Объясните, как в это ебучем certbot решается проблема курица и яйца.
Дано:
— nginx, который не запустится, пока ему на дашь SSL-сертификат, прописанный в конфиге;
— certbot, который ни хуя не сработает в webroot режиме, если nginx не запущен, и ни хуя не сможет обновить сертификат в standalone-режиме, если nginx запущен и уже занимает 80 порт.
Не, ну руками-то я закомментировать на время настройки этого говна могу. А поприличнее способы есть?
Короче, в новом Subscriber Agreement ничего сильно нового не ввели:
- поуточняли некоторые формулировки;
- указали, что сертификаты можно распространять и копировать;
- пытаются через условия соглашения заставить вас не ставить 777 на все директории и вообще быть более сознательными security-wise;
- клятвенно обещают, что сгенерированные вашим компьютером ключи (байтики) — ваша собственность (а сертификат принадлежит ISRG, кстати говоря);
- специально для аутистов указано, что юзать сертификат после его отзыва низя. Для супер-аутистов также есть отдельный пункт про то, что приватный ключ после отзыва сертификата использовать тоже нельзя;
- чуют, что текста как-то слишком много, поэтому пункт о privacy policy сократили и начали ссылаться на другие свои документы, которых уже целый зоопарк;
- теперь если на вас кто-то пожалуется и ваш сертификат отзовут, то всё, его уже не вернут, даже если докажете, что ISRG была неправа (раньше ISRG оставляла за собой право как отобрать, так и вернуть);
- обещают отозвать сертификат, если вы его используете для криминала или перехвата трафика других.
Let's Encrypt случайно слили 7к почтовых адресов: https://community.letsencrypt.org/t/email-address-disclosures-preliminary-report-june-11-2016/16867
Любопытный пост о том, как модель Let's Encrypt может быть расширена для выдачи OV- и EV-сертификатов.
Let's Encrypt вышел из беты.
Уже выдали 1.8 миллиона сертификатов: https://letsencrypt.org/images/Issuance-April-10-2016.png
Перекатился на Let's Encrypt, используя рецепт с форума. Для первого сертификата спросили мыло и попросили согласиться с условиями Subscriber Agreement-а; последующие выдавали молча.
Конфиг Nginx-а нужно привести к следующему виду (via):
ssl_certificate /etc/letsencrypt/live/ДОМЕН/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/ДОМЕН/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/ДОМЕН/chain.pem;Рикаминдую. По сравнению с обычными плясками по генерации сертификата пользоваться letsencrypt-auto — сплошное удовольствие.
Кстати, вчера они сообщили, что третьего декабря откроют публичный доступ к бете. На моё письмо с просьбой дать доступ к закрытой ответили в течение двух дней, так что особой погоды открытие доступа, наверное, никому не сделает — народ либо давно уже зарегался и затестил, либо сидит и ждёт полноценного публичного доступа.
Спасибо няше @ckorzhik за то, что избавил меня от необходимости набирать пост заново :3
Цоперайт © 2010-2016 @stiletto.