Názory k článku Let's Encrypt v praxi: jak jsem přešel na HTTPS

No jo, ale i náhodný zmatený uživatel seznamu může omylem kliknout na reklamu. I když je tu pouze omylem :D

Já taky :-).

Fakt by to trapilo seznam?

Spuštění vlastního webserveru není nutné, při přípravě článku jsme ho například vůbec nepoužili. Ale jak jinak byste chtěl prokázat ovládání doménového jména na serveru, který není webový? Připadalo by vám smysluplnější tam jen kvůli tomu instalovat třeba Apache?

No vidíte, teď ještě vymyslet jak v shellu vyrábět a parsovat JOSE dokumenty a máme odlehčeného klienta v shellu :)

Jen pozor na tu přenositelnost, třeba v dashi ten váš příkaz vytiskne "-e HTTP/1.1", což asi není dobře :P

Něco jako velmi odlehčená CLI utilita se rodí třeba zde: https://github.com/diafygi/letsencrypt-nosudo

A jinak ano, zaplatit jiné autoritě může být v mnoha ohledech výhodnější řešení.

Jinou utilitu, která nebude záviset na Pythonu, ale na jiném „balastu“, samozřejmě kdokoli udělat může. Kdyby to udělal Let's Encrypt, tak se na Rootu objeví třicet chytrých komentářů, proč to závisí na Wgetu, OpenSSL a libjson, když to mohli napsat v Pythonu. A kdyby napsali třicet různých utilit pokaždé s jinými závislostmi, aby si každý mohl vybrat tu svou, tak by si titíž zase ztěžovali, proč k tomu je třicet různých utilit, když by stačila jedna. Takže autoři Let's Encrypt rezignovali na to zavděčit se komentujícím na Rootu, a prostě utilitu napsali.

Nenapsal jste nic, co by dokazovalo, že vaše představa o závislostech je objektivně lepší, než současné závislosti.

pre mnohych momentalne mimo scope, co je skoda
Škoda by naopak byla, kdyby ladili k dokonalosti utilitu a certifikáty si nemohl pořídit vůbec nikdo. Takhle si je mohou pořídit alespoň ti, kteří tu utilitu použijí nebo kteří to udělají ručně.

Objasním vám to, hned po té, co vy objasníte, jak jste přišel na to, že je nutná instalace dvou verzí Pythonu. Já jsem nikde nic takového nenašel, vidím pouze to, že se používá virtualenv, aby se nutné Python moduly neinstalovaly přímo do distribuce.

Když se podíváte do toho skriptu, který jsme spustili, uvidíte, že tam rozhodně žádné hrůzné závislosti nejsou:

apt-get install -y --no-install-recommends \
  git \
  python \
  python-dev \
  $virtualenv \
  gcc \
  dialog \
  libaugeas0 \
  libssl-dev \
  libffi-dev \
  ca-certificates \

To, že debian předepisuje těmto balíčkům další závislosti aniž by byly nezbytné (například zmíněný Python 3), není věc, kterou může řešit Let's Encrypt.

To je ale překvapení, že když kompilujete utilitu ze zdrojových kódů, že k tomu potřebujete kompilátor. Možná vás překvapím ještě víc tvrzením, že když budete instalovat ze zdrojových kódů betaverzi nějakého webserveru, taky vám to vnutí kompilátor jako závislost!

Je to určitě spiknutí a ten kompilátor jsou ve skutečnosti zadní vrátka pro NSA.

:)

Myslím, že kompilátor vyžadují některé pythonovské moduly, které se instalují pipem do virtualenv.

Ne, budete mít jeden certifikát, ve kterém budou pod Subject Alternative Name uvedeny všechny domény. Pokud máte nějakou standardní konfiguraci, kterou utilita rozpozná, mělo by k žádosti o takový certifikát a ověření všech domén dojít automaticky.

do DNS se dá hvězdička
Z toho je víc škody než užitku. Když to chcete mít pořádně, budete registrovat jednotlivé domény, a do té registrace přidáte i to vytvoření certifikátu.

Protože to dělá něco jiného, než si nejspíše myslíte, že to dělá (například hvězdička se uplatní jedině tehdy, pokud neexistuje daná doména, nestačí, že neexistuje daný specifický záznam), a protože specifikace není moc přesná, takže se interpretuje různě.

Já bych spíš čekal, že budou nějaké adresy i v té hlavní doméně. Že si třeba někdo nastaví doménu list.example.com pro poštovní konferenci, a pak se bude divit, že mu nefunguje web list.example.com, když je tam přece hvězdička a pro všechny ostatní poddomény to funguje.

