SSL и все все все
lexa - 28/Янв/2020 12:11
Либо наведенный морок, либо память подводит, но не нашел комментария, где меня ругают за weak https ciphers на blog.lexa.ru. А точно помню что он был, с месяц назад или около того.
Тем не менее, звезды сошлись, добрался до этого места (потратил, как водится, изрядно времени) и теперь тут так:
Имею сказать всякое:
- Публикую не чтобы похвастаться, а отладки для: если что-то сломалось, сообщите pls.
- TLS 1.0 оставлен специально, ибо старые сафари (которые у наших пользователей есть)
- Другие наши сайты обновим после тестирования на кошках в лице этого блога.
- Современное сисадминство, если заниматься им раз в несколько лет (так то "все работает") - это пипец как страшно. Всего-то надо произнести заклинание pip install --upgrade certbot, но страшно пипец как, потому что что там сломается - неясно (одна радость, кроме certbot вроде ни для чего питон не используется, что оставляет три месяца на разгребание проблемы, ибо все сертификаты я сначала заранее --force-renewal)
Comments
я сам не пробовал, но пишут,
я сам не пробовал, но пишут, что certbot работает с virtualenv.
т.е. можно сделать тестовый сайт, хоть из одной страницы, обновлять certbot в виртуальном окружении, обновлять тестовый сертификат, прогонять хоть тот же тест Qualys SSL Labs и по итогам уже двигаться дальше. можно это даже всё автоматизировать, наверное.
Я и слов таких не знаю:
Я и слов таких не знаю: virtualenv,
Для тренировки у меня есть железный сервер (он же резервный), я конечно на нем потренировался. Но тем не менее.
ну это питоновская приблуда,
ну это питоновская приблуда, которая позволяет создать копию питона с нужными библиотеками в отдельной директории. но отдельный железный сервер тоже неплохо :-)
вместо certbot
acme.sh более внятный (as for me)
Солнце заходит, не надо
Солнце заходит, не надо трогать!
certbot у меня работал, но тут прислали письмо счастья, что нужно до 1 июня обновить. Ну вот я буду значит искать от добра....
Большое, кстати, счастье, что
Большое, кстати, счастье, что старый certbot гадил в /usr/local/etc, а новый начал гадить в просто /etc/: я могу освежать сайты постепенно.
сначала путин конституцию
сначала путин конституцию обновить хочет, теперь до certbot добрались. что же дальше?!
Дальше дело явно идет к
Дальше дело явно идет к апгрейду FreeBSD!
А прямо вот и не хочется:
А прямо вот и не хочется:
$ uptime
4:57 up 1838 days, 22:14, 3 users, load averages: 0,05 0,11 0,14
НЕФИГОВО
НЕФИГОВО
Жалко трогать (ну и вообще ж
Жалко трогать (ну и вообще ж не факт что перезагрузится же)
Мне тоже было бы жалко!
Мне тоже было бы жалко!
Но вот план - до конца года с
Но вот план - до конца года с этой железки соскочить, на чуть лучше/чуть дешевле.
Но можно и еще подождать, конечно.
А я предпочитаю acme-tiny.
А я предпочитаю acme-tiny. Мне там понравилась фраза в README.md крупными буквами:
PLEASE READ THE SOURCE CODE! YOU MUST TRUST IT WITH YOUR PRIVATE ACCOUNT KEY!