Diskuze ke článku 'Let's Encrypt na webhostingu' - fórum
Nový příspěvek
Chcete-li odebírat toto téma e-mailem, přihlašte se nebo se nejprve zaregistrujte.
Wildcard certifikat
Dobry den, vcera vydal lets encrypt wildcard certifikat. Budete ho podporovat? Bolo by to lepsie ako posielat stale novo aktualizovany zoznam vsetkych sub/domen kedze ich mam riesene automaticky. Dakujem
Re: Wildcard certifikat
Dobrý den,
nasazení Wildcard certifikátu zatím neplánujeme.
ssl
Jenom pro zajímavost, proč je tak strašně nutné šifrovat obsah veřejných stránek? :) Já jen, že někdo tu psal, že už bez toho weby nepouští… Není to trochu jako ta jeptiška se svíčkou a kondomem?
Re: ssl
Nešifruje se obsah žádných stránek, ale komunikace mezi prohlížečem a serverem/stránkou.
Pokud máte nešifrované spojení, může kdokoliv na cestě mezi prohlížečem a serverem komunikaci odposlechnout nebo dokonce změnit.
rozšířenost
Nebude s tímto certifikátem třeba u některých prohlížečů docházet k zobrazování hlášek o nedůvěryhodnosti atd? Opravdu se v tom moc neorientuji, tak bych chtěl mít jistotu, že se to chová jako u ostatních rozšířených certifikátů.
Re: rozšířenost
Dobrý den,
Let's Encrypt by měl být důvěryhodný ve všech majoritních prohlížečích.
https://letsencrypt.org/2015/10/19/lets-encrypt-is-trusted.html
Služba Let's Encrypt je bezplatná (kromě poplatku za SNI u webhostingu, který se platí i v případě vlastního certifikátu), můžete si ji tedy vyzkoušet a v případě potřeby provést přechod na vlastní certifikát.
Super!
Super! Takto pred týždňom som uvažoval, ako si ja budem každé 2-3 mesiace pregenerovávať certifikát. :) Avšak ten poplatok za SNI mi tiež príde zvláštny, i keď mi nerobí problém a chápem dôvody prečo je, ale na prvý pohľad to nevrhá dobrý tiež. Radšej zdražiť webhosting ako taký ako takto. Predsa len, s HTTP2 budú certifikáty komplet všade a ja taktiež už web bez certifikátu von nepúšťam i keď je len statický.
- Ale chcel by som sa spýtať, neplánujete možnosť pridávať viac certifikátov na doménu? Pretože takto nemôžem mať napr. jeden hlavný platený certifikát so 4xSAN na jednej hlavnej doméne a 2 subdoménach, a jeden let's encrypt na administrátorskej časti ktorú samozrejme nechcem zahrňovať do SAN toho plateného - jednak je to zbytočné a po druhé som paranoidný. :D
Bola by to super vymoženosť. Skrátka zoznam, nahrám certifikát, určím na ktoré subdomény/domény sa má použiť a SAVE.
nahlášení domén
Dobrý den,
jen si upřesním, pokud chci nasadit na hostingu na SNI:
1) nahlásím vám všechny stávající i předpokládané adresy?
2) adresy i pro aliasy?
3) pokud dojde k přidání nějaké adresy, znovu nahlásím všechny a certifikát se změní?
Př. domena.cz; www.domena.cz; neco.domena.cz; test.domena.cz; alias.cz; www.alias.cz; neco.alias.cz ...
4) pokud nebudu mít nahlášeno a tedy certifikát, dostanu se i na tyto adresy přes https, budou šifrované a jen nebudou pro návštěvníka "bezpečné" = vyskočí mu hláška, že certifikát neodpovídá doméně?
Př. nenahlasena.domena.cz
5) Jak je to s placením SNI - musí se platit na celé období jako doména?
6) Celý provoz se přesměruje na https, http nepojede?
7) Stačí tedy sepsat soupis adres viz výše, poslat kontaktním formulářem a o nic se nestarám?
Děkuji
Re: nahlášení domén
Dobrý den, nemluvím sice za wedos, ale než odpoví, můžu nasdílet několik mých zkušeností.
Let's encrypt (LE) vyhazuje chybu, pokud subdoména neexistuje. Příklad, pokud každý měsíc vytváříte novou subdoménu duben.mujweb.cz, kveten.mujweb.cz, tak byste je musel vsechny vytvořit (přidat složku do adresáře www/subdom/*) dopředu na celý rok a až pak zaslat seznam. Je možné, že toto wedos automatizuje. Stejně tak by bylo potřebné poslat potřebné záznamy i ve tvaru www.duben.mujweb.cz, vyhodnocuje se každý takový záznam zvlášť. Mnoho věcí ale wedos nebude moct samostatně automatizovat, protože jsou předmětem osobní preference.
Pokud budete mít SNI a tedy povolené https, vyskočí vám při přístupu na https, že nemáte potřebný certifikát. Obě možnosti přístupu jsou ale možné.
Vždy fungují obě varianty http i https zároveň. Většina webmasterů ale upraví .htaccess soubor (ve www/ adresáři vašeho hostingu). A tedy napíší, ať se všechny http dotazy přesměrují na https, aby chránili každého. To je ale trik, který si po vyřešení certifikátu dělají sami webmasteři, těžko říct, zda a jak by toto wedos automatizoval. Každopádně, návody na úpravy htaccess jsou i ve znalostní bázi wedosu, stačí pohledat. Dále v souboru htaccess najdete již existující řádky, které se starají o www a subdomény. Je třeba možné klienta, který do prohlížeče zadá http://mujweb.cz přesměrovat pohodlně na bezpečnější a hezčí https://www.mujweb.cz o všechny tyto věci se stará htaccess. HTTP tedy pojede, ale je možné návštěvníkům podstrčit HTTPS.
