Nebude. Alespoň zatím ne. Menšina zatím stále vede diskuze jak to vůbec udělat aby se nemusel zastavovat stávající webserver.
Přijde mi, že autoři jsou tak trochu retardovaný - místo toho aby jako první udělali jednorázovou utilitu, která si na vlastním portu ověří doménu a vyplivne cert, napsali to v nečem líp přenositelným než v pythonu, tak se řeší jak se hrabat do konfigurace co nejvíce verzí stávajících webserverů. Aneb proč to dělat složitě když to jde jednoduše.
Při použití s podporovanými webservery není nutné webserver vůbec zastavovat. Utilita ho pouze několikrát reloaduje.
Přijde mi, že autoři jsou tak trochu retardovaný - místo toho aby jako první udělali jednorázovou utilitu, která si na vlastním portu ověří doménu a vyplivne cert…
Přesně tohle utilita umí. Jen ten vlastní port je 443, případně 80. A je to tak naschvál, aby se skutečně ověřilo držení webserveru a ne nějaké jiné náhodné služby.
napsali to v nečem líp přenositelným než v pythonu
Co je lépe přenositelné než Python a proč?
Čistý shell rozhodně není tak přenositelný, jak se lze naivně domnívat. V praxi to vůbec není standardizované a všude je to něco trochu jiného, včetně třeba jiných parametrů programů. Proto taky třeba autotools jsou takové děsné bukkake.
Speciálně na různých „lehčích“ systémech ala routery kolikrát nejsou ani zdaleka adekvátní sety programů. Například jako shell busybox s brutálně ořezanými programy jako grep, kolikrát tam není ani sed, chybí CURL a wget. To se pak hodně blbě pracuje s netem.
Oproti tomu python2.7, pokud je, tak je všude stejný. Pokud není, tak se dá doinstalovat jednodušeji, než amorfní cloud příkazů pro shell se správnými parametry.
Musi to byt naozaj cisty shell, tj. ziadne bashizmy $((1+1)), [[ ]] ani GNU-izmy ako lubovolne poradie parametrov ls subor -la alebo rozsirene parametry - u spominaneho sedu odporucam nepouzivat nic okrem -e, -n a -f a pripadne nazvu suboru a potom nebyva problem.
Orezany grep nie je problem - proste parametry ako -E alebo -r nemaju v cistom shelli co robit.
Orezane wget alebo ftp byvaju aj na routeroch (v specifikacii tusim nie su), ale treba sa obmedzit na zakladnu mnozinu prikazov. Ked uz spominate tie routery - kolko ste videli routerov bez wget a ftp, ktore zvladali python?
Python ma mozno este trochu vacsi problem s amorfnym cloudom prikazov ako shell. Ked chcem pouzivat openssl, tak predpokladam, ze ma uzivatel nainstalovany openssl; menej ludi uz napadne instalovat python-openssl.
Jasně - podporovanými - jinými slovy se nějaká externí utilita hrabe v konfiguraci a reloaduje server. Jenže oni nejsou jen podporované servery a administrátoři co chtěji tohle pustit do konfigurace - takže musíte stávající server vypnout a pak ho zase zapnout. WTF
Python je možná supr na normálním linuxovém stroji... ale nejsou jen linuxové stroje, ale krom jiných systémů jsou i jiné hardwary. Když už napsali server v Go tak mohli naprogramovat i klienta a mohlo to bejt v binárce bez závislostí. Ostatně ten proces se měl navrhnout tak aby šel naskriptovat i v shellu...
takže musíte stávající server vypnout a pak ho zase zapnout
Ne, nemusíte. Záleží na možnostech serveru – pokud lze jeho konfiguraci změnit bez restartu, restartovat ho nemusíte. A to, jakým způsobem se mění konfigurace serveru, je záležitost autorů toho serveru, ne Let's Encrypt.
mohlo to bejt v binárce bez závislostí
Jo, binárka bez závislostí, která komunikuje přes HTTPS. Spouštěná pod rootem. To bychom si opravdu pomohli.
Ostatně ten proces se měl navrhnout tak aby šel naskriptovat i v shellu...
Proč? Jak v shellu naskriptujete bezpečnou komunikaci přes internet?
Nechápete. Ono by stačilo kdyby ta jejich utilita po spuštění poslouchala na jiném portu a pak vyplivla certifikát.
Ne, musí se vymýšlet něco co se bude implementovat do limitovaného množství serverů, anebo máš admine smůlu, musíš to jednou za tři měsíce schodit anebo vymejšlet obezličku alá haproxy...
