[Techinfo] Let's Encrypt

Hambuch Gabor hambuch at w5.hu
2017. Júl. 13., Cs, 14:21:13 CEST


2017-07-13 13:47 keltezéssel, ka at mayten.sch.bme.hu írta:
> az automatizalas akar meg jo is lehet, de nekem ellenerzeseim vannak 
> ezzel kapcsolatban.  amikor neztem, kotelezoen le kellett tolteni valami 
> tool-t amivel lehet csak csinalni a tanusitvany igenylest, alairast stb. 
>   Namost az ugye vilagos, hogy szovegfile-okrol beszelunk, amit egyetlen 
> mozdulat openssl-lel legeneralni.  Eleve nem szeretem, ha megkotik a 
> kezem, hogy csak az o cuccukkal lehet csinalni valamit, amit nekem fel 
> kell telepitenem.  A masik problemam, hogy nem latom az automatizalas 
> lenyeget.  Evente egyszer kell foglalkozni vele, ez azert meg nem uti 
> meg az automatizalas szintjet.  Ha pedig nagytetelben van szuksegem 
> tanusitvanyra, annak is megvan a modja.

Nem kötelező a "hozzá adott" tool-t használni. Szoros értelemben véve 
nincs is hozzá adott tool. Egy API-t biztosít a let's encrypt (ACME), 
amire írhatsz saját eszközt, scriptet, programot, amit akarsz. De lehet 
válogatni több 10, különböző nyelvre készült implementáció közül. Az 
tény, hogy csak ezen az API-n keresztül lehet intézni a certet.
Az automatizálásnak pedig ott van értelme, hogy a let's encrypt nem egy 
évre, hanem három hónapja adja a tanúsítványt. De az automatizálást sem 
kötelező használni.


> Amig evi kilenc dollar egy tanusitvany es nem esik le a gyuru az 
> ujjamrol, hogy kiadjak evente ket openssl parancsot, addig en inkabb 
> tavol tartom magam az ilyen kezdemenyezesektol.  Ahol fontos, oda veszek 
> rendes tanusitvanyt, ahol nem fontos, oda pedig rakok a sajat PKI-bol, a 
> sajat CA-val alairtbol.

Szerintem mindhárom megoldásnak (saját CA-val aláírt cert, let's encrypt 
tanúsítván, fizetős tanúsítvány) megvan a maga helye, és hogy hova 
melyiket célszerű telepíteni. Ahol azt szeretném, hogy titkosított 
forgalom legyen, és nem én felügyelem a böngészőket, ahonnan el kell 
érni mondjuk egy weboldalt, oda kevésbé praktikus a saját CA-val aláírt 
tanúsítvány. Ha szükségesnek érzem a garanciát is, akkor a fizetős 
megoldást választom. Ha "komolyabb" helyre kell (ezt döntse el mindenki 
maga, hogy mi számít annak), akkor szintén a fizetőset használom. Egy 
iskolai környezetbe, publikusan elérhető szolgáltatásokhoz (pl 
webmailhez, e-naplóhoz) teljesen jónak érzem a let's encrypt féle 
tanúsítványt is. Főleg annak fényében, hogy még azt az évi néhány 
dollárt sem mindig könnyű megszerezni rá.

-- 
Hambuch Gábor
hambuch at w5.hu


További információk a(z) Techinfo levelezőlistáról