![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Entry tags:
Let's encrypt!
Что я думаю про проект Let's encrypt?
Ну, прежде всего, он вполне в рамках уже обозначившихся тенденций. Недавно обнародована http://www.internetsociety.org/news/internet-society-commends-internet-architecture-board-recommendation-encryption-default позиция ISOC по шифрованию всего и вся, появились инициативы по шифрованию DNS-трафика и т.п.
Удобный протокол и отсутствие ограничений на использование сертификатов (для некоммерческих целей сертификат получить можно уже довольно давно) сильно перепашет рынок. Участники проекта много денег зарабатывают и так, так что проект скорее всего обойдется недорого. Браузеры новый УЦ добавят. Предлагаемая автоматизация сильно упрощает жизнь. Если еще и WildCard-овые сертификаты так можно будет добывать, то для традиционных УЦ останется только ниша сертификатов с проверкой бумаг.
Проблемы я вижу во внедрении в риаллайф. Для тех, кто сам себе хостер (VPS, выделенный сервер...) это проблемы решает полностью. Несколько хуже жизнь устроена у тех, кто живет на традиционном хостинге - с кучей доменов на одном IP и прочими радостями. Потому что хостеру нафиг не сдалось увеличение нагрузки на его железо "просто так". У тех, у кого TLS по делу, и средний чек больше. С облачным хостингом тоже не уверен, что все будет гладко, хотя CloudFlare уже предлагает Universal SSL.
Осталось дождаться 2-го квартала 2015, когда это все заработает по полной.
Ну, прежде всего, он вполне в рамках уже обозначившихся тенденций. Недавно обнародована http://www.internetsociety.org/news/internet-society-commends-internet-architecture-board-recommendation-encryption-default позиция ISOC по шифрованию всего и вся, появились инициативы по шифрованию DNS-трафика и т.п.
Удобный протокол и отсутствие ограничений на использование сертификатов (для некоммерческих целей сертификат получить можно уже довольно давно) сильно перепашет рынок. Участники проекта много денег зарабатывают и так, так что проект скорее всего обойдется недорого. Браузеры новый УЦ добавят. Предлагаемая автоматизация сильно упрощает жизнь. Если еще и WildCard-овые сертификаты так можно будет добывать, то для традиционных УЦ останется только ниша сертификатов с проверкой бумаг.
Проблемы я вижу во внедрении в риаллайф. Для тех, кто сам себе хостер (VPS, выделенный сервер...) это проблемы решает полностью. Несколько хуже жизнь устроена у тех, кто живет на традиционном хостинге - с кучей доменов на одном IP и прочими радостями. Потому что хостеру нафиг не сдалось увеличение нагрузки на его железо "просто так". У тех, у кого TLS по делу, и средний чек больше. С облачным хостингом тоже не уверен, что все будет гладко, хотя CloudFlare уже предлагает Universal SSL.
Осталось дождаться 2-го квартала 2015, когда это все заработает по полной.
no subject
no subject
А под Revocation у них все заточено вроде.
no subject
apt-get install lets-encrypt && lets-encrypt имя-домена
а оно дальше само.. Если это действительно так ....
no subject
https://github.com/letsencrypt/lets-encrypt-preview/blob/master/letsencrypt/client/payment_challenge.py
Я подумываю добавить поддержку автоматического заказа подписи для частного CA root в FreeIPA, когда они заработают, чтобы совсем все просто было.
no subject
no subject
А еще нужно в certmonger добавить их протокол для ведения сертификатов, вот. Это будет полезнее, потому что certmonger умеет отслеживать и автоматически обновлять имеющиеся сертификаты.
no subject
А зачем CA при таком подходе?
no subject
Во многих организациях сертификаты выпускают для всех систем, которые логинятся в внутреннюю сеть, например.
no subject
no subject