Хочу SSL/TLS сертификат на домашнюю страничку.
Что бы пароли не светились по интернету.
И что бы имплементации SSL/TLS не ругались о недоверенном сертификате. При чем
что бы несведущие пользователи могли работать из существующих распространенных
браузеров.
Мне в общем кажется что торговря сертификатами - мыльный пузырь. За деньги
подпишут мать родную, личность никто не идентифицирует. Вроде ж достаточно
почтовый ящик или SMS на телефон и оплату совершить, что бы получить
сертификат своего ключа. По итогу спонсируешь космонавтов.
Есть на 1 год бесплатно сколько угодно раз от:
https://www.startssl.com/Support?v=1
и есть менее интересные условия от других.
Я попробовал:
$ sudo apt-get install letsencrypt # из testing или sid, в stable нету пакета
$ sudo service lighttpd stop # они запустят слушателя на :80 что бы подтвердить владение доменом
$ sudo letsencrypt certonly -d defun.work
$ sudo su
# cat /etc/letsencrypt/archive/defun.work/privkey1.pem /etc/letsencrypt/archive/defun.work/cert1.pem > /etc/letsencrypt/archive/defun.work/combined.pem
В /etc/letsencrypt/live/defun.work/ появятся файлы, обновил /etc/lighttpd/conf-available/10-ssl.conf
ssl.pemfile = "/etc/letsencrypt/archive/defun.work/comb.pem"
ssl.ca-file = "/etc/letsencrypt/archive/defun.work/chain1.pem"
запустил lighttpd:
$ sudo service lighttpd start
С локального компа:
bash# curl -v -o /dev/null https://defun.work
* Rebuilt URL to: https://defun.work/
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0* Trying 149.202.132.30...
* Connected to defun.work (149.202.132.30) port 443 (#0)
* found 182 certificates in /etc/ssl/certs/ca-certificates.crt
* found 732 certificates in /etc/ssl/certs
* ALPN, offering http/1.1
* SSL connection using TLS1.2 / ECDHE_RSA_AES_256_CBC_SHA384
* server certificate verification OK
* server certificate status verification SKIPPED
* common name: defun.work (matched)
* server certificate expiration date OK
* server certificate activation date OK
* certificate public key: RSA
* certificate version: #3
* subject: CN=defun.work
* start date: Fri, 01 Jan 2016 23:16:00 GMT
* expire date: Thu, 31 Mar 2016 23:16:00 GMT
* issuer: C=US,O=Let's Encrypt,CN=Let's Encrypt Authority X1
* compression: NULL
* ALPN, server did not agree to a protocol
0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0> GET / HTTP/1.1
> Host: defun.work
> User-Agent: curl/7.45.0
> Accept: */*
>
< HTTP/1.1 200 OK
Срок действия 3 месяца, продлевается также запуском утилиты
Совсем недавно проект из закрытого тестирования перешел в бету.
Основанием для проекта - желание бизнеса работать с зашифроваными каналами.
После Сноудена в США все повально перешли на HTTPS.
Текущая ситуация с регистраторами - просто вымогательство денег, т.к.
регистраторы подписывают шо попало, лишь бы платил.
Итого - не уничтожить регистраторов (free as beer), а раздавать сертификаты
для шифрования. "Сильные" сертификаты (с выяснением данных по владельцу) все
также будут за большие деньги. Для этого в браузерах придумали отображать
сайты с такими сертификатами - большой зеленой областью в строке URL.
Что не понравилось:
* сделано криво, лишь бы живо
* апстрим какой то заносчивый
* для подстверждения собственности домена - требуют на сервере временно
запустить слушателя на порту 80 или 443 - прерывая свои сервисы,
подтверждение - не плохо, но че бы не на другом порту?
* для получения сертификата нужено запускать от root их поделие (для записи в
системные каталоги и забиндить порт ниже 2000)
* поменять пути инсталяции сертификатов крайне сложно, это не библиотека, это
фрейворк
Что бы Вы порекомендовали?
--
Best regards!