CloudFlare SSL > Let’s Encrypt?

11. 5. 2017 14:37:39

Ahojte,

na LE ma vzdy stvalo ze maju platnost iba 3 mesiace a teda treba riesit automatizaciu.

Naproti tomu CF ma certifikat ktory sa aktualizuje sam a netreba riesit absolutne nic, len si na nich hodit NS a nastavit DNS. Realne je SSL spojene od nich k navstevnikovi ale od webserveru k nim spojenie sifrovane nie je.

Cize ak by niekto atakoval akykolvek bod medzi CF servermi a webserverom so strankou tak si moze precitat celu komunikaciu.

Mna by zuajimalo co si myslite o tomto polovicatom rieseni oproti spravovaniu vlastnych LE certifikatov a hlavne by ma zuajimal pohlad na CF riesenie(viem ze maju aj full ssl, ale to teraz neriesim) v pripade ze na webe su platby cez kreditnu kartu(jasne, cislo a ine chulostive udaje idu cez branu a plne ssl ale api volanie uz ide priamo zo serveru napriklad).

11. 5. 2017 14:37:39

https://webtrh.cz/diskuse/cloudflare-ssl-lets-encrypt/#reply1278138

(20 hodnocení)

11. 5. 2017 14:45:31

udelat automatizaci LE je vcelku malickost, totalne netusim proc bych mel hledat jine reseni, ktere to vyresi na pul...

11. 5. 2017 14:45:31

https://webtrh.cz/diskuse/cloudflare-ssl-lets-encrypt/#reply1278137

Oleg

(53 hodnocení)

11. 5. 2017 14:47:46

Pokud se ma zabezpecit jedna domena, sel bych po nejakem platnym certifikatu. Stoji ted kolem 300,- nebo tak nejak, pokud se nechcete piplat s automatizaci LE nebo neduverujete CF je to nejjednodussi reseni.

11. 5. 2017 14:47:46

https://webtrh.cz/diskuse/cloudflare-ssl-lets-encrypt/#reply1278136

node

(5 hodnocení)

11. 5. 2017 15:04:36

Vdaka, ale nepytam sa na alternativy.

Ide mi o to ze zbuchat automatizaciu je pre mna casovo dost narocne v aktualnom projekte(nerieste preco), tak rozmyslam nad tym ze by som SSL starosti hodil na klientov skratka.

11. 5. 2017 15:04:36

https://webtrh.cz/diskuse/cloudflare-ssl-lets-encrypt/#reply1278135

Smazany ucet 242

(21 hodnocení)

11. 5. 2017 15:17:44

Pokud mas k dispozici cron, tak je obnoveni certifikatu otazkou pridani jednoho prikazu:

30 2 * * 1 /usr/bin/letsencrypt renew >> /var/log/le-renew.log

Osobne jsem to resil tak, ze jsem chtel pouzit HSTS pro vsechny subdomeny + preload list

Strict-Transport-Security max-age=63072000; includeSubDomains; preload

Blog mam na sluzbe blogger od google, kde neni mozne pouzit HTTPS, pokud se pouziva vlastni domena. Vyresil jsem to tak, ze na firemnim webu mam certifikat od Let's Encrypt a na blogu certifikat od CloudFlare. Diky tomu bylo mozne nastavit maximalni zabezpeceni. Jediny problem je, ze defaultne zacinaji vsechny odkazy na blogu s http, ale vynuceny redirect funguje, tak jsem to zatim neresil ...

11. 5. 2017 15:17:44

https://webtrh.cz/diskuse/cloudflare-ssl-lets-encrypt/#reply1278134

Vladimír Smitka

(4 hodnocení)

11. 5. 2017 15:22:41

Pro komunikaci mezi CF a serverem lze použít libovolný SSL certifikát - klidně samopodepsaný (a myslím, že jde použít dokonce i neplatný), pokud neunikne privátní klíč, tak je to stále možné považovat za "relativně" bezpečné (pokud je server správně nastaven) - ochrání proti pasivnímu odchytávání provozu, ale ne MitM (který je ale mnohem méně pravděpodobný na lince mezi datacentry, než na lince k uživateli). Důvěryhodným certifikátem se zeleným zámečkem tak bude zabezpečeno spojení uživatel - CF a linka CF - server bude používat spojení s nedůvěryhodným certifikátem, které však nikdo neuvidí.

Každopádně mi přijde skoro větší práce si vytvořit a nakonfigurovat self signed certifikát, než zprovoznit cert bota a nechat to na něm a pak klidně použít CF v režimu Full Strict.

11. 5. 2017 15:22:41

https://webtrh.cz/diskuse/cloudflare-ssl-lets-encrypt/#reply1278133

Wolferine