Když chce Let's Encrypt ukázat, jak se to má dělat správně, nebylo by asi vhodné podporovat chybný usecase.

Jirsaku ty ses fakt povedl. Aneb jak politicky jit proti uzivatelum kteri maji sve problemy. Resim uplne stejny problem - mam *.domena.tld kde hvezdicka je username a tech je x desitek tisic. Proste to tak chci a potrebuju. Fakt je to ta tvoje rada nejaka hitparada? Tohle je cely to vase slavny vynuceny https pres mrtvoly. horsi jak grínpis.

Pokud se vám ta rada nelíbí, tak se jí neřiďte.

To je fakt neuvěřitelný. Někdo představí nějakou službu nebo popíše, jak něco dělá, načež se seběhnou místní trollové, j/x/fd, Seti, Lol Phirae a to_je_jedno, a začnou nadávat, že oni takovou službu vůbec nepotřebují, tak jak si někdo může dovolit něco takového nabídnout, jak někdo mohl o něčem takovém vůbec začít přemýšlet. Tak se s tím děcka smiřte, že nejste pupkem světa, že si někdo klidně může dovolit nabídnout službu, kterou vy k ničemu nepotřebujete, že někdo může věci dělat jinak, než vy. Nemusíte pořád všem vnucovat, že váš pohled na svět je jediný správný a tvářit se, že každý, kdo něco dělá jinak, než vy, je přinejmenším úplný debül.

A je to taková zátěž?

(Mimochodem, certifikát se při registraci nebude měnit, ale přidávat…)

A pokud dosáhnete takového množství uživatelů, že to bude významná zátěž pro servery, jistě peníze za wildcard certifikát od jiné CA už budou pouze drobné.

Myslím, že LE prostě řeší velkou část use cases zadarmo. Buďme za to rádi. Že neřeší některé edge cases – no a co? Svoje místo tu má i bez nich a řešení takovýchto edge cases by stálo mnoho sil s malým výsledkem.

Pokud budete mít tolik uživatelů, že to bude generovat významnou zátěž serveru (a pokud nemáte dost velký edge case jako třeba tisíc nových subdomén denně na jednoho uživatele), pak stejně budete muset řešit nějaké financování serverů i bez HTTPS. (Ať už reklama, nebo sponzorské dary.) A ten wildcard certifikát už asi nebude tak velká nákladová položka. Ale pochybuju, že třeba pro root blog by tento postup byl až takový problém.

A jaký vidíte problém s bezpečností?

Ty vazby podle mne nejsou zbytečné. Naopak díky tomu máte podchycenu vazbu, která reálně existuje, ale kterou dnes stavíte jenom na shodě nějakého textu ve webovém prohlížeči.

To, že dnes konfigurujete web server, je přece jenom takový workaround. Ideální řešení je přece takové, že máte web server napojen na tu databázi (takže hlavičku Host hledá v té databázi), DNS server také, no a žádnou externí utilitu volat nebudete, protože ten přímo v té aplikaci zakládající nový záznam do DB bude i vystavení certifikátu přes ACME a zápis toho certifikátu do databáze (odkud ho bude načítat ten web server).

Někdo má aplikaci udělanou tak, že nic překopávat nemusí. Pokud vy ji máte udělanou tak, že byste musel úplně všechno překopávat, zvážíte, jestli to pro vás má význam nebo nemá. Mně to rozhodování připadá celkem jednoduché, nevidím důvod, proč o tom v několika komentářích mudrovat v diskusi. Zatímco vy se tváříte, jako by vás k té změně někdo nutil a vám se do toho vůbec nechtělo.

No a? Tak 50x změníte certifikát. PKI s tím nemá problém.

Tak pak určitě každý den usuzujete, že někdo hacknul Google.

Používání různých certifikátů k témuž jménu nikomu neznemožňuje nalezení problému s MiTM. Máte seznam důvěryhodných autorit, pokud některá z nich vydala certifikát, pak věříte tomu, že je certifikát pravý. To, že je obecně známo, že někteří ověřují certifikáty špatně, opravdu neznamená, že je dobrý nápad podporovat to chybné ověřování.

Vy se toho vysvětlení nedočkáte. Jinak tady v diskusi už to napsáno bylo. A i kdyby na nich nic špatného nebylo, Let's Encrypt se svobodně může rozhodnout takové certifikáty nevydávat.

To ale plyne z toho, že nechápete význam certifikátu. Certifikát znamená, že nějaká autorita něco potvrzuje – důležitý je tam tedy ten podpis. Ten ověřujete (resp. za vás to dělá prohlížeč) – a je jedno, jestli je to ten samý certifikát jako před hodinou, nebo jestli je to nějaký jiný.

Záleží na implementaci.