Τερματισμός της λειτουργίας της StartCom

[mrsaccess]

Δεν μου κάνει. Μιλάμε για sites που δηλώνονται ως «εσωτερικά» στο DNS (Σύζευξις), η εγγραφή είναι επιλύσιμη μόνο εντός Σύζευξις και η εγγραφή τους δεν είναι προσβάσιμη στον έξω κόσμο. Εκτός αν δηλωθεί το όνομα να επιλύεται και από έξω.

Τότε πρέπει να φτιάξεις ένα δικό σου CA και να εγκαταστήσεις το δικό σου root cert σε όλους τους client. Αλλά τα ξέρεις ήδη αυτά.

Βέβαια όπως μου το λες, όλοι οι clients συμβουλεύονται ένα εσωτερικό DNS αφού δεν γίνεται resolve εκτός δικτύου (αλλιώς θα γινόταν resolve αλλά σε local net IP space). Οπότε μπορείτε να στήσετε ένα δεύτερο, εξωτερικό DNS το οποίο θα έχει μόνο τα TXT records που χρειάζεται το LE για το verification.

[GoofyX]

Οπότε μπορείτε να στήσετε ένα δεύτερο, εξωτερικό DNS το οποίο θα έχει μόνο τα TXT records που χρειάζεται το LE για το verification.

Έχεις κανά link για αυτό από το LetsEncrypt για λεπτομέρειες;

[mrsaccess]

Έχεις κανά link για αυτό από το LetsEncrypt για λεπτομέρειες;

Δεν χρησιμοποιώ την συγκεκριμένη μέθοδο, οπότε δεν έχω κάτι να προτείνω. Ψάξε για DNS challenge και θα βρεις αρκετά αποτελέσματα. Τώρα ποιο θα έχει χρήσιμες πληροφορίες...

[tigra23]

Έχεις κανά link για αυτό από το LetsEncrypt για λεπτομέρειες;

Δεν χάνεις τίποτα με το να ποστάρεις στο forum τους. H community είναι εξυπηρετικότατη.

[aligatoras]

Το καλό με τη StartCom ήταν ότι ανέβαζες το certificate request εσύ και σου έδινε το πιστοποιητικό. Βέβαια δεν υπήρχε κάποιο online validation του site, αλλά το καλό με αυτό ήταν ότι μπορούσες να έχει certificate σε εσωτερικό site, που δεν είναι προσβάσιμο από τον έξω κόσμο, όπως απαιτεί το LetsEncrypt. Από εκεί και πέρα, με την πατάτα που κάνανε με τα πιστοποιητικά που εξέδωσαν με παλιά ημερομηνία... Ας πρόσεχαν.

Η ανανέωση από LetsEncrypt λύνεται με ένα απλό script που το βάζεις να τρέχει κάθε 15 μέρες για παράδειγμα.

Είναι απαίτηση πλέον του πρωτοκόλου και δεν εκδίδονται πιστοποιητικά για εσωτερικά domains. Αν θέλεις πιστοποιητικά για εσωτερικά domains τότε καλύτερα να τρέξεις τη δική σου CA.

[DVader]

Η λύση είναι να τρέχεις έναν ACME server που θα κάνει αυτόματα την ανανέωση.

Πάντα θα έχεις στο μυαλό σου αν δουλεύει σωστά ο ACME .... και αν έχω πολλά domain αρχίζουν και μπαίνουν διάφοροι περιορισμοί που στο τέλος το κάνουν προβληματικό ...

Θα προτιμήσω την λύση να πληρώσω κάτι την στιγμή μάλιστα που το βρίσκω και φτηνό ...

Τεσπά απόψεις ..

[Hellmore]

Πάντα θα έχεις στο μυαλό σου αν δουλεύει σωστά ο ACME .... και αν έχω πολλά domain αρχίζουν και μπαίνουν διάφοροι περιορισμοί που στο τέλος το κάνουν προβληματικό ...

Θα προτιμήσω την λύση να πληρώσω κάτι την στιγμή μάλιστα που το βρίσκω και φτηνό ...

Τεσπά απόψεις ..