Jo, binárka bez závislostí, která komunikuje přes HTTPS. Spouštěná pod rootem. To bychom si opravdu pomohli.
Kde je problém? Zdrojáky k tomu máte.
Proč? Jak v shellu naskriptujete bezpečnou komunikaci přes internet?
Tak nemyslel jsem holej shell. Probůh.
Ono by stačilo kdyby ta jejich utilita po spuštění poslouchala na jiném portu a pak vyplivla certifikát.
To nejde, lebo zdielane hostingy. Kazdy si tam moze posluchat na portoch vyssich ako 1024 a na nizsich zase nikto. Tam by mohol kazdy ziskat certifikat pre domeny hostovane na rovnakom serveri.
Shell mě zase tak nebere, naštěstí je tu implementace v Go https://github.com/xenolf/lego
musíš to jednou za tři měsíce schodit anebo vymejšlet obezličku alá haproxy...
Mohl byste uvést jeden důvod, proč by admin něco shazoval?
Kde je problém? Zdrojáky k tomu máte.
A kde je váš problém? Zdrojáky k tomu máte.
Tak nemyslel jsem holej shell. Probůh.
Aha. Takže vám vadí, že se z shellu spustí nějaká binárka, a jako náhradu navrhujete z shellu spouštět binárku. Možná mi něco uniká, ale já v tom teda nevidím rozdíl.
pytali ste sa na "Jak v shellu naskriptujete bezpečnou komunikaci přes internet?", dostali ste odpoved.
Ste snad prekvapeny, ze shell spusta externu utilitu? Snad ste necakali, ze v nativnom /bin/sh sa da naprogramovat modul do kernelu... hlavny rozdiel je v tom ze je openssl tam uz mate a nepotrebujete tam dovliest hromadu inak nepotrebneho balastu
Pokud někomu vadí spuštění externí utility, předpokládal jsem, že to chce napsat v čistém shellu, ne že z něj chce spouštět externí utility. Překvapený nejsem, věděl jsem, že to jen v čistém shellu napsat nejde – právě proto jsem se na to ptal, protože bylo jasné, že autor toho nápadu buď o shellu ví mnohem víc než já, nebo to naopak jen tak plácnul a vůbec nepřemýšlel nad tím, že by k tomu stejně potřeboval spoustu závislostí.
OpenSSL tam mít nemusím, stejně jako tam nemusím mít wget.
Mám nginx a ten plugin pro nginx jim ještě pořádně nefunguje a certifikáty se dají jednoduše generovat tak, že ukážete tady je webroot tohodle webu a utilita do adresáře $webroot/.well-know/ nasype handshake data pro ACME.
Jsem si docela jistý, že i na custom serverech umíte říct (příklad je nginx):
location ^~ /.well-known/ { root /var/lib/letsencrypt/$server_name/.well-known/ }
Nevzpomínám si, že by v certifikační politice bylo nějaké omezení v tomto směru. Ale pokud jste firma a chcete se pomocí TLS autentizovat, rozhodně bystě měli sáhnout po nějakém komerčním certifikátu s úrovní ověření aspoň OV, aby vaše protistrany měly jasno, že mluví opravdu s vámi a ne jen s nějakým držitelem nějaké domény.
Verze pro IIS v powershellu je už zde: https://github.com/ebekker/letsencrypt-win
Ale no tak. Jistě víš co prakticky dělá v apache volba "NameVirtualHost *:443" a že pro klienty kteří neumí SNI je důležité pořadí virtualhostů v konfiguráku.
Bez automatické změny se obejdu velmi jednoduše, jestli tedy platí to co píšeš níže. Na začátku používání JEDNOU v konfiguraci nastavím vrácení správného MIME typu pro /.well-known/acme-challenge/* a při výměně certifikátu už na konfiguraci sahat nemusím, skript si požádá o certifikát, udělá ten hash v cestě, nakopíruje certifikát a udělá graceful. To vše automaticky a bez pravidelného blbnutí s konfigurací se zakládáním virtuálního webu s blbým certifikátem a jménem.
Jestli to takhle půjde tak jsem spokojen a tohle měl být default.
Bohužel, stále nechápu, jak se dá u apache SNI vypnout a jak se v praxi liší apache se zapnutým SNI od apache vypnutým SNI.
