[Thread Ufficiale] Let’s Encrypt

[Tasslehoff]

Credo che ormai questa sezione del forum sia abbastanza matura da inaugurare il primo thread ufficiale, quale migliore occasione di questo ottimo progetto.

Per chi non lo sapesse Let's Encrypt è un progetto sostenuto da diversi sponsor che si pone l'obbiettivo di creare la prima Certification Authority totalmente automatizzata, aperta e soprattutto GRATUITA.

Nella pratica questo si traduce in certificati X.509 completamente gratuiti, funzionanti e perfettamente trustati dai più comuni client (es browser, client di posta etc etc...), quindi la possibilità per tutti (privati, aziende enti pubblici) di esporre servizi (siti, server di posta, application server) utilizzando protocolli criptati (es https, smtps) mediante protocollo TLS in totale sicurezza e senza dover sborsare denaro.
Niente più CA generate in proprio da trustare sui client, niente più fastidiosi messaggi relativi a CA non trustate o certificati self signed, niente più segnalazioni dai clienti "perchè il sito non è sicuro"

Non ci credete? Osservate voi stessi la pagina di test con fa uso del primo certificato emesso dalla CA di Let's Encrypt e controllate se questa viene correttamente visualizzata sul vostro browser/dispositivo.




FAQ
Q: Lo vojo oraaaaa!!!!!!
A: Frena il cammello amigo! Il progetto procede speditamente ma al momento non è ancora aperto al pubblico, il go-live definitivo è previsto per la fine dell'anno.
Ci siamo!!! La fase di beta chiusa è terminata e ora il progetto è pienamente operativo, rimane l'etichetta "beta" ma di fatto chiunque può richiedere qualsiasi certificato liberamente e senza attendere alcuna approvazione.

Q: Che sòla, sarà la solita fregatura che andrà mai in produzione...
A: Sbagliato, come è possibile verificare sul blog ufficiale il progetto procede speditamente ed è già disponibile una beta ad iscrizione libera per generare certificati e testarli pienamente.
Vedi sopra.

Q: SBAAAV! Come faccio ad entrare nel programma di beta?
A: Molto semplice, vai a questa url e compila il form, verrai ricontattato via email con tutte le istruzioni per generare il tuo certificato di test valido 90 giorni.
Scarica il client (consiglio vivamente di utilizzare l'ultima versione disponibile su GitHub) e richiedi subito il tuo certificato!

Q: Mi hanno accettato nel beta program, come faccio a generare un certificato dal mio smartphone iGalaxyUberPhoneOne?
A: Forse hai frainteso, Let's Encrypt non è una app per cuori solitari o social maniaci, per far funzionare il client è richiesto Python 2.7 o superiore e un sistema operativo supportato dai maintainer dei vari packages (al momento Debian, Arch Linux, FreeBSD, OpenBSD, Fedora/RedHat/CentOS), in futuro forse ci sarà una versione Powershell del client che permetterà di generare certificati anche su sistemi operativi Windows.

Q: Spettacolo! Ma come faccio a rinnovare automaticamente il certificato del mio sito senza dover arrestare tutte le volte il webserver?
A: Molto semplice, oltre alla normale modalità interattiva il client Let's Encrypt può utilizzare il plugin webroot per automatizzare la procedura, la sintassi è molto semplice (ovviamente sostituisci il percorso corretto della tua DocumentRoot e l'hostname corretto del tuo sito):

Codice:

./letsencrypt-auto certonly --renew-by-default --webroot -w /var/www/html -d www.miosito.com

Una volta fatto questo ti basterà ricaricare la configurazione del tuo webserver (es "/etc/init.d/httpd graceful" nel caso di Apache su RedHat o derivate, "/etc/init.d/apache2 graceful" per Debian e derivate) e il gioco è fatto, ovviamente a patto che il tuo virtualhost sia configurato per utilizzare i certificati generati da Let's Encrypt nelle directory predefinite.

