Let's Encrypt SSL-sertifikaatit

[ungefaer]

Onko hyvä?

 

[nerdbuster]

On. Helppoa kun löytyy esim valmiit debit apuohjelmaa varten jne

 

[olkitu]

Hyvä ja helppo käyttää...

https://certbot.eff.org

Sieltä ohjeet löytyy...

Tulee muistaa sitten että mihin käyttöön sertifikaatti tulee. Sopii hyvin kaikille perussivuille (ja pitäisi olla kaikissa nykyisin varsinkin jos kirjautuminen) ja miksi ei foorumille kuten tämä. Jos pidät verkkokauppaa ole hyvä ja hanki kaupallinen sertifikaatti sillä kyseessä aina luottamuksesta varmentajaan.

 

[burner]

No eipä nuihin kaupallisiin ole sen enempää luottaminen. Useampaan kertaan toteen näytetty, että eivät oikein mitenkään fiksusti validoi certin tilaajaa. Siinä mielessä ihan validi certi alkaa olemaan melkeempä missä vain. Tokihan jos oikein vimpan päälle haluaisi, niin käyttäisi jotain tiettyä vendoria jonka sitten mainitsisi käyttäjille ja sen sitten osaisi verifioida yksi tuhannesta

 

[ungefaer]

Kuinka hyvin selaimet yms. sitä tukevat eli onko käyttäjän näkökulmasta odotettavissa ongelmia enemmän kuin kaupallisilla sertifikaateilla? Tälläinen toki löytyi: Which browsers and operating systems support Let’s Encrypt.
Jos olisi varaa sijoittaa johonkin kaupalliseen sertifikaattiin sieltä edullisimmasta päästä niin onko siitä mitään hyötyä verrattuna Let's Encryptin ilmaiseen sertifikaattiin?

 

[Väinämöinen]

Käytännössä ei mitään syytä käyttää kaupallisia sertifikaatteja, ellei lisenssisyistä ole pakko. En ainkaan itse löydä mitään todellisia eduja verrattuna noihin "halpoihin" kaupallisiin.

 

[samim]

Jos ymmärin oikein, niin LE haluaa varmistua netin kautta, mihin palveluun sertti laitetaan. Eli tätä ei voi käyttää privaattiverkossa oleviin reititin jne. -härveleihin, kun niihin ei pääse netistä kiinni. Vai voiko tämän jotenkin kiertää?

 

[escalibur]

Käytännössä ei mitään syytä käyttää kaupallisia sertifikaatteja, ellei lisenssisyistä ole pakko. En ainkaan itse löydä mitään todellisia eduja verrattuna noihin "halpoihin" kaupallisiin.

Ehkä suuressa maailmassa noista maksullisista saa sitä vakuutusta/korvausta, jos murron syyksi osoittautuu nimenomaan itse sertifikaatti. Tosin jonkun $1 000 000 korvauksen saaminen on varmaan yhtä todennäköistä, kuin lottovoitto.

 

[Väinämöinen]

Ei oikein järkevä privaattiverkkojen laitteisiin, enenmänkin tuo on tarkoitettu järjestelmiin, jotka jotenkin näkyvät julkiseen verkkoon (pääkäyttökohteenahan tuossa on webbipalvelimet). Tällaisen ohjeen kuitenkin löysin jota soveltamalla saattaisi hieman monimutkaisempikin säätö kuitenkin onnistua.

https://tty1.net/blog/2015/using-letsencrypt-in-manual-mode_en.html

 

[Väinämöinen]

Ehkä suuressa maailmassa noista maksullisista saa sitä vakuutusta/korvausta, jos murron syyksi osoittautuu nimenomaan itse sertifikaatti. Tosin jonkun $1 000 000 korvauksen saaminen on varmaan yhtä todennäköistä, kuin lottovoitto.

Joo, kaupallinen käyttö on sitten erikseen. Tosin minusta nuo kaupalliset serttien murtokorvaukset on kyllä lähinnä huvittavia .

Lisenssipuoli sitten toinen tarina, huom

"Commercial users are welcome to use Let's Encrypt for commercial and for-profit purposes. This is an intended use; we don't have any desire to restrict the use of our services to non-profit or non-commercial purposes."

https://community.letsencrypt.org/t/are-they-limitations-on-who-can-use-lets-encrypt/687

Tämän mukaan käyttö myös kaupalliseen tarkoitukseen olisi siis ok. Mutta käsittääkseni mitään korvauksia/SLA:lla olevaa tukea tms. ei ongelmatilanteissa ole tarjolla.