Na začátku používání JEDNOU v konfiguraci nastavím vrácení správného MIME typu…
Ano, to je samozřejmě možné řešení. Problém je, že něco takového se těžko dělá automaticky, protože nakonfigurovat server, aby za všech okolností na určité cestě vracel obsah nějakého adresáře, je příliš komplexní úloha do které zasahují všemožné mod_rewrite a podobné, zatímco založení prázdného virtualhosta se správným SSL certifikátem je možné provést vždy bez nutnosti analýzy a úpravy stávající konfigurace, pouze se něco přidá.
Bohužel, stále nechápu, jak se dá u apache SNI vypnout
Třeba tak, že se nepoužije named based virtual hosts a definice vhosta není *:443 ale na konkrétní ip:port. Potom na každé unikátní kombinaci ip:port poslouchá jeden virtual host bez ohledu na server name.
a jak se v praxi liší apache se zapnutým SNI od apache vypnutým SNI
No celkem podstatně. Aby fungoval named based vhosts tak je nutné mít prohlížeč a protokol podporující SNI (což jsou teda dneska všechny aktuální), pokud toto nepodporuje, tak apache použije cert. z prvního (vyhovujícího) vhosta v konfiguraci, nebo zkrátka z vhosta na dané ip.
zatímco založení prázdného virtualhosta se správným SSL certifikátem je možné provést vždy bez nutnosti analýzy a úpravy stávající konfigurace, pouze se něco přidá
To ani omylem. Pokud se něco přidá na počátek, tak se rozbije konfigurace pro ne SNI klienty. Viz výše.
Třeba tak, že se nepoužije named based virtual hosts a definice vhosta není *:443 ale na konkrétní ip:port. Potom na každé unikátní kombinaci ip:port poslouchá jeden virtual host bez ohledu na server name.
Takže už asi chápu, že jako „vypnuté SNI“ označujete stav, kdy je pro daný soket nakonfigurován jen jeden certifikát, přestože chování webserveru je stále stejné. Moc nechápu, k čemu je dobré takové stavy rozlišovat.
To ani omylem. Pokud se něco přidá na počátek, tak se rozbije konfigurace pro ne SNI klienty. Viz výše.
A proč myslíte, že by se ta utilita o něco takového pokoušela? Připadá mi, jako byste za každou cenu hledal důvod, proč to nemůže fungovat, i když to funguje.
Upřímně řečeno, utilita, která se pokouší měnit konfiguraci, je dost odvážné řešení, které samozřejmě má potenciál konfiguraci rozbít. Osobně bych nic takového na serveru nikdy nespustil. Pokládám to ale za nouzové řešení do doby, než budou mít ACME integrované příslušné nástroje v sobě (tj. např. distribuční konfigurační skripty pro Apache).
A proč myslíte, že by se ta utilita o něco takového pokoušela?
Já si především nic takového nemyslím a ani jsem nic takového nepsal.
Reagoval jsem na:
zatímco založení prázdného virtualhosta se správným SSL certifikátem je možné provést vždy bez nutnosti analýzy a úpravy stávající konfigurace, pouze se něco přidá.
Což zjevně není pravda, protože v reálu se používají i takové konfigurace, které na "pouze se něco přidá" nezareagují úplně dobře.
Co dělá nebo nedělá utilitka, ke které jsem se vůbec nevyjadřoval, nevím a očekávám, že půjde použít i v čistě manuálním režimu, kdy veškeré požadované kroky k dokončení procesu vydání crt udělá admin. (Což by třeba u mě zahrnovalo i vytvoření csr a uložení klíče mimo dosah této utilitky.)
Budete spokojenější, když v původním prohlášení nahradíte slovo „přidá“ za slova „přidá na konec“? Protože to jsem měl namysli když jsem to psal a implicitně to tak předpokládal.
Co dělá nebo nedělá utilitka, ke které jsem se vůbec nevyjadřoval, nevím a očekávám, že půjde použít i v čistě manuálním režimu, kdy veškeré požadované kroky k dokončení procesu vydání crt udělá admin. (Což by třeba u mě zahrnovalo i vytvoření csr a uložení klíče mimo dosah této utilitky.)
Patches are welcome :)
Můžete si také posílat JSONy ručně Curlem ;)
Patches are welcome :)
Aha. Tak to jo. Vedle probíhá flame na téma Snowden, NSA a vůbec; jedním ze základních pravidel počítačové bezpečnosti je pouštět vše s minimálními právy, PKI se vymyslelo tak, aby soukromý klíč zůstal skutečně soukromý ... a tady se diskutuje o utilitce, která běží s právy roota a sama si generuje klíč a na požadavek na vlastní CSR (což je snad základ, už jen z důvodu toho, že soukromý klíč může být nevydolovatelný na HW) je odpovědí smajlík...
