The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Организация EFF выпустила релиз Certbot 1.0, пакета для получения сертификатов Let's Encrypt

08.12.2019 22:03

Организация Electronic Frontier Foundation (EFF), являющаяся одним из учредителей некоммерческого удостоверяющего центра Let's Encrypt, представила выпуск инструментария Certbot 1.0, подготовленного для упрощения получения сертификатов TLS/SSL и автоматизации настройки HTTPS на web-серверах. Certbot также может выступать в качестве клиентского ПО для обращения к различным удостоверяющим центрам, использующим протокол ACME. Код проекта написан на языке Python и распространяется под лицензией Apache 2.0.

Certbot позволяет не только автоматизировать получение и обновление сертификатов, но и сгенерировать готовые настройки для организации работы HTTPS в Apache httpd, nginx и haproxy в окружениях различных дистрибутивов Linux и BSD-системах, а также для организации проброса обращений c HTTP на HTTPS. Закрытый ключ для сертификата генерируется на стороне пользователя. Имеется возможность отзыва полученных сертификатов в случае компрометации системы.

  1. Главная ссылка к новости (https://www.eff.org/press/rele...)
  2. OpenNews: Разработанный проектом Let's Encrypt протокол ACME утверждён в качестве интернет-стандарта
  3. OpenNews: Проект Let's Encrypt опубликовал планы на 2019 год
  4. OpenNews: Доверие к Let's Encrypt обеспечено во всех списках корневых сертификатов
  5. OpenNews: Проект Let's Encrypt ввёл в строй протокол ACMEv2 и поддержку масок
  6. OpenNews: Let's Encrypt опубликовал описание атаки и план по устранению проблемы
Лицензия: CC-BY
Тип: Программы
Ключевые слова: letsencrypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (99) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 23:08, 08/12/2019 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • +/
     
     
  • 2.2, Аноним (2), 23:20, 08/12/2019 Скрыто модератором
  • +5 +/
     
  • 2.4, YetAnotherOnanym (ok), 01:11, 09/12/2019 Скрыто модератором
  • +/
     
  • 2.5, Pistrun (?), 01:31, 09/12/2019 Скрыто модератором
  • +1 +/
     

     ....ответы скрыты модератором (3)

  • 1.3, Х (?), 23:38, 08/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На фоне acme.sh как эта софтинка? Знаю, что популярна (тем более, вот, уже и версия 1.0 вышла, не прошло и многих лет), но может кто сравнивал в жизни?
     
     
  • 2.7, Fyjy (?), 03:34, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Использовал разные сторонние варианты, но таки со временем пришел к рекомендованному LEшниками certbot и все прекрасно с ним живет теперь. 20 серверов у разных заказчиков, суммарно больше 100 доменов второго уровня и еще третьи-четвертые уровни на них, все прекрасно получается, потом все само обновляется и жрать не просит
     
     
  • 3.9, Аноним (9), 07:54, 09/12/2019 Скрыто модератором
  • –26 +/
     
     
  • 4.39, Аноним (39), 10:27, 09/12/2019 Скрыто модератором
  • +1 +/
     
  • 3.32, В (?), 09:47, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > все прекрасно получается, потом все само обновляется и жрать не просит

    У того же acme.sh тоже все получается прекрасно. Т.е. - в чем плюс-то?

     
  • 2.47, Аноним (47), 14:32, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Требует рута, лезет без спроса в системные конфиги. Для любителей острых ощущений — самое то.
     
     
  • 3.54, Григорий Федорович Конин (?), 15:26, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Запускаю certbot из под отдельного пользователя, в конфиги не лезет. Что я делаю не так?
     
     
  • 4.60, Аноним (47), 16:14, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Видимо, используешь только standalone-плагин. Ну или manual, если мазохист.
     
     
  • 5.61, Аноним (47), 16:15, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Хотя стоп, для standalone нужен 80 порт. webroot?
     
  • 5.63, Григорий Федорович Конин (?), 17:00, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Что значит "мазохист"? Это в чем проявляется?
     
     
  • 6.68, Аноним (47), 17:51, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В том, что устанавливаешь программу для автоматизации, но ничего не автоматизируешь, а делаешь всё ручками.
     
     
  • 7.81, Григорий Федорович Конин (?), 20:03, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > В том, что устанавливаешь программу для автоматизации, но ничего не автоматизируешь, а
    > делаешь всё ручками.

    Включаю ssl для хоста руками, обновляет сертификат оно потом само. Можно и включать ssl не руками, но мне лень писать для этого скрипт потому что я админ локалхоста.