 

[olkitu]

Vapaasti siis käyttää Letsencryptiä ja parempi se on kuin halvat kaupalliset.

Domain Validation sertifikaatteja kun ei varmenneta kuin domain tasolla...

Organzation Validation on sitten jo eri asia ja näissä tehdään omat varmennukset...

EV vielä vaikeampi ja luotettavin...

 

[Esa]

Kyllä privaattiverkoissakin oleviin laitteisiin tuon saa. Kyllä se LE otaa yhteyttä ulospäin varmenteen tarjoaja tahoon ja kun varmentaja vastaa niin reitittimet osaavat ohjata liikenteen oikealle sisäverkon laitteelle. Ainoa vaatimus tietenkin on että privaattiverkon laitteella pitää olla pääsy ulospäin julkiseen verkkoon. Ja varmennehan pitää hakea julkisesti olemassa olevalle domain päätteelle eli esim .local tjsp ei onnistu.

 

[Väinämöinen]

Kyllä privaattiverkoissakin oleviin laitteisiin tuon saa. Kyllä se LE otaa yhteyttä ulospäin varmenteen tarjoaja tahoon ja kun varmentaja vastaa niin reitittimet osaavat ohjata liikenteen oikealle sisäverkon laitteelle. Ainoa vaatimus tietenkin on että privaattiverkon laitteella pitää olla pääsy ulospäin julkiseen verkkoon. Ja varmennehan pitää hakea julkisesti olemassa olevalle domain päätteelle eli esim .local tjsp ei onnistu.

Juu, tarkoitinkin nimeomaan sellaisia privaattiverkon laitteita, joilla ei ole julkiseen verkkoon nimenselvennystä tarjoavaa osoitetta.

 

[olkitu]

Juu, tarkoitinkin nimeomaan sellaisia privaattiverkon laitteita, joilla ei ole julkiseen verkkoon nimenselvennystä tarjoavaa osoitetta.

Noh jos on julkinen osoite niin laitappa ulkoa pointtaamaan jonnekkin osoitteeseen ja sinne luot sertit ja sitten siirrät privaattiverkon palvelimelle joka 3kk välein... Toimii... Jokainen Domain Validation pitää varmentaa että olet omistaja ja pitää olla postipalvelin normaalisti. Jos vaan omaan käyttöön niin luoppa itse CA systeemi ja sitten tallennat sen koneeseesi. Voit generoida vaikka 10 vuotisen sitten ja luotat omaan sertifikaattiin.

 

[Väinämöinen]

Jos vaan omaan käyttöön niin luoppa itse CA systeemi ja sitten tallennat sen koneeseesi. Voit generoida vaikka 10 vuotisen sitten ja luotat omaan sertifikaattiin.

Jos ei tarvitse olla luotettu certti, ja on valmis rootit itse asentamaan, niin ainahan sitä on esim. CAcert. http://www.cacert.org/

Tiedä tosin kuivuuko tuo pois kun Lets Encrypt valtaa alaa.

 

[Obi-Lan]

Suurin meh on, että varmenne validoidaan http kautta, eli jos sulla on SSL common name vaikka www.jorma.fi niin Lets Encryptin palvelin ottaa yhteyttä tuohon www.jorma.fi ja siellä pitää olla se Lets Encryptin softa vastailemassa validointi haasteisiin. Ja se, että se serti on 3kk.

Toimii niissä tapauksissa missä sulla on julkinen site ja saat sinne sen Lets Encryptin softan päivittämään sitä sertiä automaattisesti. Mulla esim. Synologyssä tuo, Synology tukee tuota Lets Encryptiä ja oma domain niin homma toimii bueno, ainoa miinus että pitää pitää tuota http porttia auki maailmalle.

Töissä taas voi olla enemmän perusteltua ostaa se 30e/3v sertti kun käyttää aikaa tälläiseen, riippuen vähän tapauksesta.

 

[Väinämöinen]

Toimii niissä tapauksissa missä sulla on julkinen site ja saat sinne sen Lets Encryptin softan päivittämään sitä sertiä automaattisesti. Mulla esim. Synologyssä tuo, Synology tukee tuota Lets Encryptiä ja oma domain niin homma toimii bueno, ainoa miinus että pitää pitää tuota http porttia auki maailmalle.

