URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 107905
[ Назад ]

Исходное сообщение
"Организация EFF анонсировала новый клиент для сервиса Let's ..."

Отправлено opennews , 13-Май-16 12:43 
Организация Electronic Frontier Foundation (EFF), являющаяся одним из учредителей некоммерческого удостоверяющего центра Let's Encrypt, опубликовала (https://www.eff.org/deeplinks/2016/05/announcing-certbot-new...) новый клиент для данного сервиса - "Certbot (https://certbot.eff.org/)", позволяющий автоматизировать получение TLS/SSL сертификатов сайтами и настройку конфигурации HTTPS на сервере. Взаимодействие с Let's Encrypt осуществляется при помощи протокола ACME (https://tools.ietf.org/html/draft-ietf-acme-acme-02) (Automatic Certificate Management Environment).


Также изменилось позиционирование клиентского ПО от проекта Let's Encrypt, которое больше не продвигается как официальный клиент (изначальный основной клиент Let's Encrypt разработан EFF и сейчас просто изменилось его позиционирование), вместо которого предлагается сервис для использования совместимых с ACME реализаций (https://community.letsencrypt.org/t/list-of-client-implement...). На странице Certbot (https://certbot.eff.org/) пользователю предлагается выбрать используемые http-сервер и операционную систему, после чего будет выдана специфичная для данной связки инструкция по настройке Let's Encrypt. Например, выбрав FreeBSD будет предложен порт py-letsencrypt, в Debian 8 пакет letsencrypt, а в Debian 7 внешний скрипт dl.eff.org/certbot-auto.


URL: https://www.eff.org/deeplinks/2016/05/announcing-certbot-new...
Новость: https://www.opennet.ru/opennews/art.shtml?num=44418


Содержание

Сообщения в этом обсуждении
"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Аноним , 13-Май-16 12:43 
Заменили питон на шелл скрипт? Прогресс

"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Аноним , 13-Май-16 12:49 
Цитата из скрипта

  $SUDO apt-get install $YES_FLAG --no-install-recommends \
    python \
    python-dev \
    $virtualenv \
    gcc \
    dialog \
    $augeas_pkg \
    libssl-dev \
    libffi-dev \
    ca-certificates \


"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Аноним , 13-Май-16 13:00 
Еще цитата из скрипта:
# TODO: Deal with quotes in pathnames.
СДЕЛАТЬ: Разобраться с кавычками в файловых путях.

# TODO: Clean up temp dir safely, even if it has quotes in its path.
СДЕЛАТЬ: Безопасную очистку временного каталога даже если в путях есть кавычки.

rm -rf "$TEMP_DIR"
Без комментариев.

Перед использованием делайте бекапы.


"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено freehck , 13-Май-16 20:23 
Они создают TEMP_DIR посредством mktemp в начале блока кода, и в конце блока - удаляют его. Поэтому конкретно в этой версии скрипта кавычек там не может быть никогда.

К тому же у них set -e, так что при малейшей ошибке - вылет.

Скрипт-то сам не плохой. Просто комментарии страшные. :)



"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Vee Nee , 13-Май-16 21:29 
Ну если придираться то может - mktemp использует $TMPDIR и может найтись псих у которого там все что угодно :)

"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Анончег , 13-Май-16 21:38 
А где в том скрипте кнопка "сделать зашибись"?

"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Аноним , 13-Май-16 13:03 
Так это регресс.

"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Анончег , 14-Май-16 01:00 
> Так это регресс.

Не суетись, к следующему релизу запилят православный жабаскриптик и все будут счастливы.


"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Аноним , 13-Май-16 13:58 
Пока не упростят обновление серта до curl'овского однострочника - пусть идут в пень.

"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Дэмиен , 13-Май-16 14:18 
+++++

"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Crazy Alex , 13-Май-16 15:08 
Ну сиди как дурак без шифрования, делов-то. Можно подумать, что там что-то сложное.

"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено пох , 13-Май-16 15:47 
> Можно подумать, что там что-то сложное.

можно подумать, что-то сложное в том, чтобы разово поставить нормальный сертификат, а не летсэнкриптовскую поделку.

вся идея была именно в том, что оно автоматическое и бесплатное, поэтому подойдет, скажем, для ферм из сотен или тысяч ящиков с малопонятным содержимым.
Но, судя по качеству кода в этих скриптах, ну его нафиг такое использовать на подобных фермах.
И, следовательно, основной целевой ареал - наколенные серверы горе-админов, неспособных осилить три строчки в конфиге.

