Vlákno názorů k článku Let's Encrypt v praxi: jak jsem přešel na HTTPS od tomasfuk - Často se tu řeší zabezpečení různých routerů a...

Spuštění vlastního webserveru není nutné, při přípravě článku jsme ho například vůbec nepoužili. Ale jak jinak byste chtěl prokázat ovládání doménového jména na serveru, který není webový? Připadalo by vám smysluplnější tam jen kvůli tomu instalovat třeba Apache?

No vidíte, teď ještě vymyslet jak v shellu vyrábět a parsovat JOSE dokumenty a máme odlehčeného klienta v shellu :)

Jen pozor na tu přenositelnost, třeba v dashi ten váš příkaz vytiskne "-e HTTP/1.1", což asi není dobře :P

Něco jako velmi odlehčená CLI utilita se rodí třeba zde: https://github.com/diafygi/letsencrypt-nosudo

A jinak ano, zaplatit jiné autoritě může být v mnoha ohledech výhodnější řešení.

Jinou utilitu, která nebude záviset na Pythonu, ale na jiném „balastu“, samozřejmě kdokoli udělat může. Kdyby to udělal Let's Encrypt, tak se na Rootu objeví třicet chytrých komentářů, proč to závisí na Wgetu, OpenSSL a libjson, když to mohli napsat v Pythonu. A kdyby napsali třicet různých utilit pokaždé s jinými závislostmi, aby si každý mohl vybrat tu svou, tak by si titíž zase ztěžovali, proč k tomu je třicet různých utilit, když by stačila jedna. Takže autoři Let's Encrypt rezignovali na to zavděčit se komentujícím na Rootu, a prostě utilitu napsali.

Nenapsal jste nic, co by dokazovalo, že vaše představa o závislostech je objektivně lepší, než současné závislosti.

pre mnohych momentalne mimo scope, co je skoda
Škoda by naopak byla, kdyby ladili k dokonalosti utilitu a certifikáty si nemohl pořídit vůbec nikdo. Takhle si je mohou pořídit alespoň ti, kteří tu utilitu použijí nebo kteří to udělají ručně.

Objasním vám to, hned po té, co vy objasníte, jak jste přišel na to, že je nutná instalace dvou verzí Pythonu. Já jsem nikde nic takového nenašel, vidím pouze to, že se používá virtualenv, aby se nutné Python moduly neinstalovaly přímo do distribuce.

Když se podíváte do toho skriptu, který jsme spustili, uvidíte, že tam rozhodně žádné hrůzné závislosti nejsou:

apt-get install -y --no-install-recommends \
  git \
  python \
  python-dev \
  $virtualenv \
  gcc \
  dialog \
  libaugeas0 \
  libssl-dev \
  libffi-dev \
  ca-certificates \

To, že debian předepisuje těmto balíčkům další závislosti aniž by byly nezbytné (například zmíněný Python 3), není věc, kterou může řešit Let's Encrypt.

To je ale překvapení, že když kompilujete utilitu ze zdrojových kódů, že k tomu potřebujete kompilátor. Možná vás překvapím ještě víc tvrzením, že když budete instalovat ze zdrojových kódů betaverzi nějakého webserveru, taky vám to vnutí kompilátor jako závislost!

Je to určitě spiknutí a ten kompilátor jsou ve skutečnosti zadní vrátka pro NSA.

:)

Myslím, že kompilátor vyžadují některé pythonovské moduly, které se instalují pipem do virtualenv.