Re: nahlášení domén
A další levl je hlavička HSTS a preload list prohlížečů.
První vynutí aby kadžé připojení k webu bylo vždy rovnou v HTTPS a druhý vynutí aby dokonce úplně první připojení bylo HTTPS
;-)
Re: nahlášení domén
Presmerovani http na https jde samozrejme resit i jinak nez pomoci htacces.
S pozdravem Josef Jebavy
www.josefjebavy.cz
Re: nahlášení domén
Dobrý den,
při žádosti o certifikát je potřeba uvést všechny adresy (doménové názvy), pro které má být certifikát platný. Tedy např.:
domena.cz
www.domena.cz
alias.cz
www.alias.cz
novinky.alias.cz
HTTPS bude aktivní pro celý webhosting, nicméně pouze pro domény uvedené v certifikátu bude spojení šifrované a důvěryhodné. Pro ostatní domény bude návštěvník upozorněn na neodpovídající certifikát a připojení nebude důvěryhodné.
Pokud budete chtít HTTPS používat u dalších adres, stačí nám znovu napsat, uvést nový seznam adres a my zajistíme vystavení nového certifikátu.
Aby bylo možné certifikát vystavit, je nutné aby všechny adresy směřovaly na IP adresu webhostingu a byly jeho součástí (tedy buď hlavní doménou, aliasem nebo jejich subdoménou). Není ale nutné aby na adrese byly funkční stránky ani není potřeba vytvářet cokoliv na FTP webhostingu.
Přesměrování na HTTPS je nejlepší řešit pomocí souboru htaccess, viz návod ve znalostní bázi:
https://kb.wedos.com/cs/htaccess/mod-rewrite.html - Příklad 12 - přesměrování na HTTPS
Rozšíření SNI se platí vždy na stejné období jako celá služba. Při dokoupení k existující službě se doplatí poměrná část do konce již zaplaceného období.
Re: nahlášení domén
Děkuji za odpověď, takto jsem to i nějak tušil, 10kč mne nepoloží, zabezpečení je dnes potřeba a zatím to vyzkouším na jednom hostingu a pak se uvidí.
Re: nahlášení domén
Rozumím-li tomu dobře, certifikát se vytváří pro hosting. Tedy mám-li na hostingu třeba deset aliasů a všechny vám je nahlásím, bude to pořád jenom za 10 Kč mesíčně?
Re: nahlášení domén
Dobrý den,
je to přesně jak píšete. Pokud máte neomezený počet aliasů, tak je to 10Kč za SNI pro všechny aliasy i jejich subdomény.
Je tam pouze technické omezení přímo v Lets Encrypt, kde je možnost podepsat takto maximálně 100 domén či subdomén.
SNI za další příplatek?
Fakt nemám zájem; platím si balíček Extra a tohle by rozhodně mělo být jeho součástí. Asi čas se zase poohlédnout u konkurence, nějak to tu upadá.
Re: SNI za další příplatek?
Dobrý den,
děkujeme za návrh. Zvážíme a to a možná to bude součástí Extra.
Re: SNI za další příplatek?
Dobrý den,
tohle by bylo super, taky mám příplatek za Extra služby a tohle by podle mě mělo fakt být součástí si myslím.
Re: SNI za další příplatek?
Souhlasím, balíček Extra stojí už tak velkou částku.
Re: SNI za další příplatek?
NoLimit Extra jsem zatím nikdy nepotřeboval, ale bez HTTPS už žádný web do světa nepouštím. Nešlo by radši globálně zdražit o pár korun NoLimit? Když se to rozpočítá mezi úplně všechny webhostingy, tak by to snad nemuselo být ani těch současných 145 korun ročně. A Wedosu by určitě vzrostly statistiky se zabezpečením pomocí HTTPS :)
Re: SNI za další příplatek?
Souhlas, Google stejně zanedlouho bude weby bez https "trestat" upozorněním, že komunikace není bezpečná. Https by tak mohlo být klidně ve všech výchozích nastavení.
Příplatková služba
Vlastní certifikát by už nemusel být za příplatek, dnes už je to běžná věc...
Re: Příplatková služba
Přesně, u vlastní IP poplatek chápu, ale poplatek za SNI je opravdu zvláštní.
Re: Příplatková služba
Dobrý den,
SNI máme za příplatek, protože k tomu vedou minimálně 3 důvody.
V původní ceně jsme s tím nekalkulovali a v původní nabídce to nebylo.
Je to náročnější na procesory, zejména u náročnějších webů.
Je to náročnější na DDoS ochranu a IDS/IPS ochranu.
Tohle vše je nutné brát v úvahu (především poslední 2 body). Děkujeme za pochopení.
Re: Příplatková služba
Ještě stále vás ta komedie s 10 Kč nepřešla? Já že třeba u Active24 to dávají zadarmo všem.
Re: Příplatková služba
Jj u Active budou ze setrilka nadšení :) 120Kc ročně je zanedbatelné. Si to zkuste nastavit a udržovat sám.
Re: Příplatková služba
WEDOS 25Kč + 10 Kč SNI = 35Kč
Active24 49Kč
49Kč - 35Kč = 14Kč
WEDOS vám ušetří 14Kč měsíčně bez DPH.
Kdo je tedy levnější?
Re: Příplatková služba
WEDOS mi neušetří nic, platím si balíček Extra a fakt stále nechápu, proč toto není v ceně. Ne, opravdu jim nehodlám platit dalších 10Kč měsíčně za nic.