Скромная драконская девушка (oleyka) wrote,
Скромная драконская девушка
oleyka

Category:

Новинка в мире SSL

Попробовала сегодня баловства ради новинку в SSL-мире — бесплатные краткосрочные (90 дней) SSL сертификаты от Let's Encrypt. Они три дня назад вышли в публичную бету. Тут как раз и к чему прикрутить нашлось.

Как это работает: на своём сервере ставим клиента letsencrypt. Он уже есть в виде пакетов для разнообразных линуксов и во FreeBSD latest. Можно, конечно, и из репозитория на GitHub.

Дальше одной командой генерируется полный набор (ключ, цепочки, сертификат) и ставится куда надо. Например, вписывается в конфигурацию Apache. Можно самим сгенерировать csr и отдать letsencrypt-клиенту на подпись. Можно полностью поручить ему всё:

letsencrypt certonly --standalone -d mydomain.com -m admin-mydomain@gmail.com \
    --server https://acme-v01.api.letsencrypt.org/directory

Он создаёт rsa:2048 ключ, делает csr-запрос, изображает из себя веб-сервер (нужно временно освободить 80-й и/или 443-й порты), сам связывается с CA, получает сертификат и складывает всё в папочку, включая цепочки, признаваемые Apache и nginx.

Процесс по умолчанию несколько интерактивный, но легко упрощается, чтобы можно было использовать при автоматическом конфигурировании. Например, у меня для этого есть ansible.

letsencrypt certonly --standalone \
    -d mydomain.com -m admin-mydomain@gmail.com \
    -t --agree-dev-preview --agree-tos \
    --server https://acme-v01.api.letsencrypt.org/directory

Последняя строчка важна. Без неё клиент идёт на тестовый сервер и получает сертификат, подписанный "Happy hacker fake CA". Выглядит прикольно, но браузерам не нравится.

Вот так это выглядит, если всё правильно сгенерировано:


Браузеры их root CA признают. Тулза SSL Labs, которая проверяет SSL конфигурацию веб-серверов, тоже никаких претензий к ним не имеет.

С появлением Let's Encrypt причин не использовать правильно подписанные SSL-сертификаты в браузерах даже на этапе разработки не остаётся.

PS: Документация есть.
Tags: ansible, cybersecurity, digital era
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic
  • 11 comments