LINKS

• Sito ufficiale - https://letsencrypt.org/
• Documentazione - https://letsencrypt.readthedocs.org/en/latest/
• Let's Encrypt on GitHub - https://github.com/letsencrypt/letsencrypt
• Community - https://community.letsencrypt.org/

[Tasslehoff]

E yeppa! Primo certificato messo online sul blog/cavia

Risultato direi più che buono (salvo qualche stupida risorsa statica fixata poco fa).


.

Tutto sommato la procedura segnalata dalla documentazione ha funzionato abbastanza bene (OS CentOS 6.x), le uniche leggere criticità le ho riscontrate durante l'upgrade dei package effettuato tramite yum da letsencrypt-auto (solito ingarbugliamento di dipendenze multipiattaforma) e soprattutto a causa della versione di Python ufficiale (2.6.6).

Per risolvere ho seguito le istruzioni ufficiali rilasciate sul forum, installato Python 2.7.10 tramite repository IUS e modificato lo script letsencrypt-auto tramite sed (sed -i "s|--python python2|--python python2.7|" letsencrypt-auto).
E' un approccio non molto elegante ma funzionale e che non compromette eventuali altre applicazioni esistenti che possono dare problemi con la nuova versione di python, se non si hanno problemi del genere un approccio più elegante potrebbe essere upgradare python e far puntare il comando python alla versione 2.7 (alternatives su CentOS/RedHat o update-alternatives su Debian/Ubuntu).

[Reby92]

Interessante, grazie

Inviato a ritmo di musica dal cinguettante Oneplus One

[simona_70]

Carino. Fateci sapere.

[AMD_Edo]

Moooolto interessante...

[Tasslehoff]

Qualche aggiornamento.

Il primo riguarda un interessante articolo pubblicato su raymii.org che mostra la procedura di generazione del certificato (sempre in beta).

L'altro è un post pubblicato sul blog del progetto che spiega perchè i certificati di Let's Encrypt durino "soltanto" 3 mesi (e sarà così anche dopo il termine della beta) e che tratta un aspetto che non viene mai considerato, ovvero la compromissione delle chiavi private e la conseguente esposizione dei certificati da esse emessi.

Per concludere segnalo che si cinguetta del possibile golive la settimana prossima.

[Reby92]

Ottima la certificazione di solo tre mesi... Ma non adatta per una pmi italiana, dato che manca solitamente un sistemista di rete fisso o anche semplicemente la figura dell'informatico "tuttofare" per gli interventi di base. Sarebbe bella una procedura automatica per il rinnovo...

Inviato a ritmo di musica dal cinguettante Oneplus One

[Tasslehoff]

Quote:

Originariamente inviato da Reby92

Ottima la certificazione di solo tre mesi... Ma non adatta per una pmi italiana, dato che manca solitamente un sistemista di rete fisso o anche semplicemente la figura dell'informatico "tuttofare" per gli interventi di base. Sarebbe bella una procedura automatica per il rinnovo...

Hai assolutamente ragione, infatti uno degli obiettivi di Let's Encrypt è proprio quello di rendere questo processo automatico e del tutto schedulabile.
Al momento in beta il rinnovo va fatto a mano, ma una volta che tutto sarà live si potrà schedulare con un cron. La frequenza consigliata è di 2 mesi, anche se è possibile che in futuro la durata dei certificati venga ridotta ulteriormente.

[Reby92]

Ottimo spero che le poche pmi che hanno un sito capiscano l'utilità del ssl ora che è gratis

Inviato a ritmo di musica dal cinguettante Oneplus One

[Tasslehoff]

E' ufficiale, il 3 dicembre inizia la fase di public beta, in sostanza il servizio va in linea seppur con l'etichetta "beta".

Rispetto ad ora la differenza starà nel fatto che per richiedere certificati non sarà più necessario compilare il form della beta e attendere di essere accettati.

Siete pronti?

[AMD_Edo]

Sto attendendo con ansia....

[Tasslehoff]

Finalmente ci siamo, come promesso la fase di beta chiusa è terminata e il servizio sta macinando certificati a ritmo serrato.

Tra i big sponsor si è aggiunto anche OVH.