Mieluummin kyllä pitäisin tuollaiset sisäverkon laitteet sisäverkossa, kuin rupeaisin niiden portteja avaamaan ulkoverkkoon jotta saa https:n luotetulla sertillä toimimaan .

Minusta tuo Lets Encrypt on pääasiassa tarkoitettu julkisessa verkossa jo olevien palveluiden kanssa puljaamiseen, ja pääosin harrastelijoille. Busines puolella (etenkään isommissa jutuissa) en käyttäisi ihan johtuen siitä että tarvitsee erillisen softan toimiakseen, ja koska sertifikaatin ikä on varsin lyhyt. Uusimistilanteessa kun voi aina mennä jotain pieleen (itse olen omassa käytössäni jo törmännyt tuohon, ihan bugiton ei softa ole). Mieluummin itse business käytössä maksaisin siitä että saan pitempi-ikäisen sertin.

 

[Esa]

SSL sertifikaattihan on DNS osoitteesta riippuvainen joten jos julkisesti luotetun sertifikaatin haluat sisäverkon koneelle niin sitten pitää alkaa harrastamaan split dns säätämistä tai hosts tiedosto kikkailua.

 

[mnz]

Jeah tällähän sai näpsäkästi omaan owncloudiin certin vihdoinkin. Nappasin samalla palomuurin välistä pois, nehän on ihan turhia vermeitä

 

[erihyva]

Mitenkäs tuo vertautuu StartSSL Freehen?

StartSSL™ Free
UNLIMITED - Class 1 DV SSL Certificates

(up to 10 domains per Certificate)

UNLIMITED - Class 1 Email Validation

(S/MIME Certificate)

All certificates are valid for 3 years

$ 0.00

 

[olkitu]

Mitenkäs tuo vertautuu StartSSL Freehen?

StartSSL™ Free
UNLIMITED - Class 1 DV SSL Certificates

(up to 10 domains per Certificate)

UNLIMITED - Class 1 Email Validation

(S/MIME Certificate)

All certificates are valid for 3 years

$ 0.00

On vähän muuttunut mutta siis toi 3 vuodeksi yksi sertifikaatti maksimissaan sallittu. 60$ vuodessa saa sitten rajattomasti joka hyvä hintainen... StartSSL on jo melkeinpä kaikissa laitteissa hyvin tuettu.

 

[Obi-Lan]

StartSSL on nykään jotain hämärä Kiina kytköksiä, ei välttämättä tarkoita mitään mutta kuitenkin:
https://pierrekim.github.io/blog/2016-02-16-why-i-stopped-using-startssl-because-of-qihoo-360.html
Ja SSL sertin revoke taisi maksaa tuossa ilmaisessa, mutta ei kai siinä muuten mitään.

Mieluummin kyllä pitäisin tuollaiset sisäverkon laitteet sisäverkossa, kuin rupeaisin niiden portteja avaamaan ulkoverkkoon jotta saa https:n luotetulla sertillä toimimaan .

Tein tuon jotta pääsin kokeilemaan tuota Synologyn kännykkäappseja netin yli. Ajattelin luottaa tuon laitteen tietoturhaan, laitoin sen palomuurista geo-ip blokkauksilla päälle, https pakotuksen, hyvät salasanat ja 2FA.

SSL sertifikaattihan on DNS osoitteesta riippuvainen joten jos julkisesti luotetun sertifikaatin haluat sisäverkon koneelle niin sitten pitää alkaa harrastamaan split dns säätämistä tai hosts tiedosto kikkailua.

Niinhän se sen vaatii. Yksi tapa olisi käyttää sisäverkossa alidomainia esim. laite1.lan.domain.fi ja hostata tuota lan.domain.fi sisäverkon DNS palvelimilla. Tai kotimeiningeissä jos reititin toimii DNS proxynä, pystyykö sinne laittamaan stattisia ohjauksia tietyille osoitteille.

 

[olkitu]

StartSSL on nykään jotain hämärä Kiina kytköksiä, ei välttämättä tarkoita mitään mutta kuitenkin:
https://pierrekim.github.io/blog/2016-02-16-why-i-stopped-using-startssl-because-of-qihoo-360.html
Ja SSL sertin revoke taisi maksaa tuossa ilmaisessa, mutta ei kai siinä muuten mitään.


