Vlákno názorů k článku Let's Encrypt: jak funguje a co nabídne od JD - Konfigurace na webserver se udela "sama". Ale co...
-
Ondřej CaletkaZlatý podporovatelPokud jde o samostatný mailserver, půjde to velmi snadno, stačí na něm nainstalovat a spustit utilitu. Ona má v sobě vestavěný webserver pro provedení důkazu, který na samostatném mailserveru nebude s ničím kolidovat, pak vám vypadne soubor s certifikátem a klíčem v cestě /etc/letsencrypt a vy musíte ručně nakonfigurovat SMTP server aby je použil. A při každé obnově certifikátu musíte ručně SMTP server reloadovat.
Pokud je mailserver kombinovaný s webserverem, máte možnost provést důkaz ve stávajícím webserveru, ale certifikát opět nainstalujete manuálně.
-
j (neregistrovaný)
"Ona má v sobě vestavěný webserver " ...
lol ... at zije bezpecnost ... rolf ...
Takze si to shrnme, vsude se pise, jak nema zadnej servis s pristupem do netu bezet pod rootem, ani omylem, a proto poslem vsem adminum tool, kterej si pusti (jak jinak nez pod rootem) svuj vlastni (nejspis deravej jak reseto) server.
Du si napsat tool, kterej bude sledovat spusteni tohodle toolu, pak ho hackne, ziska cert, a jako bonus roota. Ze to nejde? Jo takovych nejde uz sem slysel .... A samo, nezapomente to vazne spustit na kazdym serveru, jde nam prece o tu bezpecnost!
-
Filip JirsákStříbrný podporovatelNa linuxových počítačích bývala možnost naslouchat na nízkých portech (menších než 1024) vyhrazena uživateli
root. Webový server typicky k ničemu jinému rootovská práva nepotřeboval, proto obvykle fungoval tak, že se spustil s právy roota, začal poslouchat na portu 80 a 443, a pak se rootovských práv vzdal. Tedy tak jinak než pod rootem.Ten web server toho nemá moc na práci, nemusí spouštět žádný cizí kód, takže nejspíš bude bezpečnější, než 99 % PHP webů.
-
Filip JirsákStříbrný podporovatel
O tom, jestli je to smysluplné nastavení, bychom se mohli dohadovat. Ale někde takové nastavení určitě je, v tom případě holt administrátor musí použít jiný způsob získání certifikátu.
Pokud existuje utilita pro zjednodušení vydání certifikátu, která má několik možností, nevytýkal bych jí, že všechny možnosti nefungují na každé myslitelné konfiguraci serveru. Pokládám za přínos samotný fakt, že ta utilita existuje, a že se dá dokonce použít různými způsoby.
