www.4smart.cz nasadil nový certifikát Let's Encrypt

Informace o novinkách a změnách na 4smart.cz
Zamčeno
4smart.cz
Administrátor
Příspěvky: 1373
Registrován: úte 12. říj 2010 9:16:11
Kontaktovat uživatele:

www.4smart.cz nasadil nový certifikát Let's Encrypt

Příspěvek od 4smart.cz »

Dobrý den,

Webové administrační rozhraní nově nasadilo certifikát Let's Encrypt. V souvislosti s tím byla provedena aktualizace webového serveru a systémového prostředí.
Nově vydaný certifikát platí do 27.4.2016 (standardní doba platnosti). Úroveň zabezpečení webového rozhraní je po aktualizaci webového serveru a instalaci nového certifikátu na známce A-:

https://www.ssllabs.com/ssltest/analyze ... =4smart.cz


Pokud by někdo chtěl nasadit i pro svoji doménu certifikát od Let's Encrypt, je to jednoduché:
1) Přidělte svému serveru doménu - může se jednat i o automaticky přidělenou subdoménu 4smart.eu
2) Ve svém serveru zadejte:
aptitude install git
git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto --help
Poslední příkaz nainstaluje všechyn potřebné závislosti pro nástroje letsencrypt.

Pokud na serveru používáte Apache, máte výhodu, protože například Nginx není zatím dokonale podporován.
3) Samotnou instalaci certifikátu pak provedete příkazem:
./letsencrypt-auto --apache

V našem případě tento nástroj automaticky upravil konfigurační soubory webového serveru Apache, resp. cesty k certifikátu a privátnímu klíči.
Tento krok byl posledním. Dále stačí ověřit v prohlížeči, že se nový certifikát používá.

J.M.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: www.4smart.cz nasadil nový certifikát Let's Encrypt

Příspěvek od xsouku04 »

Pozor na certifikáty Let's Encrypt.
Ne že by to zrovna nějak výrazně vadilo uživatelům 4smart, nicméně na větší projekty s velkou návštěvností je asi lepší ještě počkat.
Totiž. Let's encrypt nefunguje v současné době u cca 5% potencionálních uživatelů. Hodně to závisí na tom, kdo převážně jsou vaši uživatelé, tedy může to být v rozsahu 1 až 10%.

Přesný seznam problémových klientů.

Když to shrnu, tak nefunguje na Windows XP (s výjimkou Firefoxu), Blackberry OS, Andorid 2.3.5 a starší.
A také jej zatím neuznávají Java knihovny. Takže javistům snadno chcípne přístup např. na API.
A to nemluvě o tom, že kdejaký přehnaně aktivní antivir může také dělat falešný humbuk.


Jinými slovy nasazení Let's encrypt na Odorik.cz byla chyba. Bohužel lidé, co stojí za Let's encrypt, mají poněkud problém s přesným vyjadřováním, co se této naprosto klíčové věci týče, a člověk, aby informace sháněl po fórech. Na druhou stranu fakt, že je jejich netradiční způsob generování nových certifikátů s platností 90 dní označen za beta a je o něm psáno poměrně hodně, je věc relativně nepodstatná. Mnohem podstatnější jeho rozpoznání různými klienty, o čemž se překvapivě moc nepíše.

Na druhou stranu pro naprostou většinu začínajících projektů, nebo pro projekty, které cílí na počítačově pokročilejší uživatele je certifikát od Let's encrypt naprosto dostatečný. Pokročilý uživatel typicky nepoužívá Windows XP a pokud přecijen ano, s problémem si relativně snadno poradí.

Koukám se na certifikát od Comodo PositiveSSL nebo RapidSSL. Tady mají Comodo PositiveSSL na 3 roky za $14.97 Všichni ale zdá se mají něco společné. Je těžké najít přesný výpis všech podporovaných klientů a přitom je to jediné opravdu podstatné pro výběr certifikátu. A najít výpis nepodporovaných ale občas použitých klientů (tedy to přiznané 0.1 až 0.6% ) se mi nepodařilo u žádné autority.

Update 29.02.2016: Comodo PositiveSSL údajně funguje jak s www tak bez www, i když to zdá se vůbec nikde nepíší.
Musel jsem se na to ptát po chatu:

Kód: Vybrat vše

Please wait for a site operator to respond.
You are now chatting with 'Adam'
Adam: Hi...Welcome to COMODO Sales chat support...How may i assist you more on SSL?
Petr Soukup: Hello I want te cert to work with and without www at the beging, where the instructions?
Adam: http://www.positivessl.com/ssl-certificate-products/addsupport/ssl-positive.html?ap=ce046
Adam: Get the above Positive SSL for your requirment
Adam: It will secure domain.com and www.domain.com
Petr Soukup: where is this important feature writen?
Petr Soukup: Will it work automaticly?
Adam: It is not mentioned in the website
Adam: It will work on default for domain.com and www.domain.com
Adam: Are you there?
Petr Soukup: Yeas, that is all. Thank you.
Adam: you're Welcome
Pro ty co to nevědí připomínám, že neexistují žádné lepší a horší certifikáty co se bezpečnosti týče, protože bezpečnost je obecně dána chováním té nejhorší certifikační autority co existuje. Kromě ceny, platnosti a informací které které certifikát ukáže je hlavní a jediný opravdu podstatný rozdíl v podporovaných v prohlížečích (operačních systémech) či jiných klientech co čtou web. O tom se ale v rámci reklamštiny nikde podrobně moc nepíše.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: www.4smart.cz nasadil nový certifikát Let's Encrypt

Příspěvek od xsouku04 »

Nefunkčnost s Windows XP prý bude odstraněna. http://www.root.cz/zpravicky/let-s-encr ... xp-a-ipv6/

Update 28.3.2016 . Nefunkčnost prý byla odstraněna. http://www.root.cz/clanky/let-s-encrypt ... ou-rozbit/
Uživatelský avatar
Zedna
Příspěvky: 736
Registrován: stř 04. dub 2012 0:57:53

Re: www.4smart.cz nasadil nový certifikát Let's Encrypt

Příspěvek od Zedna »

Certifikáty pro HTTPS zdarma: Komunitní autorita Let's Encrypt spouští ostrý provoz
http://www.zive.cz/bleskovky/certifikat ... fault.aspx
Zamčeno