Vlákno názorů k článku Let's Encrypt: SSL certifikáty od listopadu zdarma od Milo - Díky za článek! Sehant dnes certifikát pro jeden hostname...
-
Díky za článek!
Sehant dnes certifikát pro jeden hostname lze za pakatel. Potíž začíná s doménami dalšího řádu a více doménami per server. Wildcard se dnes koupí ~1000Kč na rok a platí pro jednu úroveň. Tvrdě se narazí při provozu virtuál hostů na jedné IP.
Při 5 doménách kdy každá má 6 subdomén to začíná být neřešitelné.
Částečně to řeší SNI, ale udržovat 30 certifikátů per hostname je náročné (a ve výsledku drahé) a 5 wildcard drahé. O přidání další úrovně nemluvě.
Nevíte, jestli bude Let's encrypt také vystavovat wildcardy, nebo umožní zapsat vícedomén do jednoho certifikátu? Nebo ideálně, více wildcardů per certifikát?
-
Jsem si poměrně jistý (aspoň mám pocit, že to Peter říkal), že aspoň na začátku Let's Encrypt nebude vystavovat wildcard certifikáty.
Můžete se kouknout na video z DebConf15 tady: http://caesar.acc.umu.se/pub/debian-meetings/2015/debconf15/Lets_Encrypt.webm
-
Ondřej CaletkaZlatý podporovatelVíce domén v jednom certifikátu ano, wildcardy zatím ne. Potíž s wildcardy je, že je těžké je automaticky ověřovat − ověřit wildcard není možné vystavením souboru na HTTP serveru, protože tím není zajištěna vazba k majiteli domény. Bylo by tak nutné ověření udělat úpravou v DNS nebo přijetím e-mailu na hostmaster@doména. Oba důkazy jsou problematické na automatizaci, protože na serveru, kde poběží utilita
letsencryptobvykle nebude ani autoritativní DNS, ani e-mailový server pro doménu. -
Ondřej CaletkaZlatý podporovatel
Jenže pokud by něco takového autorita Let's Encrypt umožňovala, bude to jen další certifikační autorita, stejná jako všechny ostatní. Osobně se domnívám, že důvod, proč Let's Encrypt získala všechny prostředky na svůj provoz je právě ten, že to nebude autorita stejná jako všechny ostatní.
Při dnešní podpoře SNI ale není problém pro každou subdoménu získat samostatný certifikát a klidně to s utilitou
letsencrypti automatizovat. -
_ Tonda (neregistrovaný)
Jiní budou tou automatikou, ale proč házet klacky pod nohy těm co jim ta automatika nevyhovuje.
Já třeba používám hosting, kde sice nakonec zavedli SNI, ale subdomény v rámci jednoho účtu jsou řešeny pomocí rewritů, čili doména tonda.net je virtual host v rámci Apache s vlastním certifikátem přes SNI, ale aaa.tonda.net, bbb.tonda.net, ccc.tonda.net jsou jen rewrity a nemohou mít vlastní certifikát ani při použití SNI a proto by se hodil wildcard nebo možnost více hostname v jednom certifikátu.
-
Ondřej CaletkaZlatý podporovatel
Je to stejné jako wildcardy v DNS. Odborníci od toho odrazují, drtivá většina uživatelů to nepotřebuje, software kolem toho je zabugovaný, ale přesto to všichni chtějí.
Hvězdičkové certifikáty rozhodně nejsou správné řešení a jsou pravděpodobně jen důsledkem toho, že získat libovolný certifikát bylo až do teď příliš organizačně náročné. Ostatně, EV certifikáty, tedy ty jediné opravdové certifikáty s důkladným prověřením držitele, hvězdičky nikdy nepodporovaly.
-
_ Tonda (neregistrovaný)
Vypadá to, že budou mít rozumně flexibilní práci se subjectAltName
Can I get a certificate for multiple domain names?
Yes, the same certificate can apply to several different names using the Subject Alternative Name (SAN) mechanism. The Let's Encrypt client automatically requests certificates for multiple names when requested to do so. The resulting certificates will be accepted by browsers for any of the domain names listed in them.
Will Let’s Encrypt issue wildcard certificates?
We currently have no plans to do so, but it is a possibility in the future. Hopefully wildcards aren’t necessary for the vast majority of our potential subscribers because it should be easy to get and manage certificates for all subdomains.
A pokud jde o ruční nahrávání tak snad minimálně půjde ta utilita spustit z příkazové řádky a vygenerovaný certifikát ručně nahrát kam třeba. Startcom certifikát mi expiruje v Prosinci, tak třeba další už bude tento.
-
Ondřej CaletkaZlatý podporovatel
Jen hlavně nezahazujte privátní klíč od toho starého certifikátu. Pokud Let's Encrypt uvidí na vaší doméně validní certifikát od nějaké jiné autority, bude po vás chtít místo validace domény důkaz o držení privátního klíče původního certifikátu.
ČLÁNKY DO MAILU