Хочу SSL/TLS сертификат на домашнюю страничку.
Что бы пароли не светились по интернету. И что бы имплементации SSL/TLS не ругались о недоверенном сертификате. При чем что бы несведущие пользователи могли работать из существующих распространенных браузеров. Мне в общем кажется что торговря сертификатами - мыльный пузырь. За деньги подпишут мать родную, личность никто не идентифицирует. Вроде ж достаточно почтовый ящик или SMS на телефон и оплату совершить, что бы получить сертификат своего ключа. По итогу спонсируешь космонавтов. Есть на 1 год бесплатно сколько угодно раз от: https://www.startssl.com/Support?v=1 и есть менее интересные условия от других. Я попробовал: $ sudo apt-get install letsencrypt # из testing или sid, в stable нету пакета $ sudo service lighttpd stop # они запустят слушателя на :80 что бы подтвердить владение доменом $ sudo letsencrypt certonly -d defun.work $ sudo su # cat /etc/letsencrypt/archive/defun.work/privkey1.pem /etc/letsencrypt/archive/defun.work/cert1.pem > /etc/letsencrypt/archive/defun.work/combined.pem В /etc/letsencrypt/live/defun.work/ появятся файлы, обновил /etc/lighttpd/conf-available/10-ssl.conf ssl.pemfile = "/etc/letsencrypt/archive/defun.work/comb.pem" ssl.ca-file = "/etc/letsencrypt/archive/defun.work/chain1.pem" запустил lighttpd: $ sudo service lighttpd start С локального компа: bash# curl -v -o /dev/null https://defun.work * Rebuilt URL to: https://defun.work/ % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0* Trying 149.202.132.30... * Connected to defun.work (149.202.132.30) port 443 (#0) * found 182 certificates in /etc/ssl/certs/ca-certificates.crt * found 732 certificates in /etc/ssl/certs * ALPN, offering http/1.1 * SSL connection using TLS1.2 / ECDHE_RSA_AES_256_CBC_SHA384 * server certificate verification OK * server certificate status verification SKIPPED * common name: defun.work (matched) * server certificate expiration date OK * server certificate activation date OK * certificate public key: RSA * certificate version: #3 * subject: CN=defun.work * start date: Fri, 01 Jan 2016 23:16:00 GMT * expire date: Thu, 31 Mar 2016 23:16:00 GMT * issuer: C=US,O=Let's Encrypt,CN=Let's Encrypt Authority X1 * compression: NULL * ALPN, server did not agree to a protocol 0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0> GET / HTTP/1.1 > Host: defun.work > User-Agent: curl/7.45.0 > Accept: */* > < HTTP/1.1 200 OK Срок действия 3 месяца, продлевается также запуском утилиты Совсем недавно проект из закрытого тестирования перешел в бету. Основанием для проекта - желание бизнеса работать с зашифроваными каналами. После Сноудена в США все повально перешли на HTTPS. Текущая ситуация с регистраторами - просто вымогательство денег, т.к. регистраторы подписывают шо попало, лишь бы платил. Итого - не уничтожить регистраторов (free as beer), а раздавать сертификаты для шифрования. "Сильные" сертификаты (с выяснением данных по владельцу) все также будут за большие деньги. Для этого в браузерах придумали отображать сайты с такими сертификатами - большой зеленой областью в строке URL. Что не понравилось: * сделано криво, лишь бы живо * апстрим какой то заносчивый * для подстверждения собственности домена - требуют на сервере временно запустить слушателя на порту 80 или 443 - прерывая свои сервисы, подтверждение - не плохо, но че бы не на другом порту? * для получения сертификата нужено запускать от root их поделие (для записи в системные каталоги и забиндить порт ниже 2000) * поменять пути инсталяции сертификатов крайне сложно, это не библиотека, это фрейворк Что бы Вы порекомендовали? -- Best regards!
