ugrás a tartalomhoz

Entering Public Beta

MadBence · 2015. Dec. 4. (P), 04.28
Publikus béta fázisba ért az ingyenes tanúsítványokat nyújtó Let’s Encrypt szolgáltatás
 
1

Aki valamiért nem szeretné

MadBence · 2015. Dec. 4. (P), 12.41
Aki valamiért nem szeretné használni a CLI-t, annak jól jöhet: https://gethttpsforfree.com/
2

Ha mégis a CLI-t használod,

Joó Ádám · 2015. Dec. 4. (P), 16.07
Ha mégis a CLI-t használod, de manuális módban, akkor nem árt tudni, hogy szemben más CA-kkal, a kérést DER-be kell kódolni, és kötelező használni a subjectAltName kiterjesztést, különben elég barátságtalan hibaüzenet a válasz.
cp /etc/ssl/openssl.cnf /tmp/

cat <<END >> /tmp/openssl.cnf

[ reqexts ]
subjectAltName = DNS:example.com
END

openssl req -new -config /tmp/openssl.cnf -reqexts reqexts -key example.key -sha512 -outform der -out example.csr
3

Kérdés

Hidvégi Gábor · 2015. Dec. 21. (H), 16.47
Igaz az, hogy a Let's Encrypt ellenőrzés nélkül ad bárkinek tanúsítványt?
4

Röviden: ellenőrzi, hogy

MadBence · 2015. Dec. 21. (H), 17.58
Röviden: ellenőrzi, hogy valóban hozzáférésed van a domainhez. Részletekért érdemes az ACME protokollt olvasgatni. Egyébként minden más CA hasonló ellenőrzéseket végez egy hasonló cert kiállítása előtt, a letsencryptnél azonban mindez automatikusan történik (így jóval gyorsabb az egész folyamat, nem igényel emberi beavatkozást).
Létezik EV cert is, ott jóval komolyabb feltételekkel állítanak ki tanúsítványt, a letsencrypt ilyet nem tud.
5

Csak hogy teljesen tiszta

Joó Ádám · 2015. Dec. 22. (K), 07.40
Csak hogy teljesen tiszta legyen, Bencét magyarázva:

– A domain validált tanúsítvány azt garantálja, hogy a megfelelő domainhez kapcsolódsz, semmi többet. Ilyeneket állít ki a Let’s Encrypt miután automatizáltan ellenőrzi, hogy hozzád tartozik a domain.

– Az EV tanúsítvány ezen felül ellenőrzést követően a domainhez tartozó jogi személyt is feltünteti. Ezen túl ez sem nyújt semmi más garanciát.
6

Azért azt jegyezzük meg, hogy

pp · 2015. Dec. 22. (K), 08.38
Azért azt jegyezzük meg, hogy a zöld lakat az zöld lakat a ceg.hu és a ceg.atvero.hu esetén is, míg egy EV esetén ott a cég neve is a lakat mellett.

Az egyik tanúsítvány azt tanúsítja, hogy titkos kapcsolaton kapcsolódsz, míg a másik, azt, hogy mely cég vagy szervezet felé küldöd az adataidat titkos csatornán.

Szerintem ez nagyon nem mindegy. Btw milyen más garanciát kéne nyújtania egyébként?

pp
7

Az egyik tanúsítvány azt

Joó Ádám · 2015. Dec. 22. (K), 09.33
Az egyik tanúsítvány azt tanúsítja, hogy titkos kapcsolaton kapcsolódsz


Hogy titkosított kapcsolaton kapcsolódsz a feltüntett domainhez (tehát nem valaki máshoz).

a másik, azt, hogy mely cég vagy szervezet felé küldöd az adataidat titkos csatornán


Ez csak akkor hordoz hozzáadott értéket, ha nem tudod, hogy egyébként a domain kihez tartozik. A Google például ezért nem használ EV-t, hisz a cég egyenlő a google.com domainnel.

Btw milyen más garanciát kéne nyújtania egyébként?


Nem tudom, sokmindent képzelnek az emberek a lakat mögé, például a megbízhatóságnak valamiféle bizonyítékát.
8

És ez miben jobb, mint a self

Hidvégi Gábor · 2015. Dec. 22. (K), 14.47
És ez miben jobb, mint a self signed certificate?
9

Self

vbence · 2015. Dec. 22. (K), 14.51
A self-signed esetén bárki generálhat egy másikat a te neveddel és kész a man-in-the-middle attak. A tanúsítványok elsősorban ez ellen védenek; nem állíthat be bárki egy SSL proxyt és térítheti el a DNS válaszodat.