SSL и все все все

lexa - 28/Янв/2020 12:11

Либо наведенный морок, либо память подводит, но не нашел комментария, где меня ругают за weak https ciphers на blog.lexa.ru. А точно помню что он был, с месяц назад или около того.

Тем не менее, звезды сошлись, добрался до этого места (потратил, как водится, изрядно времени) и теперь тут так:

Имею сказать всякое:

  1. Публикую не чтобы похвастаться, а отладки для: если что-то сломалось, сообщите pls.
  2. TLS 1.0 оставлен специально, ибо старые сафари (которые у наших пользователей есть)
  3. Другие наши сайты обновим после тестирования на кошках в лице этого блога.
  4. Современное сисадминство, если заниматься им раз в несколько лет (так то "все работает") - это пипец как страшно. Всего-то надо произнести заклинание pip install --upgrade certbot, но страшно пипец как, потому что что там сломается - неясно (одна радость, кроме certbot вроде ни для чего питон не используется, что оставляет три месяца на разгребание проблемы, ибо все сертификаты я сначала заранее --force-renewal)

 

Comments

ziavra - 28/Янв/2020 12:21

я сам не пробовал, но пишут, что certbot работает с virtualenv.
т.е. можно сделать тестовый сайт, хоть из одной страницы, обновлять certbot в виртуальном окружении, обновлять тестовый сертификат, прогонять хоть тот же тест Qualys SSL Labs и по итогам уже двигаться дальше. можно это даже всё автоматизировать, наверное.

lexa - 28/Янв/2020 12:27

Я и слов таких не знаю: virtualenv,

Для тренировки у меня есть железный сервер (он же резервный), я конечно на нем потренировался. Но тем не менее.

ziavra - 28/Янв/2020 12:48

ну это питоновская приблуда, которая позволяет создать копию питона с нужными библиотеками в отдельной директории. но отдельный железный сервер тоже неплохо :-)

marck - 28/Янв/2020 12:36

acme.sh более внятный (as for me)

lexa - 28/Янв/2020 12:46

Солнце заходит, не надо трогать!

certbot у меня работал, но тут прислали письмо счастья, что нужно до 1 июня обновить. Ну вот я буду значит искать от добра....

lexa - 28/Янв/2020 12:49

Большое, кстати, счастье, что старый certbot гадил в /usr/local/etc, а новый начал гадить в просто /etc/: я могу освежать сайты постепенно.

ziavra - 28/Янв/2020 12:50

сначала путин конституцию обновить хочет, теперь до certbot добрались. что же дальше?!

lexa - 28/Янв/2020 12:57

Дальше дело явно идет к апгрейду FreeBSD!

lexa - 28/Янв/2020 12:57

А прямо вот и не хочется:

$ uptime
4:57 up 1838 days, 22:14, 3 users, load averages: 0,05 0,11 0,14

blacklion - 28/Янв/2020 18:26

НЕФИГОВО

lexa - 28/Янв/2020 18:43

Жалко трогать (ну и вообще ж не факт что перезагрузится же)

blacklion - 28/Янв/2020 18:45

Мне тоже было бы жалко!

lexa - 28/Янв/2020 18:51

Но вот план - до конца года с этой железки соскочить, на чуть лучше/чуть дешевле.
Но можно и еще подождать, конечно.

Victor Wagner (not verified) - 28/Янв/2020 12:49

А я предпочитаю acme-tiny. Мне там понравилась фраза в README.md крупными буквами:

PLEASE READ THE SOURCE CODE! YOU MUST TRUST IT WITH YOUR PRIVATE ACCOUNT KEY!