Είναι μια επιλογή όπως και να έχει, τουλάχιστον για λίγα domains κάνει δουλειά μαζί με cron.

[hammered]

....
Ευτυχώς που υπαρχει η lets encrypt και μπορούμε να έχουμε και εμείς κάποια ασφάλεια δίχως να αδειάζουμε τις τσέπες μας (έχω certificates για ddns (duckdns) τα οποία χρησιμοποιώ και για προσβαση στο ΝΑΣ και για προσβαση στο vpn server μου).

Νομίζω στις συγκεκριμένες περιπτώσεις δούλευες άνετα και με self-signed certificates.

[DVader]

Είναι μια επιλογή όπως και να έχει, τουλάχιστον για λίγα domains κάνει δουλειά μαζί με cron.

Ναι οκ ..από το τίποτα που λένε ...

[Hellmore]

Ναι οκ ..από το τίποτα που λένε ...

Στην ξεραΐλα καλό και το χαλάζι!

[mrsaccess]

Ναι οκ ..από το τίποτα που λένε ...

Περίμενε. Καταρχήν το Let's Encrypt θα σου στείλει email όταν έρχεται η ώρα να ανανεώσεις κάποιο certificate. Αν τα ανανεώνεις αυτόματα δεν θα λάβεις email ποτέ αφού θα ανανεώνονται αρκετό καιρό πιο πριν.
Από εκεί και πέρα αν δεν έχεις κάποιο μηχανισμό ελέγχου για να εξακριβώνεις πως τα certificates σε όλα τα services σου είναι valid, που πας;;; Αυτό δεν αλλάζει από όπου και να εκδόσεις το certificate σου.

Μετά άντε και πας με το κλασσικό τσούκου-τσούκου τρόπο να εκδίδεις χειροκίνητα certificate από τον πάροχο, να πρέπει να βάλεις τα cert σου σε configuration management εργαλείο κλπ κλπ. Στο LE το σετάρεις μια φορά, γίνονται όλα αυτόματα και γίνονται σωστά (συχνό rotation, το cert υπάρχει μόνο στο server που χρειάζεται).

Αν έχεις 200 domains, αλήθεια τι κάνεις; Βγάζεις 200 certs χειροκίνητα; Εννοείται πως wildcard cert είναι bad practice και το αποφεύγουμε διά ροπάλου.

[tigra23]

Aν έχεις 200 domains, αλήθεια τι κάνεις; Βγάζεις 200 certs χειροκίνητα; Εννοείται πως wildcard cert είναι bad practice και το αποφεύγουμε διά ροπάλου.

Τι κακό έχουν τα wildcard certs? H LE θα αρχίσει να δίνει από τον άλλο μήνα Wildcard certs αλλά μόνο με DNS verification.

[mrsaccess]

Τι κακό έχουν τα wildcard certs? H LE θα αρχίσει να δίνει από τον άλλο μήνα Wildcard certs αλλά μόνο με DNS verification.

Ένα σημαντικό μειονέκτημα είναι πως αν σου κλέψουν ένα wildcart cert/key pair μπορούν να προσποιηθούν όλα τα domain που έχεις (πχ www.tigra23.com) αλλά και όσα δεν έχεις (πχ secure-payments.tigra32.com). Φυσικά μπορούν να κάνουν και MITM σε οποιαδήποτε υπηρεσία σου.

Ένα άλλο πρόβλημα, είναι πως αν σου κλέψουν ένα cert/key pair, χρειάζεται να δεις πως έγινε αυτό (που είναι η τρύπα) και πιθανώς να κάνεις decommission όλο το server και στήσιμο από την αρχή.
Φαντάσου να χρησιμοποιείς κοινό cert/key σε όλο το infrastructure σου, θα χρειαστεί να ψάξεις και να κάνεις format σε όλα τα μηχανήματα και τις τυχών υπηρεσίες που έχουν το key.

[georgemv]

Η κοινή πρακτική για wildcard certificates είναι να έχει το cert μόνο ο SSL terminator και να προωθεί unencrypted την κίνηση στους application processors. Πάλι έχεις μόνο ένα Node να προσέχεις (ή καλύτερα ένα redundant pair).