И да, это очень, очень хорошо, что его нельзя установить вручную. Потому что забанив всего два корневых сертификата, можно автоматически получать от браузера предупреждения, что на том конце, конечно, есть шифрование, только вот доверять ему не надо совсем.


"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Crazy Alex , 13-Май-16 16:09 
Разово поставить - сложное. Потому что это человеческий фактор. Установка, замена если заэкспайрился и т.п. И долгое время жизни тоже не в плюс.

Лично я готов подобной штуке доверять куда больше, чем тому, где любят ручками всё делать. Но поседевшие в писаниях "трёх строчек" админы, конечно, против.

А что там внутри - да плевать. Баги серьёзные есть? Нет - значит, годится.


"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Дэмиен , 13-Май-16 16:38 
Помним. Гордимся. Не забудем.

За тобой выехали с халатами


"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Crazy Alex , 13-Май-16 17:01 
Поминать будете как раз "традиционных" админов, лезущих руками туда, где можно обойтись автоматикой и думающих "как не сломать" вместо "как пережить поломку". Потому что эта деятельность из  искусства/ремесла превращается в технологию, но кое-кто это упорно не хочет понимать. Все эти девопсы - как раз оно.

"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Аноним , 13-Май-16 17:25 
> Поминать будете как раз "традиционных" .... эта деятельность из  искусства/ремесла превращается в технологию

<зевая> Тыщу раз уже эти глупости слышали.


"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Аноним , 13-Май-16 17:24 
> А что там внутри - да плевать.

Х.як, х.як и в продакшен, да.


"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Crazy Alex , 14-Май-16 03:05 
Ещё раз. Баги серьёзные находились? Нет. Тестировали достаточно долго и достаточно много людей. Что тебе ещё надо?

"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Аноним , 14-Май-16 06:49 
"openssl тестировали достаточно долго и достаточно много людей". А потом там нашли heartbleed.

Заткни пасть, ламер.


"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено deffic , 13-Май-16 19:14 
> Разово поставить - сложное. Потому что это человеческий фактор. Установка, замена если
> заэкспайрился и т.п. И долгое время жизни тоже не в плюс.
> Лично я готов подобной штуке доверять куда больше, чем тому, где любят
> ручками всё делать. Но поседевшие в писаниях "трёх строчек" админы, конечно,
> против.
> А что там внутри - да плевать. Баги серьёзные есть? Нет -
> значит, годится.

Точно! Ху.к, х.як и в production!


"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено _ , 13-Май-16 18:22 
>И да, это очень, очень хорошо, что его нельзя установить вручную.

Тебя и здесь сиииильно наеОбмнули :))))


"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Аноним , 13-Май-16 15:16 
> Пока не упростят обновление серта до curl'овского однострочника - пусть идут в
> пень.

https://calomel.org/lets_encrypt_client.html

# dependency: bash, openssl, curl


"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено _ , 13-Май-16 18:29 
Ха! Сalomel молодца, как обычно. Оно не идеальное, есть что покрутить, но простое и надёжное как АК-47 :)

"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Аноним , 13-Май-16 22:12 
> Ха! Сalomel молодца, как обычно. Оно не идеальное, есть что покрутить, но
> простое и надёжное как АК-47 :)

Согласен, видно что человек писал не только для себя - код хороший, и допилить не трудно если что.


"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Аноним , 13-Май-16 22:31 
Вот еще один молодец, кому надо - https://github.com/lukas2511/letsencrypt.sh

"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Crazy Alex , 14-Май-16 03:09 
Угу, заменить софт от создателей решения на нечто непонятно от студента с гитхаба, которое невесть кто и невесть как тестировал.

"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено . , 14-Май-16 05:19 
Да действительно молодец, но тут уже вкусовщина.
Сам Calomel пишет:
This lets_encrypt.sh script is a simplified branch of the original script by lukas2511/letsencrypt.sh and all credit for the script's design goes to the original developer. If you require more functionality then our version of the script can provide, please contact lukas on Github.

Так что - да.


"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Аноним , 13-Май-16 14:30 
Скачать и положить руками до сих пор нельзя?

"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Crazy Alex , 13-Май-16 15:07 
И правильно, что нельзя. Тут вся суть - именно в автоматизации.

"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено _ , 13-Май-16 18:29 
> И правильно, что нельзя. Тут вся суть - именно в автоматизации.

Вы какой клей нюхаете?!?!


"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено _ , 13-Май-16 18:46 
>> И правильно, что нельзя. Тут вся суть - именно в автоматизации.
> Вы какой клей нюхаете?!?!

Поясню мыстлЪ: "вся суть - именно в автоматизации" - с этим я согласен. Я не согласен что вручную - нельзя. У них на сайте есть инструкция, следуя ей я ручками и ставил. На поиграццо.


"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Crazy Alex , 14-Май-16 03:11 
Да я даже не смотрел, можно или нет. Потому что это неправильно это. Всё равно как плоскогубцами гводи забивать. Ну можно. Ну плоскогубцы не испортятся. Но - применение инструмента не по назначению и хреновая эффективность.

"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено . , 14-Май-16 05:29 
> Да я даже не смотрел, можно или нет. Потому что это неправильно
> это. Всё равно как плоскогубцами гводи забивать. Ну можно. Ну плоскогубцы
> не испортятся. Но - применение инструмента не по назначению и хреновая
> эффективность.

Можно. Но неправильно , да :)
А ещё они грозились когда всё наладится уменьшить эскпирэйшен. Прикинь - уменьшат с 90 дней до к примеру трёх 8-)


"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Аноним , 13-Май-16 14:37 
Самый адекватный клиент https://github.com/lukas2511/letsencrypt.sh

"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Наркоман , 13-Май-16 14:52 
https://github.com/xenolf/lego fixed

"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Дэмиен , 13-Май-16 15:04 
https://github.com/xenolf/lego/issues

"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Аноним , 15-Май-16 17:40 
Что сказать-то хотел?
То, что багов в трекере >0? Так это у любого популярного проекта так. Пустой трекер - наоборот повод задуматься.

"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Аноним , 13-Май-16 16:56 
Просто переименовали они просто.
https://github.com/certbot/certbot/commit/785010fe5001a3c147...

+Certbot (previously, the Let's Encrypt client)


"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено dr Equivalent , 13-Май-16 19:05 
Имхо, эту штуку нужно встраивать прямо в демоны, как плагин.
Скажем, просто добавляю я слово "ssl-letsencrypt;" (а лучше, когда появятся несколько таких сертификационных центров, по крайней мере я на это надеюсь, "ssl-auto <урл апи или чего там>";) в нужную секцию server в Nginx, и все, больше ни над чем запариваться не обязательно - вот это будет уже разговор.
А клиенты все эти - какое-то костыление.
Но это опять же мое мнение.

"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Анонимус99987 , 13-Май-16 22:21 
Два чая [s]этому господину[/s] Игорю Сысоеву.

"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Crazy Alex , 13-Май-16 22:31 
Встраивать надо не в серверы, а в решения, вроде iRedmail или OwnCloud. А если уж сервер руками настраиваешь - то, IMHO, отдельный инструментарий и ожидание некоторого понимания в самый раз - мало ли что ты там накуролесишь в конфиге.

"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Аноним , 13-Май-16 23:33 
> Встраивать надо не в серверы, а в решения, вроде iRedmail или OwnCloud.
> А если уж сервер руками настраиваешь - то, IMHO, отдельный инструментарий
> и ожидание некоторого понимания в самый раз - мало ли что
> ты там накуролесишь в конфиге.

Встраивать надо действительно секьюрные решения, а не поeбeнь, которую на двадцатом году существования вдруг посчитали пригодным для чего-то кроме прикрытия стрема поросячьего и облепили костыликами для якобы лучшей безопасности, типа oscp степлинга, HSTS или пиннинга сертов. Оно и в этом случае всего лишь лобковые волосы. Кто думает иначе - тот недоумок и тупорас.


"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Sw00p aka Jerom , 14-Май-16 01:10 
>> Встраивать надо не в серверы, а в решения, вроде iRedmail или OwnCloud.
>> А если уж сервер руками настраиваешь - то, IMHO, отдельный инструментарий
>> и ожидание некоторого понимания в самый раз - мало ли что
>> ты там накуролесишь в конфиге.
> Встраивать надо действительно секьюрные решения, а не поeбeнь, которую на двадцатом году
> существования вдруг посчитали пригодным для чего-то кроме прикрытия стрема поросячьего
> и облепили костыликами для якобы лучшей безопасности, типа oscp степлинга, HSTS
> или пиннинга сертов. Оно и в этом случае всего лишь лобковые
> волосы. Кто думает иначе - тот недоумок и тупорас.

DNSSEC+DANE TLSA и пининг не нужен, HSTS ще жесть надо же было до этого додуматься )))

пс: а почему всё так ? да потому, что  все эти костыли придумывают люди далёкие от инфобеза, (про криптографию я промолчу)


"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Crazy Alex , 14-Май-16 03:01 
То есть в половине случаев отдать контроль над сертификатами тем же, от кого надо защищаться, ага. Плюс сейчас надо получить контроль и над DNS, и над сертификатами, а так - только DNS хватит. Гениальное решение, как же.

А HSTS... Кто понимает, что делает и зачем - запросто это разруливает (в мозиллообразных тем же ForceTLS), остальным - никакого вреда кроме пользы.


"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Sw00p aka Jerom , 14-Май-16 03:16 
>>То есть в половине случаев отдать контроль над сертификатами тем же, от кого надо защищаться, ага.

такс по подробней пжлста, я не понял сути данного предложения, попахивает - слышал звон не знаю где он (сарказм).


>>  Плюс сейчас надо получить контроль и над DNS, и над сертификатами, а так - только DNS хватит. Гениальное решение, как же.

жутко не хочу влезать в спор и на пальцах вам обьяснять как работает dnssec+tlsa, плиз прочтите rfc.


>>А HSTS... Кто понимает, что делает и зачем - запросто это разруливает

вы счтитаете отличным решение держать в браузере лист с доменами? или вы думаете тот же заголовок hsts нельзя вырезать? или чистить тот же лист в самом браузере ? может часики вперед и протухнет max-age ?

пс: тем же, от кого надо защищаться, ага - враг в голове или за бугром ? если за бугром, тогда напомню - всё оттуда же


"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Crazy Alex , 14-Май-16 02:57 
Ну да, всё, что не противоатомный бункер - безопасность не обеспечивает, ага. Но, что характерно, хоть бы кто из борцунов предложил пригодную для промышленного применения альтернативу. По факту - HTTPS на порядки повышает встоимость взлома/слежки по сравнению с HTTP, этого уже достаточно, чтобы на него повсеместно перейти.

"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено dr Equivalent , 19-Май-16 20:45 
Не понимаю, как OwnCloud будет отдавать сертификат без участия веб-сервера.

"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Наркоман , 14-Май-16 00:07 
Посмотри Caddy, он для всех хостов по дефолту сертификаты получает автоматически.

"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено dr Equivalent , 19-Май-16 20:38 
Кадди - няша, но до Nginx ему пока далеко.

"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Sw00p aka Jerom , 14-Май-16 01:06 
что тока не придумывают лишь бы не юзать DNSSEC+DANE TLSA

"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Аноним , 15-Май-16 17:44 
> что тока не придумывают лишь бы не юзать DNSSEC+DANE TLSA

Что для подписывания своих зон используешь?


"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Sw00p aka Jerom , 16-Май-16 15:51 
а то, dkim без него (dnssec) - пустое место

"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено DmA , 14-Май-16 07:49 
Пользователь не контролирует ни количество находящихся в доверенных удостоверяющих центров у себя в хранилище на компьютере, ни степень доверия к этим центрам! Любая программа и любой производитель железа старается внести какой-нибудь свой удостоверяющий центр ваше хранилище сертификатов.  Особенно производители ноутбуков. Чего уж там говорить о миллионах сертификатов, которые сотни этих центров выдают ... Кому они выданы и даже непонятно кем...
Я бы оставлял минимум удостоверяющих центров в системе, а сам пользователь пусть думает ,нужны ему все эти сертификаты...

"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Sw00p aka Jerom , 14-Май-16 13:19 
>>Я бы оставлял минимум удостоверяющих центров в системе, а сам пользователь пусть думает ,нужны ему все эти сертификаты...

Поэтому нуно внедрить dnssec и хранить сертификаты самоподписные в зонах, и не нужны будут всякие "Тренты" заслуживающие доверия


"Организация EFF анонсировала новый клиент для сервиса Let's ..."
Отправлено Аноним , 14-Май-16 10:18 
В списке операционных систем альта не вижу