Небольшая заметка о том, как можно быстро и просто автоматизировать работу с Let's Encrypt сертификатами на сервере с помощью утилиты dehydrated.
📗 Открыть на сайте
#dehydrated #ssl #letsencrypt
📗 Открыть на сайте
#dehydrated #ssl #letsencrypt
t.me
Dehydrated и Let’s Encrypt
Для Let’s Encrypt написано уже много разных утилит, автоматизирующих процесс получения сертификата. Одна из удобных — dehydrated. О её настройке и пойдёт речь ниже.
На HN появился занятный тред об уязвимости в сервисе Let's Encrypt, из-за которой сервису пришлось отключить способ проверки владения доменом с помощью TLS-SNI-01. Альтернативные методы (http и dns) продолжают работать в обычном режиме. Подробностей в блоге, твиттере или ещё где-то, где LE обычно публикует сообщения, пока что нет.
Тред на HN:
https://news.ycombinator.com/item?id=16112894
status.io:
https://letsencrypt.status.io/pages/incident/55957a99e800baa4470002da/5a55777ed9a9c1024c00b241
OpenNET:
http://www.opennet.ru/opennews/art.shtml?num=47882
#security #ssl #letsencrypt
Тред на HN:
https://news.ycombinator.com/item?id=16112894
status.io:
https://letsencrypt.status.io/pages/incident/55957a99e800baa4470002da/5a55777ed9a9c1024c00b241
OpenNET:
http://www.opennet.ru/opennews/art.shtml?num=47882
#security #ssl #letsencrypt
letsencrypt.status.io
Let's Encrypt Status
Support for Let's Encrypt services is community-based and information on current status and outages can be found at: https://community.letsencrypt.org
Записки админа
На HN появился занятный тред об уязвимости в сервисе Let's Encrypt, из-за которой сервису пришлось отключить способ проверки владения доменом с помощью TLS-SNI-01. Альтернативные методы (http и dns) продолжают работать в обычном режиме. Подробностей в блоге…
К слову, история получила продолжение.
https://community.letsencrypt.org/t/2018-01-09-issue-with-tls-sni-01-and-shared-hosting-infrastructure/49996/5
Для начала, Let's Encrypt раскрыли информацию об уязвимости в методе проверки. Ей были подвержены хосты, на которых совпадали два условия:
- В рамках одного IP адреса размещается большое количество доменов.
- На хостинге доступна загрузка сертификата для произвольного домена без подтверждения прав на него.
Что происходило дальше, думаю, вполне понятно - злоумышленник, воспользовавшись подтверждением TLS-SNI-01 мог получить сертификат для домена, контроля над которым он не имеет. Для части провайдеров, у которых описанных выше проблем нет, TLS-SNI-01 в работу вернули, однако для новых аккаунтов этот метод отключен. Актуальная информация и некоторые итоги по инциденту собраны в отдельном посте:
https://community.letsencrypt.org/t/2018-01-11-update-regarding-acme-tls-sni-and-shared-hosting-infrastructure/50188
А вот здесь, разработчики certbot'а приглашают всех к участию в тестировании новой версии утилиты:
https://community.letsencrypt.org/t/help-test-certbot-apache-and-nginx-fixes-for-tls-sni-01-outage/50207
Обязательно загляните, если certbot'ом пользуетесь и LE в работе используете.
#letsencrypt #certbot #security
https://community.letsencrypt.org/t/2018-01-09-issue-with-tls-sni-01-and-shared-hosting-infrastructure/49996/5
Для начала, Let's Encrypt раскрыли информацию об уязвимости в методе проверки. Ей были подвержены хосты, на которых совпадали два условия:
- В рамках одного IP адреса размещается большое количество доменов.
- На хостинге доступна загрузка сертификата для произвольного домена без подтверждения прав на него.
Что происходило дальше, думаю, вполне понятно - злоумышленник, воспользовавшись подтверждением TLS-SNI-01 мог получить сертификат для домена, контроля над которым он не имеет. Для части провайдеров, у которых описанных выше проблем нет, TLS-SNI-01 в работу вернули, однако для новых аккаунтов этот метод отключен. Актуальная информация и некоторые итоги по инциденту собраны в отдельном посте:
https://community.letsencrypt.org/t/2018-01-11-update-regarding-acme-tls-sni-and-shared-hosting-infrastructure/50188
А вот здесь, разработчики certbot'а приглашают всех к участию в тестировании новой версии утилиты:
https://community.letsencrypt.org/t/help-test-certbot-apache-and-nginx-fixes-for-tls-sni-01-outage/50207
Обязательно загляните, если certbot'ом пользуетесь и LE в работе используете.
#letsencrypt #certbot #security
Let's Encrypt Community Support
2018.01.09 Issue with TLS-SNI-01 and Shared Hosting Infrastructure
[Update 2018-01-18: The most up-to-date summary is at IMPORTANT: What you need to know about TLS-SNI validation issues] At approximately 5 p.m. Pacific time on January 9, 2018, we received a report from Frans Rosén of Detectify outlining a method of exploiting…
🔐 Let's encrypt wildcard.
Вот вы тут сидите, а LE анонсировал таки возможность выписки wildcard сертификатов.
Вот сюда можно сходить за подробностями:
https://community.letsencrypt.org/t/acme-v2-and-wildcard-certificate-support-is-live/55579
#ssl #letsencrypt
Вот вы тут сидите, а LE анонсировал таки возможность выписки wildcard сертификатов.
Вот сюда можно сходить за подробностями:
https://community.letsencrypt.org/t/acme-v2-and-wildcard-certificate-support-is-live/55579
#ssl #letsencrypt
Let's Encrypt Community Support
ACME v2 and Wildcard Certificate Support is Live
We’re pleased to announce that ACMEv2 and wildcard certificate support is live! With today’s new features we’re continuing to break down barriers for HTTPS adoption across the Web by making it even easier for every website to get and manage certificates.…
⏱ Хороший разбор того, как можно настроить перевыпуск сертификатов по крону: https://corpglory.com/s/cron-https/
#фидбечат #ssl #letsencrypt
#фидбечат #ssl #letsencrypt
🤖 И да, тут начались некоторые споры по поводу того, какой бинарник для let's encrypt/certbot брать и где. Есть хороший сайт, на котором сразу же можно получить нужные рекомендации под конкретный софт конкретной ОС: https://certbot.eff.org/instructions Возьмите на заметку, если ещё не знали о нём раньше.
#letsencrypt #certbot
#letsencrypt #certbot
🔓 Итак, у Let's encrypt обнаружили баг, который проявлял себя в процессе проверки CAA, во время выпуска сертификата. Баг нашёлся, оказался исправлен, но есть некоторое количество сертификатов, которые будут вот-вот отозваны.
• Подробности описаны здесь и здесь, на форуме.
• Проверить свой сертификат и домен на необходмиость перевыпуска можно здесь.
• Примерное "письмо счастья", которое может прийти по этому поводу, есть у коллеги на канале.
Кому не повезло - обязательно займитесь обновлением.
#letsencrypt #ssl #security
• Подробности описаны здесь и здесь, на форуме.
• Проверить свой сертификат и домен на необходмиость перевыпуска можно здесь.
• Примерное "письмо счастья", которое может прийти по этому поводу, есть у коллеги на канале.
Кому не повезло - обязательно займитесь обновлением.
#letsencrypt #ssl #security