Tein tuon jotta pääsin kokeilemaan tuota Synologyn kännykkäappseja netin yli. Ajattelin luottaa tuon laitteen tietoturhaan, laitoin sen palomuurista geo-ip blokkauksilla päälle, https pakotuksen, hyvät salasanat ja 2FA.


Niinhän se sen vaatii. Yksi tapa olisi käyttää sisäverkossa alidomainia esim. laite1.lan.domain.fi ja hostata tuota lan.domain.fi sisäverkon DNS palvelimilla. Tai kotimeiningeissä jos reititin toimii DNS proxynä, pystyykö sinne laittamaan stattisia ohjauksia tietyille osoitteille.

Ei sinänsä haittaa koska privaattiavain on omalla palvelimella eikä koskaan lähetetä StartSSL:n sivulle. Näin ollen ei tule vaikuttamaan sivuston tietoturvaan mutta pidän silti Let's Encrypt monesti parempana vaihtoehtona. Hyvin se toimii sisäverkon laitteella jos jaksaa temppuilla ja säätää joka 3kk välein tai sitten se oma CA koska kerran asentamalla toimii hyvin kotikäytössä ja osassa firmoissakin vaikka se vähän könkköä asennella...

 

[Frederikin rintakarva]

Mozilla ainakin on ilmoittanut halunsa poistaa StartCom:n pois CA-listoiltaan http://www.theregister.co.uk/2016/09/27/mozilla_wants_woeful_wosign_certs_off_the_list/. Liittyy osittain ainakin WoSign tekemään StartComin ostoon.

Itsekin on tullut aiemmin käytettyä StartSSL jossakin sivustoilla, mutta nykyisellään Let's Encrypt on kyllä nopein ykkösvaihtoehto, sopivasti automatisoituna. Asia erikseen on palvelut, joissa turvapolitiikka tai vastaava sanelee vaatimukset.

 

[Paavo]

Suurin meh on, että varmenne validoidaan http kautta, eli jos sulla on SSL common name vaikka www.jorma.fi niin Lets Encryptin palvelin ottaa yhteyttä tuohon www.jorma.fi ja siellä pitää olla se Lets Encryptin softa vastailemassa validointi haasteisiin. Ja se, että se serti on 3kk.

Toimii niissä tapauksissa missä sulla on julkinen site ja saat sinne sen Lets Encryptin softan päivittämään sitä sertiä automaattisesti. Mulla esim. Synologyssä tuo, Synology tukee tuota Lets Encryptiä ja oma domain niin homma toimii bueno, ainoa miinus että pitää pitää tuota http porttia auki maailmalle.

Töissä taas voi olla enemmän perusteltua ostaa se 30e/3v sertti kun käyttää aikaa tälläiseen, riippuen vähän tapauksesta.

Nämä Let's Encryptin sertit saa validoitua myös DNS:n kautta automaattisesti, jos DNS-palveluntarjoajasi ja käyttämäsi LE clientti sitä tukee. Jos ei DNS-palveluntarjoaja ei tue automatisointia, niin validointi onnistuu myös manuaalisesti lisäämällä tarvittavat txt-recordit, jotka LE:n palvelimet käyvät sitten tarkastamassa ja siten varmentavat domainin hallinnan. Tällöin ei tarvitse pitää sisäänpäin portteja auki, jos niin ei halua. Validointia ei tarvitse tehdä edes samalta koneelta, jos sertifikaatin siirton haluttuun koneeseen hoitaa muulla tavalla.

LE:n "oma" clientti, Certbot, ei taida tuota (vielä) osata, mutta monet kolmannen osapuolen kikkulat osaa ja LE:n "backend" tukee tuota ihan virallisestikin. Certbottia en alun kokeilujen jälkeen ole edes asentanut.

Yksi simppeli clientti, joka osaa tämän ja jota käytän itse, on "acme.sh" https://github.com/Neilpang/acme.sh

DNS-validoinnissa tuolla kikkulalla on sekin hyvä puoli, että se ei vaadi mitään säätöjä webbiserverille (oikeisiin serteihin pointtaamisen lisäksi), ei webbiserverin (tms.) sammutusta porttien vapauttamiseksi, eikä edes root-oikeuksia.

 

[PietroMennea]

Siirryin taannoin Let's Encrypt-käyttäjäksi omissa harrastesivustoissa. Asennus oli Certbotilla helppoa ja toistaiseksi kaikki on toiminut kuten pitääkin, eikä yhteensopivuusongelmia ole ollut. Hinta-laatusuhde 5/5.

