search

howest-wsde / VrijwilligersTool

Roeselare vrijwilligt
4 stars 0 forks source link

SSL certificaat voor https op live omgeving #412

Open durnezj opened 7 years ago

durnezj commented 7 years ago

Sinds de site al live is, lijkt het me nodig om https te enablen op de site want nu is het zeer onveilig om in te loggen.

Dit kan snel geimplementeerd worden met Let's encrypt.

SnelleJelle commented 7 years ago

startSSL:

Notice:

  1. Mozilla and Google decided to distrust all StartCom root certificates as of 21st of October, this situation will have an impact in the upcoming release of Firefox and Chrome in January. Apple's decision announced on Nov 30th of distrusting all StartCom root certificates as of 1st of December will have an impact in their upcoming security update.
  2. Any subscribers that paid the validation fee after Oct. 21st can get full refund by request.
  3. StartCom will provide an interim solution soon and will replace all the issued certificates with issuance date on or after Oct 21st in case of requested. Meanwhile StartCom is updating all systems and will generate new root CAs as requested by Mozilla to regain the trust in these browsers.
SnelleJelle commented 7 years ago

using letsencrypt is popular: https://certbot.eff.org/#ubuntutrusty-nginx

SnelleJelle commented 7 years ago

using this tool because someone likes vestacp: https://github.com/interbrite/letsencrypt-vesta with this tweak: https://github.com/interbrite/letsencrypt-vesta/pull/40/files

SnelleJelle commented 7 years ago

ssl certificaat is ingevuld maar https werkt nog niet :(

SnelleJelle commented 7 years ago

mijn post: https://forum.vestacp.com/viewtopic.php?f=11&t=14051

SnelleJelle commented 7 years ago

kans is groot dat ik https achterwege laat wegens teveel werk ja ik weet hoe dat klinkt :(

SnelleJelle commented 7 years ago

ook mijn post: https://forum.vestacp.com/viewtopic.php?f=11&t=14098

durnezj commented 7 years ago

@SnelleJelle moet per sé nginx gebruikt worden als webserver? Ik gebruik altijd certbot-auto en die configureert apache of lighttp helemaal vanzelf.

SnelleJelle commented 7 years ago

@durnezj ja normaal is dta het gemakkelijste in de wereld.

Het probleem is als volgt:

Er wordt op de server gebruik gemaakt van VestaCp om tot 19 virtual hosts/websites te managen. VestaCp genereert een hele hoop apache en nginx config files waardoor het praktisch onmogelijk is om die manueel aan te passen.

De "oplossing" is om de ingebouwde functionaliteit van VestaCp te gebruiken om https/ssl certificates van letsencrypt te genereren.

Het probleem daarmee is dat VestaCp een 'challenge' file ergens plaats waarnaar gesurft wordt, maar dit laat symfony niet toe omdat symfony geen files servet vanaf de webroot.

Ik heb mijn best gedaan om er wa hacks voor te vinden maar helaas is VestaCp zo abstract dat ik gene idee heb wat er verwacht wordt en de forums zijn ook niet erg helpvol.

TL;DR: Het moet via VestaCp en het werkt niet met VestaCp

SnelleJelle commented 7 years ago

Ik heb alles binnen mijn kennis geprobeerd om https in te stellen, bij deze geef ik het op.

SnelleJelle commented 7 years ago

Zelfs een self signed werkt niet, dus zelfs moest letsencrypt werken zal https nog niet werken.

durnezj commented 7 years ago

@SnelleJelle das inderdaad wel jammer dat dit zo'n moeilijk werk is, nog nooit met VestaCP gewerkt voor https maar ik kan me idd wel voorstellen wat een miserie dat kan zijn.

SnelleJelle commented 7 years ago

@durnezj Ik zou VestaCp ook nooit aanraden, maar die keuze werd voor mij gemaakt. Helaas moeten we daar nu de gevolgen van dragen.