nataraj: (Default)
[personal profile] nataraj
Купил себе сертификат на ssl.nataraj.su у https://www.leaderssl.com/products/dv по акции. В предпоследний день покупал. А они продлили, и еще на более выгодных условиях... Я то покупал за 8 евро при условии покупки на два года.

Может еще кому надо? У кого еще аллергия на лецинкрипт?

Date: 2017-06-05 08:19 am (UTC)
alexkuklin: (Default)
From: [personal profile] alexkuklin
а в чем проблема с LE?

Date: 2017-06-05 08:24 am (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
Я про это писал неоднократно. А недавно у них еще даунтайм был.

Date: 2017-06-05 08:31 am (UTC)
alexkuklin: (Default)
From: [personal profile] alexkuklin
что-то не нашел на пяти страницах назад включительно.
ну не только у них он был.

Date: 2017-06-05 09:02 am (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
Про даунтайм писали в свежем Bulletproof TLS Newsletter.

Поста по этому поводу я делать не стал.

А так у меня про эту лавочку тэг есть.

Date: 2017-06-05 09:08 am (UTC)
alexkuklin: (Default)
From: [personal profile] alexkuklin
ээээ
ты меня, конечно, извини, но
1) certbot можно не использовать, есть как минимум acme и вообще можно самому прописать challenge в dns
2) certbot можно поставить из бэкпортов, это, как минимум, надежнее, а запуск скрипта с сайта - ну э, ссзб
3) что мешает генерить ключ по крону самостоятельно, а отдавать только csr?

bottomline, т.е. я не очень понимаю сути претензий, кроме "я поленился разобраться подробно в sandbox"

Date: 2017-06-05 10:11 am (UTC)
alexkuklin: (Default)
From: [personal profile] alexkuklin
так прикол в том, что LE никаких скриптов тебе не навязывает.
ты можешь сделать такие скрипты, которые считашь нужными.
то, что они предоставили какие-то скрипты для неопытного пользователся, хуже их не делают.

Date: 2017-06-05 10:35 am (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
Хуже их делает то, КАКИЕ ИМЕННО скрипты они предоставили. Если у них серверная часть написанана с таким же качеством кода (а судя по имевшимся проблемам с рассылками и даунтаймом - таки да), то я не понимают как Mozilla может этому доверять, и не доверять WoSign.

Правило тринадцатого удара часов знаешь - если часы бьют 13 раз, это вызывает сомнения не только в 13 ударе, но и в предыдущих двенадцати.

Date: 2017-06-05 11:13 am (UTC)
alexkuklin: (Default)
From: [personal profile] alexkuklin
скрипты, насколько я понимаю, не их авторства ни разу.

Date: 2017-06-05 11:19 am (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
Из "не их авторства" на гитхабе есть вполне приличные варианты, авторы которых рекомендуют "вы сначала прочитайте и поймите как работает, а потом деплойте". Но они почему-то рекомендуют именно эти ублюдские скрипты с кучей зависимостей от совершенно не нужных библиотек. И это в таком деле. где каждую лишнюю строку кода нужно рассматривать как потенциальный эксплойт.

Date: 2017-06-05 02:00 pm (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
Так ты заплатил 16 евро ровно для того, чтобы обслуживать массового пользователя.

Потому что если бы не нужен был массовый пользователь, запустил бы ты на первой попавшейся машине /usr/lib/ssl/misc/CA.pl -newca
повтыкал бы сгенерированный им сертификат во все интересующие тебя браузеры и почтовые клиенты и радовался бы жизни совершенно бесплатно.

Date: 2017-06-05 10:12 am (UTC)
alexkuklin: (Default)
From: [personal profile] alexkuklin
https://github.com/Neilpang/acme.sh/blob/master/acme.sh
можно выдернуть оттуда только нужное и иметь мягкие и шелковистые волосы, например

Date: 2017-06-05 11:23 am (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
Добрый ты, предлагаешь читать шелловский скрипт на 5500 строк.

Когда есть питоновский на 200, не использующий ничего кроме стандартной библиотеки и утилиты openssl.

Date: 2017-06-05 11:40 am (UTC)
alexkuklin: (Default)
From: [personal profile] alexkuklin
зато на shell! :)

Date: 2017-06-05 02:23 pm (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
Шелл хорош, когда умещается в экран. Когда скрипт превышает размеры экрана, шелловский скрипт менее читаем, чем скрипт на любом другом скриптовом языке.

Date: 2017-06-05 10:32 am (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
Обнаружил, что не описывал в своем журнале как у меня сейчас устроено взаимодействие с letsencrypt.

Хотя моя система обеспечивает

1. генерацию нового сертификата и CSR на каждую смену ключей
2. работу скрипта acme-tiny из-под непривелигированного юзера (честный chroot делать поленился)
3. несколько попыток получения сертификата на данный CSR (то есть она устойчива к двухдневному даунтайму letsencrypt).
4. Валидацию полученного сертификата и автоматический его деплоймент в том и только том случае, если он корректен.

Date: 2017-06-05 11:14 am (UTC)
alexkuklin: (Default)
From: [personal profile] alexkuklin
ну вот именно, вполне достижимый разумный результат.

Date: 2017-06-05 11:17 am (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
Ну так я и не такой экстремист как Коля. Я и скайпом пользуюсь (и не факт, что прекращу с 1 июля), и телеграммом.

Date: 2017-06-05 09:30 pm (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
https://www.wagner.pp.ru/fossil/acme/index

Документация, правда, несколько хромает. Поскольку вообще-то делать из этого distributable product я не собирался.

Date: 2017-06-05 08:40 am (UTC)
alexkuklin: (Default)
From: [personal profile] alexkuklin
а, блин.
я у Коли искал

Profile

nataraj: (Default)
Swami Dhyan Nataraj

September 2017

S M T W T F S
     12
345 6789
10111213141516
1718 19202122 23
24252627282930

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Sep. 24th, 2017 05:24 pm
Powered by Dreamwidth Studios