 

[east]

En ole päässyt asiassa lainkaan eteenpäin, vaikka tein kotisivut käsin ja sirryin jo CSS:än. En osaa luoda "IIS bindings", jotta voin asentaa sertifikaatin.

Koska Let's Encrypt suosittelee EFF:n Certbotin käyttöä, kannattaako tätä varten asentaa Linux? Toki homma ei välttämättä silti automatisoidu.

 

[olkitu]

Helpoiten onnistuu tosiaan Linuxin puolella tuo mutta onhan IIS:llekin oma sovellus sitä varten: Using Let's Encrypt with IIS on Windows

Linuxilla täysin automaattiseksi saa suht helposti, IIS:llä en olekaan itse ajanut ollenkaan mitään. Voisihan jossakin vaiheessa kokeilla miten se sillä onnistuu. certbot on se paras asiakasohjelma Linux puolelle ainakin.

 

[Paavo]

Infoksi, että Let's Encrypt sertit tukevat nyt myös wildcardeja, eli sertin saa esim osoitteille example.com, *.example.com ja toki myös *.subdomain.example.com, jne... Vaatii client-softalta tuen tälle, koska wildcard-sertit tulevat uuden v2 API:n kautta. Certbotti uusimmassa versiossaan osaa kaiketi tuon ja myös mun lempikäkätin, acme.sh.

Toinen info: Chrome/Google tulee vaatimaan, että uudet 30.4.2018 jälkeen myönnetyt sertifikaatit pitää olla logitettuna 2 - 5 eri Certificate Transparency/CT logiin (logien lukumäärä riippuu mm. sertin voimassaoloajasta), tai muuten niihin ei luoteta ja "todisteet logituksesta pitää tehdä". Todistelun logittamisesta voi tehdä joko sisällyttämällä todisteet (SCT:t, signed certificate timestampit) sertifikaattiin tai esim. serverin TLS-kättelyn yhteydessä.

Let's Encrypt on logittanut sertit jo jonkin aikaa CT-logeihin, mutta SCT:t eivät ole olleet vielä mukana sertifikaateissa. Onneksi eilisestä lähtien ainakin v2 API:n kautta (olettaisin että myös v1 API:n kautta) hankitut sertit sisältävät SCT:t mukana, eli mm Chrome ilmoittaa näin:

Nyt kun Let's Encrypt sisällyttää tarvittavat todisteet logituksestaan uusiin/uusittuihin serteihin, ei käytännössä tartte tehdä serverisoftille (tai Let's Encrypt clienteille) mitään ja näin olettaisin että muutkin CA:t ryhtyvät toimimaan, elleivät toimi jo.

Mikään sinänsä uusi asia tämä sertien logittaminen tai Certificate Transparency ei ole, vaikka otsikoilla ehkä joku alkaisi revittelemään. EV-sertit on pitänyt jo jonkin aikaa logitetella ja "todistella" näin, tai niiden EV-status on käsittääkseni piilotettu (vai liekö sertiin on lakattu luottamasta, en jaksa tarkistaa). Lisäksi tämä Chromen vaatimus ei koske ennen 30.4.2018 myönnettyjä sertejä, paitsi toki EV-sertejä.

PS: hyhe sivusto CT-logien katseluun: crt.sh | Certificate Search ja tuossa esim 'io-tech.fi' uusin serti: crt.sh | 347150999

 

[olkitu]

Juu wildcard tuki tuli ja eilen otin käyttöön. Wildcard siis vaatii DNS todennuksen eli suositeltavaa tietysti automatisoida tämäkin toiminto. Kyse tein siihen automatiikan että ei tarvitse käsin tehdä uusintaa.

 

[Obi-Lan]

DNS validoinnissa, onko validointi TXT record ns. pysyvä vai pitääkö se vaihtaa 3kk välein?

 

[olkitu]

DNS validoinnissa, onko validointi TXT record ns. pysyvä vai pitääkö se vaihtaa 3kk välein?

Jokaisessa uusinnassa oma TXT tietue joten kyllä vaihtaa pitää eli API rajapinta hyvä olla niin saa automaattisesti.

 

[Leo_Greta]

Vanhan ketjun nostoa, mutta kun sopii just omaan aiheeseen, niin en viitsi uuttakaan tehdä.

Eli voiko tuon LE:n sertin ottaa käyttöön dy.fi:n ddns-domainille, esim. omakone.dy.fi? Kuukkelia huudatettu, mutta ei vaan aukea itselle.

 

[spede]

Vanhan ketjun nostoa, mutta kun sopii just omaan aiheeseen, niin en viitsi uuttakaan tehdä.

Eli voiko tuon LE:n sertin ottaa käyttöön dy.fi:n ddns-domainille, esim. omakone.dy.fi? Kuukkelia huudatettu, mutta ei vaan aukea itselle.

Kyllä voi.

 

[muumio]

ddns domaineilla ainoa rajotus on wildcard sertin saanti ellei poikkeuksena joku tarjoa txt-tietueeseen pääsyä.

 

[Leo_Greta]

Kyllä voi.

Meneekö ihan certbotilla, vai vaatiko jotain erityistä?

 

[olkitu]

Meneekö ihan certbotilla, vai vaatiko jotain erityistä?

Menee ihan certbotilla - varmennus voi tehdä webrootilla tai sitten sovelluksen omilla plugineilla (kts.dokumentaatio).

 

[Leo_Greta]

Menee ihan certbotilla - varmennus voi tehdä webrootilla tai sitten sovelluksen omilla plugineilla (kts.dokumentaatio).

Onnistuuko noilla ohjeilla -> Certbot - Debianother Apache? Oma alusta on LAMP Debian 10:llä (buster) ja ei oo tarvettaa wildcardille kun käytössä on vain yks domaini muotoa omakone.dy.fi.

Niinjoo ja itse servu on pfSensen takana, johon oon tehny porttiohjaukset porteille 80 sekä 443 itse servuun, jos sillä on jotain merkitystä. Sivu toimii ongelmitta nytten, ainoostaan toi sertti pitäis saada vielä kehiin.

[edit] Tuolta näyttäs löytyvän tuosta Webrootista ohjetta: User Guide — Certbot 0.37.0.dev0 documentation

 

[spede]

Onnistuuko noilla ohjeilla -> Certbot - Debianother Apache? Oma alusta on LAMP Debian 10:llä (buster) ja ei oo tarvettaa wildcardille kun käytössä on vain yks domaini muotoa omakone.dy.fi.

Tuo ohje on siltä ajalta kun noita binäärejä ei ollu vielä repoissa vaan ne piti itse ladata jostain. Ihan pakettienhallinnasta löytyy tuo certbot kaikilla isoilla distroilla, ei tartte ladata mistään sivuilta itse sitä.

 

[ztec]

Vielä noista sertifikaateista, monta keskustelua on käyty ja monilta menee kokonaan se pointti ohi, että mikä tahansa luottettu sertifikaatti kelpaa. Sillä ei ole mitään merkitystä kuinka luotettava se myöntäjä on. Toisaalta jos käytetään CA pinningiä, niin tilanne parenee ja vaaditaan esim. EV certti. Mutta aivan yhtä hyvin voisi käyttää self-signediä ja sitten sovelluksessa joka ottaa yhteyttä, esim. appi, niin tarkistetaan vain fingerprint ja se on siinä.

Joskus jopa suorastaan ärsyttää tuo illuusio mikä ihmisillä on siitä, että sertifikaatti tekisi saitista jotenkin turvallisen ja vielä turvallisemman jos sertifikaatista on maksettu paljon (jolla ei valitettavasti ole yhtään mitään merkitystä.)

Päivittäin saa näitä keskusteluja kuunnella ja hiukset meinaa joskus lähteä päästä. Kyllä kaupallinen sertifikaatti on paljon luotettavampi tms. - LetsEncryptin kanssa suurin riski on tosissaan se, että sertifikaatin uusinnassa voisi olla ongelmia, mutta sitä varten ne sertit kuitenkin uusitaan ajoissa, joten aikaa korjaamiseen jää vaikka palvelu olisikin viikon tai kaksikin down.

Erityisesti siis tunnettujen järjestelmien kanssa, kuten omat palvelimet, tai "tunnetut lähipiirin / kumppanien palvelimet" niin fingerprint on paljon luotettavampi kuin mikään sertifikaatti voi koskaan olla (ilman pinningiä).

Saa korjata, jos olen ymmärtänyt jotain väärin. Mutta tämä on about 1000 turhan keskustelun yhteenveto tästä aiheesta tiivistettynä.

