozilla eleve támogatójuk lenne) :)

"Sep 14, 2015 - Our cross signature is not yet in place, however this certificate is fully functional for clients with the ISRG root in their trust store. When we are cross signed, approximately a month from now, our certificates will work just about anywhere while our root propagates. We submitted initial applications to the root programs for Mozilla, Google, Microsoft, and Apple today."
Forrás

A letsencrypt python tool azért felvet jó pár kérdést biztonsági szempontból. Főleg ha cron-ból vagy folyamatosan futni fog az update miatt.

Én docker-ből futtattam „certonly” és „--manual” opcióval a menedzsment gépről. A domén igazoláshoz a kapott utasítások alapján beállítottam a webszervert. A kapott tanúsítványt és a kulcsot puppet-tel kiszórom a megfelelő kiszolgálóra. A tanúsítvány lejáratát zabbix-szal figyelem :-D

Erre gondolsz? http://blog.circleci.com/its-the-future/ :-D

Egyébként szerintem a KISS legalább annyira szubjektív, mint a JBGE IMHO ;-D

Eddig egyébként tényleg minimalista hozzáállásom volt a dologhoz, hozzáteszem minimális erőbefektetést teszek a saját privát levelező és webszerverem üzemeltetésébe, ami egy KVM virtualizált szerver valahol a cloudban :)
Az eredmény az volt, hogy a startssl tanúsítvány - bár levél jött róla - lejárt, minden programhoz külön volt a tanúsítvány fájl, még az azonos doménhez szóló is. Postfix, dovecot, apache... vagy sikerült mind cserélni vagy nem - persze ez saját trehányság. A tanúsítvány fájl tulajdonos/csoport és jogosultságokról ne is beszéljünk...
Mondjuk az igazsághoz hozzátartozik, hogy a zabbix és a puppet a munkám kapcsán, mint kb. homokozó, materializálódott a szerveren. Ha már ott van használjam...

Így most - ha nem felejtem el újrageneráltatni a tanúsítványokat - minden továbbiról a puppet gondoskodik, fájl, konfig, jogosultság, szolgáltatás újraindítás, egyéb programok futtatása. Ha úgy veszem ezzel a human feladat lényegesen egyszerűsödik.
Persze a human munkavégzés lehet öngyógyító, míg ezen a szinten a puppet nem tud mit kezdeni menet közben felbukkanó problémákkal.