Cílem té utility je zpřístupnit rozumně bezpečné HTTPS běžným správcům. Není to všelék na všechny problémy světa. Pokud máte privátní klíč v HSM, tak k němu určitě nechcete DV certifikát zadarmo, to je jako lít technický benzín do Rolls Royce.
A pokud to přesto tak chcete, musíte počítat s tím, že pro to budete muset něco udělat. Což je naštěstí možné, neboť jak klient, tak protokol je zcela otevřený.
Ano, to je jistě chválihodné, ale způsob, jakým se to dělá (jako root spustě ... a o nic se nestarejte) dříve nebo později přinese další problémy (stejně jako v minulosti), kterým by se dalo předejít jiným přístupem. Už jen proto, že ty správce učí chování, které je silně nebezpečné.
Takže na jedné straně bude víc serverů na https (což je dobře), na druhé straně bude víc správců s přístupem "práva neřeším, root stačí; znalosti neřeším, stačí 5x enter; a vůbec ono se to celé samo".
Tedy jeden problém se možná vyřeší, další dva vzniknou.
Přes https (SSL2) nebylo původně možné vůbec hostname odeslat, proto se dodělala podpora SNI.
Bez zapnutého SNI se komunikace chová jinak. Proto ještě relativně nedávno na každou https doménu musela být extra IP adresa.
Pokud klient neumí SNI připojí se, ale dokáže načíst jen jednu doménu (obvykle první v konfiguraci). Ovšem spojení probíhá odlišně podle staré specifikace.
Pokud se nepletu, webový server nemusí mít zkompilovanou podporu SNI. Pak samozřejmě to nebude fungovat. Nejedná se tedy jen o konfiguraci.
Takže už asi chápu, že jako „vypnuté SNI“ označujete stav, kdy je pro daný soket nakonfigurován jen jeden certifikát, přestože chování webserveru je stále stejné. Moc nechápu, k čemu je dobré takové stavy rozlišovat.
SNI je nekritické rozšíření SSL, další údaj, který se posílá v nešifrované části komunikace. Takže pokud SNI neumí klient, prostě daný údaj nepošle. Pokud jej neumí server, daný údaj je pro něj neznámý, a protože je označen jako nekritický, jednoduše jej přeskočí. Vypnuté SNI by pak asi znamenalo, že server tomu rozšíření rozumí, načte ho, ale nijak ho nepoužije a zahodí ho. Netuším, k čemu by takové chování bylo dobré a nevím o serveru, který by něco takového uměl.
Chápu správně, že pokud to (Let's Encrypt) nebude podporovat můj poskytovatel hostingu, tak si ani neškrtnu?
Můj americký poskytovatel (placený, ale levný) mi tvrdil, že na doménu mi nasadí SSL pouze v případě, že budu mít i dedikovanou IP adresu. Tak jsem to neřešil.
Nicméně nedávno jsem si všiml, že v CPanelu je možnost konfigurace SSL, tak jsem se s tím popral a nastavil certifikát od StartSSL.com + nějaká ta přesměrování na https. Funguje to, ale moc se netěším, až to za rok budu studovat znovu :-(
Máte dvě možnosti – buď provést DNS důkaz, což je ruční práce, ale celkem snadná, nebo vystavit soubor na cestě /.well-known/acme-challenge/<nějaký hash>. Aby bylo jisté, že to děláte úmyslně, musí ten vystavený soubor vracet MIME typ Application/jose+json, což bude vyžadovat zásah do konfigurace webserveru.
Pokud vám takovou konfigurační volbu hosting umožní, neměl by být problém vygenerovat certifikáty třeba u sebe na druhém konci světa a na hosting je pouze nahrát. A samozřejmě celý postup opakovat nejdéle každé 3 měsíce (tedy přinejmenším to nahrání certifikátu; ta validace bude mít možná delší platnost).
Totalni automatizace je sice zajimava vec, ale vlastni utilita ma podle me nekolik potencialnich rizik, i pres otevrenost zdrojoveho kodu:
- co kdyz bude schvalne generovat slabe klice
- pripadne samotny klic zatim neznamym zpusobem odesle ven
- diky pravum roota nebo minimalne pravum na konfiguraci webserveru se z letsencrypt na hromade serveru stane botnet s pomerne silnym potencialem ke zneuziti
Prvni dva body se teoreticky daji ignorovat, pokud budeme uvazovat nasazeni na domenach, kde doted zadne SSL nebylo. I kdyby nekdo ziskal klic, bezpecnost oproti stavu pred nasazenim Letsencrypt neutrpi. Ale urcite se najde dost serveru, kde diky nabidce certifikatu zdarma dojde k nasazeni Letsencrypt i tam, kde by z hlediska bezpecnosti byl lepsi komercni certifikat.
