Let's encrypt za 10 minut pro hotentoty (diskuse)

Přihlášení | Registrace

napište » Zprávičky

inzerujte » Pracovní nabídky

Software Freedom Day 2025

včera 17:11 | Komunita

Je třetí sobota v září a proto vše nejlepší k dnešnímu Software Freedom Day (SFD, Wikipedie).

Ladislav Hagara | Komentářů: 0

Webový server na jednorázové elektronické cigaretě

včera 02:22 | Humor

Bogdan Ionescu rozběhl webový server na jednorázové elektronické cigaretě.

Ladislav Hagara | Komentářů: 5

Ubuntu 25.10 (Questing Quokka) Beta

19.9. 13:22 | Nová verze

Byla vydána beta verze Ubuntu 25.10 s kódovým názvem Questing Quokka. Přehled novinek v poznámkách k vydání. Dle plánu by Ubuntu 25.10 mělo vyjít 9. října 2025.

Ladislav Hagara | Komentářů: 0

Wazuh 4.13

19.9. 12:55 | Nová verze

Bola vydaná nová verzia 4.13 security platformy Wazuh. Prináša nový IT hygiene dashboard, hot reload dekodérov a pravidiel. Podrobnosti v poznámkách k vydaniu.

peterm655 | Komentářů: 0

Nvidia investuje 5 miliard dolarů do konkurenčního Intelu

19.9. 12:22 | IT novinky

Americký výrobce čipů Nvidia investuje pět miliard dolarů (přes 100 miliard Kč) do konkurenta Intel, který se v poslední době potýká s vážnými problémy. Firmy to včera oznámily ve společné tiskové zprávě. Dohoda o investici zahrnuje spolupráci při vývoji čipů pro osobní počítače a datová centra. Akcie společnosti Intel na zprávu reagovaly výrazným růstem.

Ladislav Hagara | Komentářů: 6

Jonathan Riddell končí u KDE

19.9. 05:11 | Komunita

Dlouholetý balíčkář KDE Jonathan Riddell končí. Jeho práci na KDE neon financovala firma Blue Systems, která ale končí (Clemens Tönnies, Jr., dědic jatek Tönnies Holding, ji už nebude sponzorovat), někteří vývojáři KDE se přesunuli k nově založené firmě Techpaladin. Pro Riddella se již nenašlo místo. Následovala debata o organizaci těchto firem, které zahraniční vývojáře nezaměstnávají, nýbrž najímají jako kontraktory (s příslušnými důsledky z pohledu pracovního práva).

|🇵🇸 | Komentářů: 8

Blender Conference 2025

19.9. 02:33 | Komunita

V Amsterdamu probíhá Blender Conference 2025. Videozáznamy přednášek lze zhlédnout na YouTube. V úvodní keynote Ton Roosendaal oznámil, že k 1. lednu 2026 skončí jako chairman a CEO Blender Foundation. Tyto role převezme současný COO Blender Foundation Francesco Siddi.

Ladislav Hagara | Komentářů: 0

Výroční zpráva The Document Foundation za rok 2024

19.9. 02:22 | Zajímavý článek

The Document Foundation, organizace zastřešující projekt LibreOffice a další aktivity, zveřejnila výroční zprávu za rok 2024.

ZCR | Komentářů: 0

Vivaldi 7.6

18.9. 17:33 | Nová verze

Byla vydána nová stabilní verze 7.6 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 140. Přehled novinek i s náhledy v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0

Rust 1.90.0

18.9. 16:22 | Nová verze

Byla vydána verze 1.90.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké řešení používáte k vývoji / práci?

Github (42%)

Gitlab (57%)

Atlassian (11%)

Bitbucket (13%)

Gitea (17%)

Mercurial (11%)

jen git (17%)

jen svn (13%)

Jiné (uvedu v diskusi) (15%)

Celkem 53 hlasů

Komentářů: 7, poslední 19.9. 23:32

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Blogy / / Let's encrypt za 10 minut pro hotentoty / Let's encrypt za 10 minut pro hotentoty (diskuse)

Štítky: není přiřazen žádný štítek

Nástroje: Začni sledovat (2) ?

Vložit další komentář

6.1.2016 02:03 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Let's encrypt za 10 minut pro hotentoty

Odpovědět | Sbalit | Link | Blokovat | Admin

apt-get install letsencrypt

A není potřeba shazovat server. Ještě jednodušší je nastavit, aby /.well-known na všech virtualhostech šlo do adresáře .well-known v defaultním webroot webserveru a na tento webroot pak poslat letsencrypt. Nevyžaduje to žádnou interakci s webserverem a můžeš to spouštět z cronu co pár týdnů. Letsencrypt si tam vytvoří soubor v podadresáři acme-challenge, server autority to zkontroluje a je hotovo.

Hello world ! Segmentation fault (core dumped)

6.1.2016 02:04 Boris Dušek | skóre: 22 | blog: everything
Rozbalit Rozbalit vše Re: Let's encrypt za 10 minut pro hotentoty

vim ~/.emacs

6.1.2016 08:59 xvasek | skóre: 21 | blog: | Zlín
Rozbalit Rozbalit vše Re: Let's encrypt za 10 minut pro hotentoty

Já jsem to taky takto původně rozjel (po prvním získání certifikátu se --standalone), ale pak mi došlo, že pokud nastane problém a neobnoví se mi certifikáty, tak jsem v háji, protože http mám jenom permanent redirect na https a https v té chvíli nebude natolik funkční, aby mi dovolilo obnovit certifikáty. Při prošlém certifikátu od StartSSL opravdu Let's encrypt nefunguje - toto je ověřeno, je to tak dobře a je to vlastně důvod sepsání tohoto blogu. A pokud nebudou fungovat certifikáty, tak chci mít v té chvíli nějaké připravené řešení, jak si je ručně obnovit. Samozřejmě si můžu paralelně připravit script se --standalone, ale proč to dělat složitě, když to jde jednoduše.

To apt-get install letsencrypt samozřejmě beru jako lepší řešení než git, pokud je to ovšem v distribuci, u mě není.

6.1.2016 22:14 menphis | skóre: 22 | blog: menphis_blog
Rozbalit Rozbalit vše Re: Let's encrypt za 10 minut pro hotentoty

-1. Dnes jsem generoval certifikat na webu s propadlym StartSSL certfikatem a generovani proslo, tak chyba bude asi nekde jinde ( Napr. konfigurace apache neumozni pristup do slozky /.well-known )

Spoustet skript na obnovu certifatu by jsi mel casteji nez jednou za dva mesice, protoze se muze stat, ze se z nejakeho duvodu nepodari certifikat vygenerovat a propadne ti. Na tohle varuje i dokumentace LE. Navic je mozne, ze LE bude v budoucnu vydavat certifikaty jeste s kratsi platnosti. Promin, ale tvuj blog muze nekomu zpusobit vic skody nez uzitku.

7.1.2016 10:10 xvasek | skóre: 21 | blog: | Zlín
Rozbalit Rozbalit vše Re: Let's encrypt za 10 minut pro hotentoty

A obnovoval jsi certifikát opravdu přes https s propadlým certifikátem, nebo přes paralelně běžící http?

...ale vždyť je to vlastně jedno. Tak mi jednou za dva měsíce ve čtyři v noci neběží asi deset sekund apache. Ty to vidíš jako problém, já ne, umím s tím žít.

Info o (ne)obnovení certifikátu ti přijde tak jako tak mailem z cronu, takže máš měsíc na to, abys v případě neúspechu podniknul nějakou akci.

Prakticky každá věc se dá udělat složitějším a o něco lepším způsobem. Místo /etc/passwd můžu mít LDAP server, místo PSK můžu použít RADIUS, místo ext4 můžu mít ZFS, místo shození web serveru na deset sekund při výměně certifikátu můžu změnit konfiguraci a udělat výjimu z redirectů a rewrite a server jenom reloadnout, místo spoléhání na info mail z cronu můžu udělat sofistikovaný systém, který najde certifikáty končící za X dní, pokusí se je obnovit a pokud se mu to Ykrát nepovede, začne řešit situaci eskalací na předem definovaný seznam e-mailů a založí ticket na jira / redmine... Když budu mít https serverů 50, určitě investuji hodinu a takové řešení najdu nebo vytvořím.

I přesto si ale myslím, že návody jak dělat věci nejjednodušším možným způsobem mají pořád smysl, já osobně hledám napřed takovéto.

(Stejně nakonec vznikne v rámci systemd nějaký letsencryptd, který poběží prostě pořád a bude si certifikáty i webservery hlídat v reálním čase. :-)

)

7.1.2016 11:03 Václav HFechs Švirga | skóre: 26 | blog: HF | Kopřivnice
Rozbalit Rozbalit vše Re: Let's encrypt za 10 minut pro hotentoty

Baník pyčo!

6.1.2016 17:45 Nuphar | skóre: 19
Rozbalit Rozbalit vše Re: Let's encrypt za 10 minut pro hotentoty

Koukám, že to je i pro openSUSE, https://software.opensuse.org/package/letsencrypt Asi to budu muset někdy vyzkoušet. :-)

Per aspera, Asparagus et Aspergillus ad a/Astra!

6.1.2016 02:03 Boris Dušek | skóre: 22 | blog: everything
Rozbalit Rozbalit vše Re: Let's encrypt za 10 minut pro hotentoty

Odpovědět | Sbalit | Link | Blokovat | Admin

Pro výměnu SSL klíče je potřeba apache shodit tak jako tak (opravdu, drží si jej v paměti, změna souboru nestačí)

mě vždy stačil "reload", tedy service apache2 reload (na apache 2.2.22).

Ještě nepamatuju si, jestli to po mě chtělo i při druhém a dalším spuštění, ale při prvním určitě a proto používám argument --agree-tos na souhlas s podmínkami služby, aby se to neptalo.

Taky je možné použít skript letsencrypt-renewer, který projede všechny získané certifikáty a obnoví ty, které mají 30 dní do vypršení (použije identické argumenty, jako při prvním vystavení certifikátu, zaznamenává si je totiž do souboru).

Nakonec je potřeba si dát pozor, že v současné době je na jednu registrovanou doménu možné registrovat maximálně 5 certifikátů za posledních 7 dní (i když tyto limity mají kvůli rozjezdu a budou je postupně zvedat). Registrovaná doména je to, co si člověk registruje u registrátora (takže ne její subdomény), a do limitu pro jednu registrovanou doménu se počítá jakýkoliv certifikát, kde je použita daná registrovaná doména (ať už přímo, nebo jako subdoména). Takže pozor při experimentování s obnovováním (aneb hádejte, co se mi před 2 týdny stalo :-)

). Pro experimentování lze použít testovací server vydávající neplatné certifikáty, který ale nemá prakticky žádné limity jako ten uvedený výše (parametr --test-cert).

vim ~/.emacs

6.1.2016 02:09 Boris Dušek | skóre: 22 | blog: everything
Rozbalit Rozbalit vše Re: Let's encrypt za 10 minut pro hotentoty

Ještě doporučuju makro, které jsem si pro letsencrypt udělal (apt-get install libapache2-mod-macro; a2enmod macro, pokud je to Apache starší než 2.4):


<Macro LetsEncrypt $host>

    SSLEngine On

    SSLCertificateFile      /etc/letsencrypt/live/$host/cert.pem

    SSLCertificateKeyFile   /etc/letsencrypt/live/$host/privkey.pem

    SSLCertificateChainFile /etc/letsencrypt/live/$host/chain.pem

</Macro>

Dá se to dát např. do /etc/apache2/letsencrypt.local.conf

Pak už ve virtuálním hostu stačí jen:


Use LetsEncrypt muj.server.cz

vim ~/.emacs

6.1.2016 02:11 Boris Dušek | skóre: 22 | blog: everything
Rozbalit Rozbalit vše Re: Let's encrypt za 10 minut pro hotentoty

/etc/apache2/letsencrypt.local.conf

Vypadlo mi: /etc/apache2/conf.d/letsencrypt.local.conf

vim ~/.emacs

6.1.2016 09:02 xvasek | skóre: 21 | blog: | Zlín
Rozbalit Rozbalit vše Re: Let's encrypt za 10 minut pro hotentoty

Pěkné pěkné. Až jich tam budu mít kutu, tak to použiju.

6.1.2016 07:20 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Let's encrypt za 10 minut pro hotentoty

Odpovědět | Sbalit | Link | Blokovat | Admin

SSLProtocol all -SSLv2
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM

SSLv3 a RC4 nebrat!

Pokud chcete uspokojivé bezpečné nastavení pro většinu klientů, lze se řídit doporučením Mozilly: https://mozilla.github.io/server-side-tls/ssl-config-generator/

Heron

6.1.2016 09:09 xvasek | skóre: 21 | blog: | Zlín
Rozbalit Rozbalit vše Re: Let's encrypt za 10 minut pro hotentoty

Díky, opraveno v blogu i na serveru. Cítím se hned bezpečněji. :-)

6.1.2016 09:54 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Let's encrypt za 10 minut pro hotentoty

Supr

Heron

6.1.2016 10:56 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Let's encrypt za 10 minut pro hotentoty

Odpovědět | Sbalit | Link | Blokovat | Admin

Nauc se pouzivat OCSP Stapling.
Normalni autorita ve chvili vydani noveho certifikatu revokuje stary a nacachovany staple na web serveru umozni staremu certifikatu, aby se jeste tu chvilku, nez ho vymenis, tvaril jako platny.

6.1.2016 11:13 xvasek | skóre: 21 | blog: | Zlín
Rozbalit Rozbalit vše Re: Let's encrypt za 10 minut pro hotentoty

Na to mám moc starou verzi apache. Samozřejmě beru, že existuje hodně metod, jak to celé vypiplat k mnohem větší dokonalosti a taky beru, že uvedený postup je blbý pro hodně zatížené weby. Toto je quick and dirty jednoduchá cesta pro server, kam chodí pár desítek / stovek lidí, prostě takové to domácí žvýkání.

7.1.2016 02:08 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Let's encrypt za 10 minut pro hotentoty

Pokud vím, LetsEncrypt staré certifikáty nerevokuje. Ono stejnak moc dlouho neplatí, tak je to jedno a jen by to překáželo.

Hello world ! Segmentation fault (core dumped)

9.1.2016 01:24 limit_false | skóre: 23 | blog: limit_false
Rozbalit Rozbalit vše Re: Let's encrypt za 10 minut pro hotentoty

LetEncrypt šlo cestou Revocation Doesn't Work, což si myslím, že je správné spolu s omezením platnosti certifikátu. OCSP ani Multi OCSP nebudou fungovat. Nikdo se ani nepokoušel RFC 6961 implementovat.

Heh, si vzpomínám jak jsem před 10 lety na zkoušce divil vůbec, jak by revokace mohla prakticky spolehlivě fungovat :-)

No nefunguje v žádném protokolu, TLS, PGP ani jiném.

When people want prime order group, give them prime order group.

9.1.2016 10:25 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Let's encrypt za 10 minut pro hotentoty

Ono to mozna bylo jedno az do Heartbleedu.

6.1.2016 11:59 ::: | skóre: 14 | blog: e_lama
Rozbalit Rozbalit vše Re: Let's encrypt za 10 minut pro hotentoty

Odpovědět | Sbalit | Link | Blokovat | Admin

> Let's encrypt za 10 minut...

Neco me to pripomina :-)

Moe: The deep fryer's here. I got it used from the Navy. You could flash fry a buffalo in forty seconds.

Homer: Forty seconds? But I want it now!

7.1.2016 14:13 biolog
Rozbalit Rozbalit vše Re: Let's encrypt za 10 minut pro hotentoty

To chcete říct, že 10 minut je zanedbatelný množství času? Je to velké zlepšení, vskutku. Ale 10 minut strávit operací, která je v principu ekvivalentní zaškrtnutí checkboxu "Nabízet HTTPS jako všichni", je stále práce hodně.

7.1.2016 15:00 ::: | skóre: 14 | blog: e_lama
Rozbalit Rozbalit vše Re: Let's encrypt za 10 minut pro hotentoty

To chcete říct, že 10 minut je zanedbatelný množství času?

nene, neni. Asi to bude znit blbe, ale ja v tomhle ohledu casto uvazuju stejne jako Homer :-)

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje