Let's encrypt ssl certifikat pitanje

Jel neko koristi https://letsencrypt.org/getting-started/ ?

I da li njihov cert podrzavaju android/ios uredjaji?

Ideja je odlična, ali Let’s encrypt nije ‘punokrvni’ SSL certifikat.

@id78 Ako mislis zeleni li se chrome na androidu kad odes na web sa let’s encrypt certom onda da. @ControlEng Zasto?

Zato što podržava samo TLS 1.0, TLS 1.1 i TLS 1.2 standarde

Ne razumijem se bas u tls, ali nije li 1.2 zadnja verzija, i ako je tako, zasto si onda naveo “samo”?

Zato što (po defaultu) ne podržava SSL 2.0 i SSL 3.0
SSL 2 je već zastario standard ali SSL 3 još kako treba i biti će aktualan naredne 3-4 godine. Postoje najave da će Let’s encrypt i to srediti ali to su samo najave…
By the way, od prije godinu dana Virtualmin sadrži Let’s encrypt modul za generiranje SSL certifikata izravno iz sučelja što je pohvalno u svakom slučaju.

Hvala na pojasnjenju. Koliko znam, nije li SSL 3 deprecated, i ranjiv na neki napad. Sto za mene kao web developera znaci to sto ne podrzavam SSL 3 i nije li ga zapravo pametno ne podrzavati (s obzirom na sigurnosni propust)?

SSL 2 je ranjiv i na srce, i na pudlu i na svašta nešto. SSL 3 tu puno bolje stoji a njegova uporaba je još uvijek raširena. Nemoj misliti da je TLS 1.2 siguran.
Da se mene pita, ja bi SSL standard odavno izbacio, kao i Windows, IE, Outlook… na žalost, ljudi su robovi navika te i dalje koriste nešto što je staro i nesigurno.
U svakom slučaju, palac gore za Let’s Encrypt i njihovu inicijativu :slight_smile:

Hmh, ne zelis imat SSL v3 nigdje, to je deprecated. Cak je i TLS 1.0 exploitan, ali onda otfikaris neke starije klijente pa ako zelisi podrzavati ne iskljucujes,a i nije toliki bed imat tls 1.0. Ali sslv3 nikako. Lets encrypt je punokrvni cert, domain validated, njihov CA je uguran u trust store vecine (svih?) modernih browsera i sve 5 s time. Jedini pita je to sto ga moras renewat svakih 3mj. i mijenjat ga na disku…

Btw. mislim da ti support za protocole nije do lets encrypt certa i da ce radit sslv3 s njim u apachetu vec do konfiguracije ssl-a i protokola na serveru u servisu kojeg koristis. Neda mi se sad testirat, sslv3 ne palimo…

Sto se tice obnove ima cronjob za te poslove.

a SSL kontam koristit samo radi sminke, nije neka stranica koja hendla sa vaznim informacijama… neg eto… kurcenja radi.

@ControlEng Evo testirano, u pravu sam, Radi lets encrypt sa sslv3, nema to veze sa certom vec sa konfiguracijom servisa i ssl-a :slight_smile:

@id78 mozes s cronom rjesit, Ali - znaju klijenti zacachirat pa ne povuc novi iz prve sto nije fun za tri mjeseca mira. I nemoj nikakako koristit tipa isti cert za drugo ime npr. imas mojadomena.com i cert za to, a koristis isti cert za mail.mojadomena.com jer ce ti mail klijenti radit probleme (iphone zna zezat, outlook dosadan sa popup warningom i sl.) Saljem ti samo za info :slight_smile:

Hvala za info.

Ako netko koristi VestaCP na serveru, neg pogleda ovo https://github.com/interbrite/letsencrypt-vesta

da olaksam muke narodu :stuck_out_tongue:

@serverlab btw ne koristim email nikad na serveru gdje je web, svi mailovi idu na Google Apps i Zoho. I externi DNS servis (Cloudns.net).

Koristis generalno?

r

@serverlab hvala za info. Nisam već 5 mjeseci radio pokuse s ovim servisom, izgleda da su izmijenili chain i sredili CA, što je svakako za pohvalu. Malo ću se pozabavit tematikom čim ulovim vremena pa postam iskustva. Nego, daj molim te ako imaš vremena pogledaj temu Croatian Web Hosting | SpeedTest i napravi DL onog 1000Mb.zip fajla. Znam da imaš dobre linkove, pusti printscreen javno ili meni na pp, kako ti lakše. Hvala unaprijed :slight_smile:

ispričavam se što ovako upadam no pošto vidim da su u temi upućeni porfesionalci jedno teoretsko pitanje.
Da li taj certifikat može na shared hosting (linux) i to bez dodatne dedikated ip adrese? (naravno mislim na hosting koji je podešen i koji ima deklarirano da može u sklopu cijene.)

Moze naravno

1 Like

Evo:

wget s te virtualke na server s 300Mbit/s linkom u Parisu ide oko 465KB/s tj. 3.7Mbit/s.

Iz carnet mreze brzina downloada s te virtualke ide 39.5MB/s tj. 316Mbit/s.

Iz Frankfurta sa servera sa 250Mbit/s linkom download s tvoje virtualke ide oko 1.5-3MB/s tj. 13-24Mbit/s

Iz Amsterdama ide oko 1.5 MB/s. tj. 12Mbit/s

Ako pisem raspone to je zato jer mi se nije dalo cekati da se skine pa da napise prosjek izmedju raspona.

Imas los peering na van, dobar u HR, bar sto se tice carneta… London trenutno ne mogu poslati :slight_smile:

Hvala. Znam za peering izvan HR, i ja sam testirao s nekih naših pričuvnih servera izvan HR. VIPnet gigabitni link.
Dobra vijest je što smo prije nekoliko dana dobili RIPE LIR status, te ćemo narednih dana raditi BGP peering našeg /22 bloka. Informacija mi je bila bitna prije nego što započnemo s operacijom na otvorenom srcu :slight_smile:
Kakav ti je Carnet link (Mbps)?

Zaspamali smo temu, ispričavam se adminu neka briše ili premjesti ako smo prekršili pravila.

Link je gigabitni

Let’s Encrypt je kao CA izišao iz bete ali je njihov client(od nedavno se zove CertBot) je dalje u beti.
Njihov cilj je free enkripcija cijelog weba i automacija cijelog procesa. Ja ne vidim razlog zašto bi se netko zejebavao s mailovima i slanjem CSR-a i onim manualnim poslovima. Ovdje jedna komanda i nabavio si certifikat i u buduće kad se sredi CertBot automatski instalira i konfigurira koristeći najbolju praksu. Nemam potrebu da idem na SSLLabs i pratim kad se će se desiti novi POODLE, BEAST ili tako nešto. Trenutno je samo na Apache-ju moguće nabaviti cert i automatski ga instalirati sa --apache flagom. Naravno LE ima i manjkavosti(trenutno ne izdaju wildcard certifikate, samo SAN, ali su otvoreni za tu opciju u budućnosti). Što se tiče 90 dana valjanosti imate ovdje temu https://community.letsencrypt.org/t/pros-and-cons-of-90-day-certificate-lifetimes/4621/1

Neki spominju SSLv2, ja ne znam gdje se može naći bilo kakav klijent koji podržava taj protokol koji je razbijen odmah čim je pušten public (davne 1995), možda u nekom muzeju ima tako nešto :slight_smile: