[Dutch] https voor geo-webservices met Certbot

Anne Blankert anne.blankert op geodan.nl
Ma Okt 3 08:20:50 PDT 2016


let's encrypt is gratis. Als je een heel simpele opzet hebt (1 webserver, 1
virtual host), dan zijn er scripts die het installeren en  updaten
automatisch voor je doen.
Een voorwaarde is daarbij dat je (web)server aan het openbare internet
hangt.

Een let's encrypt certificaat is maar 3 maanden geldig. Eigenlijk is dat
meer secure, want als het certificaat in verkeerde handen valt, hebben ze
er minder lang plezier van. Elke 3 maanden verlengen kan voor nogal wat
overhead zorgen, dus dat wil je dan wel goed hebben geautomatiseerd.

Overigens hoeft een SSL/HTTPS certificaat niet duur te zijn. Een Comodo
PositiveSSL certificaat kost 20 euro voor 3 jaar en werkt met alle browsers
en apparaten van na 2005 (?). Maar 20 euro is nog altijd meer dan gratis.

Groet,

Anne

Op 3 oktober 2016 12:49 schreef Martijn Meijers <b.m.meijers op tudelft.nl>:

> Ook https://github.com/Neilpang/acme.sh is handig in gebruik.
>
>
> Martijn
>
>
>
> On 03-10-16 12:26, Sebastiaan Couwenberg wrote:
>
>> On 10/03/2016 12:17 PM, Just van den Broecke wrote:
>>
>>> Tegenwoordig verwachten afnemers dat geo-webdiensten bijv WMS en tiles
>>> ook via https beschikbaar zijn. Ook HTML5 functies als Location werken
>>> in bijv Chrome alleen in een https omgeving. Nu is het zelf aanschaffen
>>> en inrichten/beheren van https (certificaten etc) een dure en complexe
>>> bezigheid weet ik uit ervaring.
>>>
>>> Nu kwam ik tegen: https://letsencrypt.org en de Certbot van EFF:
>>> https://certbot.eff.org. Dit zou certificaat aanschaf en https-beheer
>>> moeten vereenvoudigen/automatiseren. Heeft iemand daar ervaring mee, met
>>> name in combinatie met geo-appservers als MapProxy/MapServer/GeoServer
>>> met Apache2 op Ubuntu?
>>>
>> certbot werkt goed met simpele VirtualHost configuraties waarbij elke
>> ServerName zijn eigen configuratie file heeft. Subdomains die redirecten
>> naar een deeplink met querystring werken niet goed met de automatische
>> verificatie (en elk subdomain moet apart geverifieerd worden).
>>
>> Helaas heeft certbot nog geen ondersteuning voor het DNS-01 protocol
>> waarbij de verificatie plaatsvind mbt DNS records ipv een magic file op
>> de webserver (ala Google Webmaster Tools). Er is ook het letsencrypt.sh
>> shellscript wat DNS-01 wel ondersteunt, maar deze vereist meer werk van
>> de serveradmin dan certbot:
>>
>>   https://tracker.debian.org/pkg/letsencrypt.sh
>>
>> Voor mijn eigen domeinen heb ik ervoor gekozen alleen degenen die met
>> certbot werken te voorzien van HTTPS, en wacht voor de domeinen met
>> problematische subdomains tot het DNS-01 protocol in certbot wordt
>> ondersteunt.
>>
>> Mvg,
>>
>> Bas
>>
>>
> _______________________________________________
> Dutch mailing list
> Dutch op lists.osgeo.org
> http://lists.osgeo.org/mailman/listinfo/dutch
>
------------- volgend deel ------------
Een HTML-bijlage is gescrubt...
URL: <http://lists.osgeo.org/pipermail/dutch/attachments/20161003/dbaf5abf/attachment.html>


Meer informatie over de Dutch maillijst