[Techinfo] Let's Encrypt
Hambuch Gabor
hambuch at w5.hu
2017. Júl. 13., Cs, 14:21:13 CEST
2017-07-13 13:47 keltezéssel, ka at mayten.sch.bme.hu írta:
> az automatizalas akar meg jo is lehet, de nekem ellenerzeseim vannak
> ezzel kapcsolatban. amikor neztem, kotelezoen le kellett tolteni valami
> tool-t amivel lehet csak csinalni a tanusitvany igenylest, alairast stb.
> Namost az ugye vilagos, hogy szovegfile-okrol beszelunk, amit egyetlen
> mozdulat openssl-lel legeneralni. Eleve nem szeretem, ha megkotik a
> kezem, hogy csak az o cuccukkal lehet csinalni valamit, amit nekem fel
> kell telepitenem. A masik problemam, hogy nem latom az automatizalas
> lenyeget. Evente egyszer kell foglalkozni vele, ez azert meg nem uti
> meg az automatizalas szintjet. Ha pedig nagytetelben van szuksegem
> tanusitvanyra, annak is megvan a modja.
Nem kötelező a "hozzá adott" tool-t használni. Szoros értelemben véve
nincs is hozzá adott tool. Egy API-t biztosít a let's encrypt (ACME),
amire írhatsz saját eszközt, scriptet, programot, amit akarsz. De lehet
válogatni több 10, különböző nyelvre készült implementáció közül. Az
tény, hogy csak ezen az API-n keresztül lehet intézni a certet.
Az automatizálásnak pedig ott van értelme, hogy a let's encrypt nem egy
évre, hanem három hónapja adja a tanúsítványt. De az automatizálást sem
kötelező használni.
> Amig evi kilenc dollar egy tanusitvany es nem esik le a gyuru az
> ujjamrol, hogy kiadjak evente ket openssl parancsot, addig en inkabb
> tavol tartom magam az ilyen kezdemenyezesektol. Ahol fontos, oda veszek
> rendes tanusitvanyt, ahol nem fontos, oda pedig rakok a sajat PKI-bol, a
> sajat CA-val alairtbol.
Szerintem mindhárom megoldásnak (saját CA-val aláírt cert, let's encrypt
tanúsítván, fizetős tanúsítvány) megvan a maga helye, és hogy hova
melyiket célszerű telepíteni. Ahol azt szeretném, hogy titkosított
forgalom legyen, és nem én felügyelem a böngészőket, ahonnan el kell
érni mondjuk egy weboldalt, oda kevésbé praktikus a saját CA-val aláírt
tanúsítvány. Ha szükségesnek érzem a garanciát is, akkor a fizetős
megoldást választom. Ha "komolyabb" helyre kell (ezt döntse el mindenki
maga, hogy mi számít annak), akkor szintén a fizetőset használom. Egy
iskolai környezetbe, publikusan elérhető szolgáltatásokhoz (pl
webmailhez, e-naplóhoz) teljesen jónak érzem a let's encrypt féle
tanúsítványt is. Főleg annak fényében, hogy még azt az évi néhány
dollárt sem mindig könnyű megszerezni rá.
--
Hambuch Gábor
hambuch at w5.hu
További információk a(z) Techinfo levelezőlistáról