     
  • 5.103, Аноним (103), 22:31, 12/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Можно и DNS-плагины использовать. К слову, единственный вариант для получения сертификата с вайлдкардом на поддомены.
     
  • 3.99, DmA (??), 14:45, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    может пора научится бэкапы делать? :)
     

  • 1.6, электронщег (?), 02:35, 09/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Зачем все эти питоны, когда есть обычные башизмы вроде dehydrated?
     
     
  • 2.8, Аноним (8), 06:42, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Зачем ты если есть Вася?
     
     
  • 3.41, gogo (?), 11:51, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Зачем жиробас Вася, кода есть проворный и беспроблемный Петя?
    Делают одну работу, только Вася пи этом пальцы растопыривает и ведет себя не по задаче нагло.
     
     
  • 4.45, pin (??), 13:44, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем Вася и Петя, когда есть Мойша.
     
  • 2.14, Аноним (14), 08:44, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Такой инструмент можно использовать на OpenWRT - закинул в крон и все.
    Certbot сам все делает, но требует жырного питона, который не везде поместится.
     
     
  • 3.15, SOska (?), 08:52, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну не осилили разрабы certibot язык с, вот ждем когда ты полную замену напишеш.
     
     
  • 4.43, YetAnotherOnanym (ok), 13:06, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Кагбэ, давно есть - https://kristaps.bsd.lv/acme-client, но автор на портабельную версию забил и пилит только версию под опёнок.
     
     
  • 5.89, mumu (ok), 02:28, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Указатели он там все разыменовал? Точно ни одного не забыл? За массивчик не собирается выходить как обычно?
     
     
  • 6.100, YetAnotherOnanym (ok), 15:05, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так проверьте! Опенсорс же!
     
  • 5.102, Аноним (102), 19:13, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вы ссылочку обновите, а то проект фактически в дерево OpenBSD так и уехал развиваться: https://man.openbsd.org/acme-client.1
    Там за ним сейчас florian@ присматривает, вроде как.
     
  • 3.33, Аноним (33), 10:06, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы на рутере сайты хостите?
     
     
  • 4.58, трурль (?), 15:45, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вебморда чем не сайт?
     
  • 2.21, Anonymoustus (ok), 09:08, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не умеют.
     
  • 2.35, Аноним (1), 10:11, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ох уж этот плохой питон. Нужно его поскорее удалить из интернета, потому что опеннетовским сисадминам и мойщикам туалетов он не нравится
     
  • 2.40, gogo (?), 11:47, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Плюсанул.
    Дегидрейтед себе просто работает от юзера и не горузит кучи каких-то модулей/обновлений из-под рута каждый раз.
     
  • 2.65, привет (ok), 17:03, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    плюсую да дегидратор
    у меня на части серверов и питона то нет
    и еслиб был - не уверен что стал бы сабж тянуть

    сертобот скорее самое простейшее решение
    потому и рекомендуется - каждой домохозяйке по серту

    думаю, имеет право на существование за счет этого.

     
     
  • 3.90, Фигноним (?), 07:58, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Часть серверов без питона это с виндой? :)))
     
     
  • 4.91, привет (ok), 10:09, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Часть серверов без питона это с виндой? :)))

    нет, на FreeBSD, с виндой есть - но это виртуалки для rdp.

     
     
  • 5.93, Пеньвкольто (?), 12:31, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Один фиг утилита седом парсящая джейсона это так себе развлечение, имхо конечно. Не сказал бы что я к нему нелюбовь какую-то испытываю, просто забыл уже и вспоминать не хочу.
     
  • 5.94, Пеньвкольто (?), 12:39, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да и фряха что-то по-моему в чистом виде осталась только на рутуре древнем, причем древность ее зашкаливает уже, страшновато, надо снести, но лень... А так - фринасов парочка еще болтается на переферии где-то и все... Вот это печально конечно, любовь детства, до сих пор неровно дышу, но как-то ненужно стало :\
     
     
  • 6.95, привет (ok), 13:18, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Да и фряха что-то по-моему в чистом виде осталась только на рутуре
    > древнем, причем древность ее зашкаливает уже, страшновато, надо снести, но лень...
    > А так - фринасов парочка еще болтается на переферии где-то и
    > все... Вот это печально конечно, любовь детства, до сих пор неровно
    > дышу, но как-то ненужно стало :\

    Вы просто ушли в мейнстрим :) Отлично себя показывает
    для хостинга, бд, почтовики. роутеры и нас - тут понятно все,
    замечательно zfs работает (пока что) напрямую из модуля ядра.