 

[olkitu]

Vielä noista sertifikaateista, monta keskustelua on käyty ja monilta menee kokonaan se pointti ohi, että mikä tahansa luottettu sertifikaatti kelpaa. Sillä ei ole mitään merkitystä kuinka luotettava se myöntäjä on. Toisaalta jos käytetään CA pinningiä, niin tilanne parenee ja vaaditaan esim. EV certti. Mutta aivan yhtä hyvin voisi käyttää self-signediä ja sitten sovelluksessa joka ottaa yhteyttä, esim. appi, niin tarkistetaan vain fingerprint ja se on siinä.

Joskus jopa suorastaan ärsyttää tuo illuusio mikä ihmisillä on siitä, että sertifikaatti tekisi saitista jotenkin turvallisen ja vielä turvallisemman jos sertifikaatista on maksettu paljon (jolla ei valitettavasti ole yhtään mitään merkitystä.)

Päivittäin saa näitä keskusteluja kuunnella ja hiukset meinaa joskus lähteä päästä. Kyllä kaupallinen sertifikaatti on paljon luotettavampi tms. - LetsEncryptin kanssa suurin riski on tosissaan se, että sertifikaatin uusinnassa voisi olla ongelmia, mutta sitä varten ne sertit kuitenkin uusitaan ajoissa, joten aikaa korjaamiseen jää vaikka palvelu olisikin viikon tai kaksikin down.

Erityisesti siis tunnettujen järjestelmien kanssa, kuten omat palvelimet, tai "tunnetut lähipiirin / kumppanien palvelimet" niin fingerprint on paljon luotettavampi kuin mikään sertifikaatti voi koskaan olla (ilman pinningiä).

Saa korjata, jos olen ymmärtänyt jotain väärin. Mutta tämä on about 1000 turhan keskustelun yhteenveto tästä aiheesta tiivistettynä.

Sertifikaatti eli todistus on kolmannenosapuolen myöntämä ja kolmasosapuoli vahvistaa että sivu on se ketä kertoo olevan. Ei se muuta tee. Tosin luotamme aika pitkälle että sertifikaattijärjestelmä toimii - ja sen uskottavuutta on myös horjuutettu. Nykyisin onneksi sertifikaatit tulisi olla Transparency lokissa joten helpottaa seurantaa ja valvomistakin.

Itseallekirjoitettu on ihan toimiva kun itse ja kaveri luottaa siihen. Ei se heikennä tietoturvaa yhtään. Salaus tapahtuu ihan muualla kuin sertifikaatissa.

Sertifikaatti Pinning on ainakin luovuttu selaimissa... Google taisi kokeilla ja se poistettu jo Chromestakin.

 

[Leo_Greta]

Tuo ohje on siltä ajalta kun noita binäärejä ei ollu vielä repoissa vaan ne piti itse ladata jostain. Ihan pakettienhallinnasta löytyy tuo certbot kaikilla isoilla distroilla, ei tartte ladata mistään sivuilta itse sitä.

Asia pihvi, enköhän mä näillä pääse eteenpäin. Tänks kaikille vastanneille !

 

[hissukka]

mulla on omakone.dy.fi osoite ja koitin certbotilla tehdä (Certbot - Ubuntubionic Apache) ohjeen mukaan. Meni komennot läpi ilman moitetta, mutta selain valittaa että net::err_cert_common_name_invalid
Mikä mättää?

 

[samim]

mulla on omakone.dy.fi osoite ja koitin certbotilla tehdä (Certbot - Ubuntubionic Apache) ohjeen mukaan. Meni komennot läpi ilman moitetta, mutta selain valittaa että net::err_cert_common_name_invalid
Mikä mättää?

Lukeeko selaimen osoiterivin alussa https://omakone.dy.fi/ vai jotakin muuta (esim IP-osoite?)

 

[hissukka]

lukee joo https://domaini.dy.fi, chrome sanoo että varmenne virheellinen. Pitääkö mulla olla portti 443 palomuurista auki? Nyt ei tosiaan oo ku portti 80.
edit: näköjään pitää olla portti 443 auki, niin toimii. Saako tuon 80 sulkea?

 

[samim]

Ei tuohon portit auta.
Jos olet tehnyt sertin nimelle omakone.dy.fi, niin et voi käyttää sitä muulla nimellä (et esim domaini.dy.fi).