Nerikam, ze ty situace musi nastat, ale byl bych klidnejsi, kdyby utilita sla pouzit manualne, pouze pro ziskani certifikatu pomoci CSR vygenerovaneho nekde jinde.
Co jiného než právě kompletní open-source může sloužit jako záchytná síť před podobnými problémy? Velkou výhodou zde je, že to dokonce ani není binárka, ale skript v pythonu, takže je celkem snadné zkontrolovat, že se shoduje s oficiální verzí.
Takhle například vypadá generování klíče:
def make_key(bits): """Generate PEM encoded RSA key. :param int bits: Number of bits, at least 1024. :returns: new RSA key in PEM form with specified number of bits :rtype: str """ assert bits >= 1024 # XXX key = OpenSSL.crypto.PKey() key.generate_key(OpenSSL.crypto.TYPE_RSA, bits) return OpenSSL.crypto.dump_privatekey(OpenSSL.crypto.FILETYPE_PEM, key)
Žádná magie, prostě volání OpenSSL funkcí.
Je paradoxní, že aby se vyřešil problém s mnoha autoritami, založí se nová. Ale jejich cílem je založit jednu a ukázat všem, jak to dělat pořádně.
Kdyby to chtěli dělat opravdu pořádně, tak nemůžou vydávat DV certifikáty. Protože v případě DV certifikátu se certifikační autoritu zaručuje, že vlastník privátního klíče je držitelem domény – za což se ve skutečnosti zaručit nemůže, protože i kdyby to vlastnictví domény ověřila opravdu bezpečně, stejně může majitel doménu vzápětí po vydání certifikátu prodat, nebo může expirovat, nebo mu může být odňata.
Mimochodem, jak se Let's Encrypt brání útokům na DNS? Ověřuje DNSSEC, pokud je k dispozici? Provádějí DNS dotazy z několika nezávislých lokalit a porovnávají odpovědi?
Bohužel, Rubicon už byl překročen, DV certifikáty se vydávají a klientské systémy jim důvěřují. Tohle už se asi nedá vzít zpět, tak je dobré to aspoň udělat pořádně a znesnadnit případná zneužití. Tedy ano, DNSSEC validují (ale podepsaná doména není podmínkou) a ano provádějí ověření z více lokalit. Také mají po vzoru ostatních autorit implementovaný blacklist na Alexa Top 1000 domén. Nejzajímavější je pro mě ale právě kontrola existujících certifikátů a požadavek na důkaz držení privátního klíče.
To, co popisujete, není „udělat pořádně to, co se už dělá“, ale „vyrobit něco nového, co stávající systém nahradí a doufat, že na to lidé přejdou“.
Když bych to přirovnal k řešení problému nedostatku IP adres, tak vámi navrhované řešení je typu IPv6, zatímco Let's Encrypt představuje spíš něco jako NAT :)
Oficiálně nikde. Nicméně blacklist byl ještě nedávno součástí zdrojových kódů autority:
https://github.com/letsencrypt/boulder/blob/2b760ceee392228a2e3a90ae3c558edf5d42b9d5/policy/blacklist.go
Později byl odloučen do samostatné databáze, aby nebylo nutné při každé změně autoritu překompilovávat. Bohužel se ale od té doby ztratil z veřejného prostoru, můžeme jen věřit, že tam stále je :)
Tak akorát dnes mi dorazila do mailu pozvánka do closed beta. Utilitka je to celkem šílená, nainstalovala si hned po spuštění hromadu balastu, místa mám sice zatím dost, ale je to VPS s 20GB diskem, takže mě to trochu naštvalo.
Zkusil jsem jejich automatiku a první problém byl s virtualhostama na Apachi. Nelíbilo se tomu, že mám v jednom confu víc virtualhostů, jsem na to zvyklej, mám tam 5 domén a pod nima jsou věci jako www.domena.cz, mail.domena.cz atd, takže to mám vždy v jednom confu, ať v tom není zmatek. Po rozházení do samostatných konfiguráků to pěkně našlo všechny virtualhosty a zeptalo se to, pro které domény chci generovat certifikát, dokonce to vygenerovalo přesměrování http->https (zeptalo se to) a po skončení už https normálně funguje. Pouze zatím v rámci beta programu nevystavují důvěryhodné certifikáty, ale ověřovatel je "happy hacker fake CA".