    BSD хоронят давно, не печальтесь - еще нас всех переживет.


     
     
  • 7.96, Пеньвкольто (?), 13:54, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да пусть живёт, конечно, вопросов нет. Я вообще за видовое разнообразие и свободу выбора.
     

  • 1.10, Аноним (10), 08:09, 09/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    В другой ветке говорили же, что без оснований Let's Encrypt блокируется в РФ по IP6. Зачем это здесь?
     
     
  • 2.11, Аноним (10), 08:12, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Иногда работает. Это приводит к тому, что ваш сайт с данным сертификатом доступен не всегда. Классная перспектива.
     
     
  • 3.19, Аноним (19), 09:06, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это как? Сертификат же не на день даётся.

    Ты, скорее всего, и не пользовался им, но решил лапшы навесить?

     
     
  • 4.22, Аноним (10), 09:09, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну как так. Иногда работает. Там же человек пояснил, почему происходит.
     
  • 3.29, В (?), 09:45, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А разницы никакой, что с платными, что с бесплатными сертификатами. Блокировки рандомны и непредсказуемы. Точно так же можно и собственный хостинг однажды в черном списке увидеть - так что, хостинги не покупать?
     
  • 2.13, A.Stahl (ok), 08:38, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну и пусть. Что теперь, если что-то блокируется в РФ, то теперь этого нет и говорить об этом нельзя?
     
     
  • 3.16, Аноним (10), 08:53, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так-то можно на хостинг вне РФ перенести сайт. Если что.
     
     
  • 4.25, Anonymoustus (ok), 09:13, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Себя ты тоже перенесёшь? Если что.
     
     
  • 5.55, Григорий Федорович Конин (?), 15:35, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    законом не запрещено!
     
     
  • 6.66, товарищ майор (?), 17:35, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    это наша недоработка. Временная.

     
     
  • 7.85, Товарищ Маршал (?), 21:20, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > это наша недоработка.

    Товарищ майор! С этой минуты можете считать себя лейтенантом.

     
  • 3.17, SOska (?), 08:54, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну получается что в рф именно так.
     
  • 3.18, Аноним (19), 09:04, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно! Вдруг теперь опеннет заблокируют
     
     
  • 4.20, Аноним (10), 09:07, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так и Let's Encrypt не что блокировать было.
     
     
  • 5.97, Аноним (10), 14:06, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А за что было блокировать невинный OTRS? Причем опять без всяких упоминаний, что блокировать именно его.
     
     
  • 6.101, Фигноним (?), 10:45, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Никто не помнит уже что это, наверное :))) А то бы уже откомментили, что хотя бы за то, что на перле :)))
     
  • 2.24, Fyjy (?), 09:10, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > В другой ветке говорили же, что без оснований Let's Encrypt блокируется в
    > РФ по IP6. Зачем это здесь?

    А почему людей должны волновать проблемы РФ? Да и откуда в РФ IPv6?

     
     
  • 3.26, Anonymoustus (ok), 09:14, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А ведь разумные вещи пишет этот анон!
     
  • 3.34, Аноним (10), 10:10, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Да и откуда в РФ IPv6?

    Так и блокирует не местный провайдер, а на уровне выхода суверенного в мировой.

     
     
  • 4.48, Аноним (47), 14:36, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то именно местный. Хоть в этом китайский опыт пока не переняли.
     
  • 2.31, Аноним (31), 09:46, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В другой ветке говорили же, что без оснований Let's Encrypt блокируется в
    > РФ по IP6. Зачем это здесь?

    По IPv4 тоже блокируют
    http://isitblockedinrussia.com/?host=letsencrypt.org

    IP 167.99.137.12
    Decision 2019-08-22-1780 made on 2019-08-28 by МВД.
    This block affects IP 167.99.137.12 and domain rollsafe.org.


    Судя по вскму на том IP какой-то балансировщик CDN DigitalOcean

     
     
  • 3.36, Аноним (10), 10:12, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А не местные выдавальщики коммерческих сертификатов подсуетились? Дак вроде и нет их, которые бы явно прописывать пользователям не пришлось.
     
     
  • 4.49, Аноним (47), 14:37, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > местные выдавальщики коммерческих сертификатов

    А они уже появились?

     
     
  • 5.98, Аноним (10), 14:07, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так ру-центер же.
     

