HTTPS támogatás

[molnarm]

(Emlékeztetőként, az igemutatós probléma kapcsán merült fel.)

Azóta megnéztem, és nem is egyszerűen az van, hogy a szentiras.hu-nak nincs tanúsítványa, mert a https://szentiras.hu címen a miserend.hu jön be! (Aminek a tanúsítványa meg lejárt januárban, úgyhogy a saját domainjére se érvényes.)

[szepeviktor]

Mintkettő egy IP-n van, és bizonyása nincs SNI támogatás a webszerveren. 193.225.109.9

[Pengeszikra]

Van infó, arról, hogy mikor lesz az API https-en keresztül is elérhető?

[borazslo]

Van valakinek bevált helye ahonnan szerez SSL bizonyítványt? Nekünk a legegyszerűbb is megfelel. Arra nincs valami igen olcsó / ingyenes megoldás valahol?

[molnarm]

Szerintem jó lenne a letsencrypt. Még nem használtam (de tervezem), de teljesen ingyenes és lehet automatizálni a megújítást is.

[briff]

@molnarm Ha kipróbáltad, szólj :) Én is néztem már. Az https://www.sslforfree.com/ ad egy egyszerűbb felületet hozzá, de beküldi a kitudjakinek a privát kulcsot, úgyhogy az nem annyira nyerő.

[szepeviktor]

A gyári kliens igen veszélyes, és úgy látom, hogy nem hozzáértőknek írták. Ez az ultra egyszerű Python szkript, megbízható (10+ helyen használom) https://github.com/veeti/manuale

[szepeviktor]

Az ügyfeleimnél preferálom a RapidSSL-t (a Symantec van mögötte) a Let's Encrypt-tel szemben. https://cheapsslsecurity.com/sslbrands/rapidssl.html Itt $20-ért 3 évig nyugta van az embernek. Az OCSP szerverüket érdemes monitorozni. (a Let's Encrypt-es frissítés munkadíja kb $1,5 per alkalomra jön ki)

[gyuris]

Nekem is kellene ehhez a https://szentiras.hu, mivel jelenleg blokkolja a böngésző a betöltést a HTTPS hiánya miatt („A vegyes aktív „http://szentiras.hu/api/ref/Zak%2012,10-11;13/KNB” tartalom betöltése blokkolva”). Én egyébként a Let’s Encrypt-et használom, a tárhelyszolgáltatóm adja a cPanel-lel a lehetőséget. Egyszer kellett beállítanom, azóta nem volt vele dolgom, szépen újítgatja időnként.

[gyuris]

Csak ösztönzésül a HTTPS és a Let’s Encrypt mellett: https://www.hwsw.hu/hirek/58091/lets-encrypt-tanusitvanykibpcsato-https-biztonsag.html

[briff]

Rajta vagyok az ügyön, csak most hirtelen valami gebasz történt, eltűnt a szerver alólam. Lehet, hogy a letsencrypt miatt ?

[briff]

Lehet próbálni. https://szentiras.hu/

[Pengeszikra]

Köszönet! Tökéletesen működik a https-es lekérés: szentiras api js

[borazslo]

Lejárt a certificate, azaz az automatikus megújítása.

[gyuris]

Hm... Mi a gond? Nincs automatikus megújítás beállítva?

[briff]

Ugy látszik nincs. Majd megoldom.

[briff]

Na, az automatikus megújítást még nem sikerült belőnöm. Egyelőre manuálisan megcsináltam megint, kb így (majd ebből kell egy script): sudo -i ./certbot-auto certonly -d szentiras.hu (itt web root-tal, a ......./public könyvtárból) cd /etc/letsencrypt/live/szentiras.hu cat fullchain.pem privkey.pem > chain_priv_combined.pem service haproxy restart

[gyuris]

Fiúk, lejárt a HTTPS tanúsítvány.

szentiras.hu uses an invalid security certificate. The certificate expired on 2018. június 1. 20:13.

[briff]

köszi, upgrade-eltem, 3 hónap múlva megint elromlik :)

[molnarm]

El is romlott: https://szentiras.hu :-(

[briff]

és már frissítettem is :)

[gyuris]

Ismét: 2018. december 30-án lejárt. Meg kellene újítani.

[szepeviktor]

@briff @borazslo Erre a problémára cron-ból futtatható ez a szkript https://github.com/szepeviktor/debian-server-tools/blob/master/monitoring/cert-expiry.sh Minden szerveren alapból telepítve.

[briff]

@briff @borazslo Erre a problémára cron-ból futtatható ez a szkript https://github.com/szepeviktor/debian-server-tools/blob/master/monitoring/cert-expiry.sh Minden szerveren alapból telepítve.

A certbot is jó lenne, ha támogatná a haproxy-t.

[borazslo]

Ismét. :( Hol ven ez az cucc / hogyan kell manuálisan frissíten? /etc/letsencrpyt ?

[briff]

Így kell manuálisan frissíteni: sudo -i ./certbot-auto certonly -d szentiras.hu (itt web root-tal, a ......./public könyvtárból) cd /etc/letsencrypt/live/szentiras.hu cat fullchain.pem privkey.pem > chain_priv_combined.pem service haproxy restart

Csakhogy nem megy a certbot-auto :( No module named pip.main; 'pip' is a package and cannot be directly executed

[briff]

https://github.com/certbot/certbot/issues/6824 A debiant frissítenünk kell, h működjön. Vagy teljesen manuálisan kéne, a certbot nélkül. Erre most nagyon nem lesz időm :(

[briff]

Vagy itt van egy harmadik lehetőség, ez elvileg működik https://community.letsencrypt.org/t/pip-error-with-certbot-auto/88200/5

[molnarm]

Van bármi fejlemény ezzel kapcsolatban? Már több, mint egy hónapja nem megy a HTTPS, én is kapom a visszajelzéseket, hogy a bővítmények nem működnek. Előre is köszi!

[briff]

megvan, kösz a figyelmeztetést (átírtam a scriptet ez alapján: https://community.letsencrypt.org/t/pip-error-with-certbot-auto/88200/5) - ha a script frissül, lehet, hogy megint át kell.

[briff]

Kivettem a haproxyt az apache alól, érdekes kaland volt, de igazából már nem kell :) Így a certbot teljesen automatikusan tud frissíteni (./certbot-auto renew), be is raktam crontab-ba. Hosszabb távon lehet, hogy nem fog működni, mivel most a certbot-auto self-upgrade-jét is kikapcsoltam. Ha gond lesz, akkor először ezt kellene megpróbálni: https://community.letsencrypt.org/t/installing-certbot-on-systems-running-outdated-versions-of-python/92041 Vagy sed-del le kell cserélni a python hívást a fentiek alapján.

[ahornyai]

Én mindig cloudflare proxyt szoktam használni, ingyenes, elrejti a weboldal ipjet, botolásos támadások ellen véd és ami itt lényeges, ingyenes, automatikusan megújuló httpst ad.

[briff]

Én mindig cloudflare proxyt szoktam használni, ingyenes, elrejti a weboldal ipjet, botolásos támadások ellen véd és ami itt lényeges, ingyenes, automatikusan megújuló httpst ad.

Köszi! Ha összeomlik a certbot (egyelőre stabil) jön a cloudflare akkor