No uvidíme, jak to bude, zatím mi to přijde takový trochu těžkopádný, nicméně nakonec to na Debianu udělalo, co mělo.
Gratuluji k pozvánce!
Pouze zatím v rámci beta programu nevystavují důvěryhodné certifikáty, ale ověřovatel je "happy hacker fake CA".
Tak v tom případě ale nemáte certifikát v rámci beta programu, ale veřejné demo, které takhle funguje už víc než rok. Nezapomněl jste na příkazové řádce nastavit správnou adresu produkční autority?
Ale oni už vystavují ostré důvěryhodné certifikáty – třeba deb.sury.org. Pravděpodobně jsi stáhl testovací verzi utility letsencrypt, která je k dispozici už dlouho všem, ale nechává si generovat certifikáty z testovacího prostředí a ty nejsou důvěryhodné.
Tak přegenerováno znovu a lépe a ano, už je to podepsáno Lets encryptem, ještě jednou děkuji za upozornění, příšte musím víc číst, než se na to vrhnu, ale já se tak těšil... :D
Jinak jak jsem již psal, až na to, že si to samo bez dotazu začalo tahat hromadu balíků a potom drobný problém se stávající konfigurací Apache, tak vše proběhlo v pořádku, vyzkoušeno na doméně, která původně https nepoužívala vůbec a výsledek byl ihned funkční a dle ssllabs má rating A.
Projekt Let's Encrypt primárně řeší šifrovaný web, tedy ano. Nicméně nic vám nebrání použít získané X.509 certifikáty kdekoli je to možné, tedy například na službách typu IMAP a Submission. Nebudou však vydávány ani osobní, ani code signing certifikáty.
Co se týče šifrovaného předávání pošty mezi SMTP servery, tam se autoritou vydaný certifikát vůbec nevyplatí. Jediné, co tam funguje, je DNSSEC a DANE. Shodou okolností o tom budu povídat v neděli v Brně a příští čtvrtek v Karviné.
Pokud jde o samostatný mailserver, půjde to velmi snadno, stačí na něm nainstalovat a spustit utilitu. Ona má v sobě vestavěný webserver pro provedení důkazu, který na samostatném mailserveru nebude s ničím kolidovat, pak vám vypadne soubor s certifikátem a klíčem v cestě /etc/letsencrypt a vy musíte ručně nakonfigurovat SMTP server aby je použil. A při každé obnově certifikátu musíte ručně SMTP server reloadovat.
Pokud je mailserver kombinovaný s webserverem, máte možnost provést důkaz ve stávajícím webserveru, ale certifikát opět nainstalujete manuálně.
"Ona má v sobě vestavěný webserver " ...
lol ... at zije bezpecnost ... rolf ...
Takze si to shrnme, vsude se pise, jak nema zadnej servis s pristupem do netu bezet pod rootem, ani omylem, a proto poslem vsem adminum tool, kterej si pusti (jak jinak nez pod rootem) svuj vlastni (nejspis deravej jak reseto) server.
Du si napsat tool, kterej bude sledovat spusteni tohodle toolu, pak ho hackne, ziska cert, a jako bonus roota. Ze to nejde? Jo takovych nejde uz sem slysel .... A samo, nezapomente to vazne spustit na kazdym serveru, jde nam prece o tu bezpecnost!
Na linuxových počítačích bývala možnost naslouchat na nízkých portech (menších než 1024) vyhrazena uživateli root
. Webový server typicky k ničemu jinému rootovská práva nepotřeboval, proto obvykle fungoval tak, že se spustil s právy roota, začal poslouchat na portu 80 a 443, a pak se rootovských práv vzdal. Tedy tak jinak než pod rootem.
Ten web server toho nemá moc na práci, nemusí spouštět žádný cizí kód, takže nejspíš bude bezpečnější, než 99 % PHP webů.
O tom, jestli je to smysluplné nastavení, bychom se mohli dohadovat. Ale někde takové nastavení určitě je, v tom případě holt administrátor musí použít jiný způsob získání certifikátu.
Pokud existuje utilita pro zjednodušení vydání certifikátu, která má několik možností, nevytýkal bych jí, že všechny možnosti nefungují na každé myslitelné konfiguraci serveru. Pokládám za přínos samotný fakt, že ta utilita existuje, a že se dá dokonce použít různými způsoby.