  • 1.27, Ilya Indigo (ok), 09:20, 09/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Когда LE уже запилит

    ECDSA Root and Intermediates

    Currently Let’s Encrypt only signs end-entity certificates with RSA intermediates. Let’s Encrypt will generate an ECDSA root and intermediates which can be used to sign end-entity certificates.

    https://letsencrypt.org/upcoming-features/

    Это feature всё никак не upcoming. :-(

     
     
  • 2.76, Башер (?), 19:09, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    acme.sh лишен фатального недостатка пистонщиков.
     

  • 1.37, Аноним (10), 10:19, 09/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Yes! It appears that letsencrypt.org is currently blocked in Russia.
    Details:
    URL
    http://letsencrypt.org
    Domain
    letsencrypt.org
    IP
    167.99.137.12
    Decision 49718 made on 2018-06-21 by Роспотребнадзор.

    This block affects IP 167.99.137.12, domain xexe.bitballoon.com and URL http://xexe.bitballoon.com/ymor/stihi-pro-smert-korotkie-pro-lybov.html.
    Decision 2-50 made on 2018-03-05 by суд.

    This block affects IP 167.99.137.12, domain downloadfreegreen.bitballoon.com and URL http://downloadfreegreen.bitballoon.com/instrukciya-samus-725-g.html.
    Decision 27-31-2018/Ид2971-18 made on 2018-04-16 by Генпрокуратура.

    This block affects IP 167.99.0.0/16.

     
     
  • 2.38, Аноним (10), 10:25, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Тема раскрыта. Тема закрыта.
     
  • 2.92, Аноним (92), 12:12, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > This block affects IP 167.99.0.0/16

    Борцуны с телеграмом. Никто не застрахован от из безответственных действий.

     

  • 1.42, Аноним (42), 13:05, 09/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    dehydrated приходится, кстати, тоже периодически обновлять :( ибо эти твари из ЛЕ постоянно что-то меняют в своем апи.
     
     
  • 2.50, Аноним (47), 14:39, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ты посмотри, как в нём разбор JSON реализован. Там не обязательно API менять, чтобы сломать, достаточно слегка переформатировать.
     

  • 1.44, pin (??), 13:42, 09/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Имеется возможность отзыва полученных сертификатов в случае компрометации системы.

    И как клиентам объяснить, где получить список отозванных сертификатов?

     
  • 1.46, Аноним (-), 13:50, 09/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    это та штука, которая требует рута для работы?
     
     
  • 2.51, pin (??), 14:49, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Таки требует?
     
     
  • 3.56, Аноним (56), 15:35, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Таки по официальной инструкции ты и неизвестные тебе репозиторий подключаешь например в Убунте и неизвестно что тебе из этого репозитория прилетит равно или поздно. И в кроне от рута неизвестно что запускаешь по расписанию. Полная С - секурность.

    Хотя какому-нибудь пошутисту ничто не мешает тебе без рута добавить что-нибудь в ~/bin или в ~/.local/bin

     
     
  • 4.62, Crazy Alex (ok), 16:40, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В дебиане - из коробки. В центоси - EPEL. В убунте - родной PPA certbot (или вы EFF меньше доверяете, чем Canonical?) - нигде криминала не вижу. Соответственно не страшнее, чем в кроне от рута запускать что угодно другое штатное.
     
     
  • 5.70, Аноним (47), 18:06, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так давно уже ничего штатно не запускается от рута без крайней необходимости. Только в EFF об этом почему-то не слышали.
     
     
  • 6.71, pin (??), 18:10, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Проблема высосана из пальца.
     
     
  • 7.73, Аноним (73), 18:34, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Паранойи мало не бывает. И это еще ладно ты репе от летсинкрипта доверяешь. Но проблем запускания всего подряд от рута достаточно остро стоит. Ты небось и npm на сервере от рута запускаешь...
     
  • 2.57, Григорий Федорович Конин (?), 15:36, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нет, не требует.
     
     
  • 3.59, Аноним (47), 16:09, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ага-ага. Как же он, интересно, конфиг хоть того же апача правит?
     
     
  • 4.64, Григорий Федорович Конин (?), 17:01, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А зачем ему править конфиг вебсервера? В вебсервере можно указать путь до current сертификата, а certbot просто будет обновлять этот файл и релоадить вебсервер.

    Зачем ему править конфиги вебсервера?

     
     
  • 5.69, Аноним (47), 18:02, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > А зачем ему править конфиг вебсервера?

