Lad os kryptere internettet! Gratis SSL certifikater!

Her postes alt, som ikke direkte har noget med Ubuntu at gøre.
Spotten
Indlæg: 2135
Tilmeldt: 19. okt 2007, 18:13
IRC nickname: Sp0t
Geografisk sted: Jamaica

Re: Lad os kryptere internettet! Gratis SSL certifikater!

Indlæg af Spotten »

Hvor finder man noget info om dette "DANE" og hvordan man sætter det op?

Bump
MB : Asus Sabertooth Z77
CPU : Intel Core I7 2600K+ 3,4GHz 8Mb L3
RAM : 4x4GB Corsair DDR3 1600MHz
HDD : LAGER : 1x1TB WD Extern USB 7200rpm + SYSTEM 1 x 180GB Corsair Force 3 Series SSD SATA6 550MB/sek
GFX : MSI 7900GT 512MB GDDR3 (Passivt Kølet)
Case : Lian Li PC-V1100 Plus
PSU : Corsair Professionel Series Gold AX1200
OS: Ubuntu 18.01LTS 64bit
lath
Indlæg: 5095
Tilmeldt: 27. apr 2008, 02:16
IRC nickname: lars_t_h
Geografisk sted: Fyn

Gratis SSL certifikater fra Let's Encrypt

Indlæg af lath »

Man kan få gratis SSL certifikater fra Let's Encrypt nu.

Relevant for ubuntudanmark.dk hvis vi(*) synes at det bør ubuntudanmark.dk bruge:
http://www.version2.dk/comment/321421#comment-321421
Det er om Apache opsætning - man kunne jo køre en lille test på en anden VPS. Enhver der har en Digital Ocean konto har en bunke digitale kuponer de kan give væk af, så man køre den test så godt som gratis.

*)
ad "vi": Jeg synes som bestyrelsesmedlem at der bør kigges på at bruge SSL certifikater fra Let's Encrypt (admins bør læse dette som en opfordring til en teknisk diskussion). Der ryger så vidt jeg husker en del penge fra foreningens pengekasse hvert år til et SSL certifikat, og vi har ikke rigtig nogen faste indtægter (af hvad jeg ved af) - så lad os bruge de fleste af pengene til server-drift.

Det forslag bør nok komme op på et bestyrelsesmøde engang i starten af næste år (2016).

/Lars
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags
AJenbo
Admin
Indlæg: 20878
Tilmeldt: 15. nov 2009, 15:04
IRC nickname: AJenbo
Geografisk sted: Vanløse, København

Re: Lad os kryptere internettet! Gratis SSL certifikater!

Indlæg af AJenbo »

Er der nogen bagsider ved at bruge et certifikat der fra?
Brugeravatar
NickyThomassen
Admin
Indlæg: 3652
Tilmeldt: 5. mar 2010, 19:58
IRC nickname: nicky
Geografisk sted: 192.168.20.42

Re: Gratis SSL certifikater fra Let's Encrypt

Indlæg af NickyThomassen »

lath skrev:... Der ryger så vidt jeg husker en del penge fra foreningens pengekasse hvert år til et SSL certifikat ...

Alle forslag om at spare uden at forringe vores aktiver er jeg med på, men lige certifikatet er en ret lille del af driften. Vi bruger Gandi til 12€ ex. VAT om året (cirka 112,50,- danske kr.)
https://www.gandi.net/ssl/standard#single

Som AJ også er inde på, hvis der ikke er nogen ulemper med Lets Encrypt, så kan vi sagtens skifte for min skyld. Det nuværende certifikat løber til 09-2016.

Planen var også at sætte DANE op når GleSYS kommer så langt.
lath
Indlæg: 5095
Tilmeldt: 27. apr 2008, 02:16
IRC nickname: lars_t_h
Geografisk sted: Fyn

Re: Lad os kryptere internettet! Gratis SSL certifikater!

Indlæg af lath »

AJenbo skrev:Er der nogen bagsider ved at bruge et certifikat der fra?

Det certifikat der bruges nu er et DV(*) certifikat, og certifikater fra Let's Encrypt er også et DV certifikat.

Man skal fornye det senest hver 90. dag - det er et bevidst valg fra Let's Encrypt, så admin bliver nødt til at vedlige certifikatet ved at automatisere fornyelsen af certifikatet.
Et cron job kunne lave en fornyelse på den samme dag og tidspunkt hver 2. måned.

Der er ikke rigtig nogen ventetid på et certifikat, da processerne omkring verificering, udstedelse, nyudstedelse, og tilbagekalde certifikater er fuldautomatisk på Let's Encrypts servere.

Indtil DANE er slået igennem er et Let's Encrypt certifikat sikkert ganske udmærket.

ad) "DV certifikat":
OU værdien i certifikatet er Domain Control Validated

/Lars
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags
AJenbo
Admin
Indlæg: 20878
Tilmeldt: 15. nov 2009, 15:04
IRC nickname: AJenbo
Geografisk sted: Vanløse, København

Re: Lad os kryptere internettet! Gratis SSL certifikater!

Indlæg af AJenbo »

Ok, hvis du sørge for at opdatere det.
lath
Indlæg: 5095
Tilmeldt: 27. apr 2008, 02:16
IRC nickname: lars_t_h
Geografisk sted: Fyn

Re: Lad os kryptere internettet! Gratis SSL certifikater!

Indlæg af lath »

AJenbo skrev:Ok, hvis du sørge for at opdatere det.

Kan jeg ikke!

Opdatering skal ske via et script (letsencrypt), der skal køre på VPSen, der hoster ubuntudanmark.dk - for ellers kan domænevalideringen ikke ske.
Når man kører letsencrypt programmet vil en af letsencrypts servere forsøge at få fat i en bestemt URL fra webserveren, og skal så svare rigtigt for at domænevalideringen vil lykkedes.

letsencrypt scriptet skal bare startes med de rigtige parametre af et cron job inden der er gået 90 dage - og i praksis er det nok nemmest at gøre det på en fast dag i måneder med enten et lige eller et ulige månedsnummer, så opdateringen sker hver 2. måned.

/Lars
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags
AJenbo
Admin
Indlæg: 20878
Tilmeldt: 15. nov 2009, 15:04
IRC nickname: AJenbo
Geografisk sted: Vanløse, København

Re: Lad os kryptere internettet! Gratis SSL certifikater!

Indlæg af AJenbo »

Og det kan du ikke sætte op hvis du får adgang til serveren?
lath
Indlæg: 5095
Tilmeldt: 27. apr 2008, 02:16
IRC nickname: lars_t_h
Geografisk sted: Fyn

Re: Lad os kryptere internettet! Gratis SSL certifikater!

Indlæg af lath »

AJenbo skrev:Og det kan du ikke sætte op hvis du får adgang til serveren?

Det kunne jeg nok gøre, men er der noget information om hvornår DANE vil blive aktiveret hos Glesys?
Jeg mener, hvis de gør det i god tid før det nuværende certifikat udløber (den 15. september 2016), så er det jo ikke rigtig nødvendigt at bruge et certifikat fra Let's Encrypt.

/Lars
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags
Brugeravatar
NickyThomassen
Admin
Indlæg: 3652
Tilmeldt: 5. mar 2010, 19:58
IRC nickname: nicky
Geografisk sted: 192.168.20.42

Re: Lad os kryptere internettet! Gratis SSL certifikater!

Indlæg af NickyThomassen »

Næhh. Den oprindelige tidsplan var medio 2015, så den gik vist ikke.

Men jeg er faktisk ikke sikker, for de har i hvert fald fået DNSSEC op og køre. Så spørgsmålet er, om man (i deres system) overhovedet får adgang til de RRs som DANE bruger, før ens domæne(r) er underskrevet med DNSSEC.

Det får jeg lige fulgt op på.
AJenbo
Admin
Indlæg: 20878
Tilmeldt: 15. nov 2009, 15:04
IRC nickname: AJenbo
Geografisk sted: Vanløse, København

Re: Lad os kryptere internettet! Gratis SSL certifikater!

Indlæg af AJenbo »

Ok lad os se på det når vi kommer tættere på udløbsdato