mkcert, https na localhostu snadno a rychle

Filippo Valsorda (@FiloSottile) z Go týmu společnosti Google představil na svém blogu nástroj mkcert usnadňující nastavení https na localhostu. Nástroj ocení především vývojáři webových aplikací [Hacker News].

Utilita zajímavá. Ale koknul jsem na zdojáky a marně přemýšlím, k čemu autor potřebuje přes 30 000 řádků kódu...

Je pravda, že většina toho je v adresáři vendor, takže tam zřejmě nakopíroval nějaké knihovny a nepsal to sám (BTW: v Go se nepoužívají sdílené knihovny?), ale i tak tam zbývá asi tisíc řádků v jazyce Go, které tvoří samotný program mkcert.

Takovéhle věci se snad běžně píšou v shellu, ze kterého se provolá třeba příkaz openssl a pak se něco někam nakopíruje nebo se zavolá jiný příkaz, ne? Odhadem by se takový skript měl vejít na jednu obrazovku. Na co těch tisíc řádků? Asi nejsem ten správný vývojář z Go týmu společnosti Google, když tomu nerozumím :-D

7.1.2019 13:44 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: mkcert, https na localhostu snadno a rychle

Já na tohle používám skript, který má 53 řádků, ale zas pokud chceš udělat trochu robustní nástroj, který bude fungovat na různě nastavených strojích, bude řešit všelijaké obskurnější případy a bude konfigurovatelný, tak se na tisícovku dostaneš velmi snadno.

Hello world ! Segmentation fault (core dumped)

7.1.2019 16:54 pavele
Rozbalit Rozbalit vše Re: mkcert, https na localhostu snadno a rychle

Kam se kopíruje klíč CA, když to potom funguje pro všechny prohlížeče?

Jak se to potom odstraňuje?

7.1.2019 18:37 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: mkcert, https na localhostu snadno a rychle

Jsou dvě možnosti. Buď si naimportuješ certifikát svojí autority do prohlížeče, nebo ho naimportuješ do systémového úložiště certifikátů (/etc/ssl/...). Druhá možnost zdůvěryhodní tvoje certifikáty ve všech programech, první jen v tom prohlížeči.

Pak už to je jen o přegenerování certifikátu (tj. dvě volání openssl) a reloadnutí HTTP serveru, když ti přibude další virtualhost v konfiguraci.

Hello world ! Segmentation fault (core dumped)

7.1.2019 19:07 pavele
Rozbalit Rozbalit vše Re: mkcert, https na localhostu snadno a rychle

Also, unlike OpenSSL, it does the right thing by default, instead of forcing you to use a dozen flags and materialize a config file for each certificate. (That is, it uses Subject Alternative Names, instead of the 20-years-deprecated Common Name.)

Chtěl bych jen doplnit, že pokud se nepoužije při generování "Subject Alternative Names", tak není šance zobrazit "zelenou ikonku" v prohlížeči - webový prohlížeč to prostě "nezkousne".

Píši to jen proto, že drtivá většina návodů na tvorbu certifikátů s tímto nepočítá.

A taky se mi stalo, že ve Windows to Edge "neskousnul", pokud bylo v "Subject Alternative Names" localhost.

Škoda, že v linuxu není žádné GUI pro práci s certifikáty jako ve W10. :-)

8.1.2019 11:25 Cert GUI
Rozbalit Rozbalit vše Re: mkcert, https na localhostu snadno a rychle

Zkus raději psát do Google, než něco takového vypustíš do komentáře. Namátkou: EJBCA, XCA, OpneCA, TinyCA

8.1.2019 00:46
Rozbalit Rozbalit vše Re: mkcert, https na localhostu snadno a rychle

Já na tohle používám skript, který má 53 řádků

Ten ale určitě nemá podporu emoji!

8.1.2019 10:34 m.
Rozbalit Rozbalit vše Re: mkcert, https na localhostu snadno a rychle

No, jestli ti to prijde moc, tak jim posli patch.

8.1.2019 17:01 Cabrón
Rozbalit Rozbalit vše Re: mkcert, https na localhostu snadno a rychle

> v Go se nepoužívají sdílené knihovny?

Není to už horká novinka (sdílené knihovny Go začal podporovat ve verzi 1.5, tj. druhá polovina 2015), ale pořád je adopce prakticky nulová, ABI stabilita mizerná, funkčnost není na všech platformách (i některé amd64 to zatím nemají).

mkcert, https na localhostu snadno a rychle

Komentáře