    Да незачем, конечно. Но он это умеет и, зараза, делает.

    > В вебсервере можно указать путь до current сертификата, а certbot просто будет обновлять этот файл и релоадить вебсервер.

    Ага. Только чтобы получить сертификат по http-01, ему надо выставить файл через веб-сервер. И большая часть способов это сделать предполагает либо правку конфигов веб-сервера самим certbot'ом, либо временное опускание веб-сервера.
    А теперь расскажи, каким образом у тебя работающий якобы от непривилегированного пользователя certbot релодит веб-сервер.

     
     
  • 6.72, pin (??), 18:11, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Он сам делает, хотя ты его не просишь об этом? Это в каком релизе такое?
     
  • 6.80, Григорий Федорович Конин (?), 20:01, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Ага. Только чтобы получить сертификат по http-01, ему надо выставить файл через веб-сервер. И большая часть способов это сделать предполагает либо правку конфигов веб-сервера самим certbot'ом, либо временное опускание веб-сервера.

    <pre>'''
    location ^~ /.well-known/acme-challenge/ {
            default_type "text/plain";
            root /home/lets_encrypt/certbot/webroot;
            break;
    }
    '''</pre>

    > А теперь расскажи, каким образом у тебя работающий якобы от непривилегированного пользователя certbot релодит веб-сервер.

    sudo /etc/init.d/nginx reload

     
     
  • 7.82, Аноним (47), 20:12, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > sudo /etc/init.d/nginx reload

    Либо я отстал от жизни, либо ты не в курсе. nginx надо рестартовать, чтобы он подхватил новый серт, reload недостаточно. Кстати, сабж, правда, довольно древней уже версии, у меня категорически не хочет делать это хуком.

     
     
  • 8.86, Григорий Федорович Конин (?), 22:49, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да вроде все работает Релоад нгинкса лежит в отдельном файле ... текст свёрнут, показать
     
  • 8.87, Григорий Федорович Конин (?), 22:50, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    nginx version nginx 1 4 6 Но у меня не меняется путь к файлу, я в конфиг нгинкс... текст свёрнут, показать
     
  • 4.77, Аноним (77), 19:13, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    nginx -T - dump config
    nginx -c le.conf -s reload
    nginx -c /etc/nginx/nginx.conf -s reload
     

  • 1.52, InuYasha (?), 15:15, 09/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Безденежная, но тоже добровольная центра-лизация. Отзовут тебя по любому поводу или забанят центр - и домохозяйки разбегутся в ужасе, когда браузер на весь экран в красных цветах устроит акцию устрашения.
     
     
  • 2.53, Аноним (56), 15:25, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Зато кулхацкер с линии провайдера не сможет просто так взять и увидеть что ты там передаёшь по HTTP. Потому что у тебя HTTPS.
     
  • 2.67, Fyjy (?), 17:49, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Расскажи и у кого уже отозвали сертификат LE? Ну давай же! Примеры в студию! А что бы понимать, что именно LE никто не будет банить достаточно прочитать список тех, кто финансирует LE, но ты не осилишь. LE это победа разума и шифрованного трафика над идиотизмом, LE это победа над продавцами воздуха в виде платных сертификатов. Да, LE не нравится тем кто любит лезть в чужой трафик(например российской хунте) и тем кто продавал воздух, но первые ничего не могут сделать, а вторым пришлось смириться.
     
     
  • 3.74, Аноним (73), 18:35, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Следуя теории заговора кто сертификаты финансирует тот их и ...читает...
     
     
  • 4.78, Fyjy (?), 19:34, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да-да. А под кроватью сидят агенты ЦРУ и следят за каждым верным путинцем.
     
     
  • 5.83, Аноним (83), 20:46, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ЦРУ за всеми одинаково следит. Так что не надо тут делать вид что у кого-то есть привилегии.
     
  • 4.88, admin localhost (?), 02:15, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    1) Читаем теорию, и вспоминаем, что закрытого ключа у LE нет, они только подписывают .csr
    2) Можно конечно навыписывать поддельных, но если это вскроется, а оно вскроется если будет, то репутации конец.
     
  • 3.75, Аноним (75), 18:53, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да какая разница, если глобально система неверная. Нужен иной подход.
     
     
  • 4.79, Fyjy (?), 19:35, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Да какая разница, если глобально система неверная. Нужен иной подход.

    Ну так разработай, предложи всему миру и внедри! Я только за

     
     
  • 5.84, Аноним (83), 20:52, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сначала надо определиться что не так со старым подходом.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру