[Dutch] https voor geo-webservices met Certbot

Just van den Broecke just op justobjects.nl
Wo Okt 5 14:19:10 PDT 2016


Bedankt voor de antwoorden. Het gaat mij niet direct om de kosten, maar 
de handel in certificaten komt mij voor als windhandel, daarom blij 
alternatieven te zien....Gaat mij meer om de (versie) beheerbaarheid, 
denk aan upgrades.

Wat ik vergeten was te vermelden dat het om minimaal 16 subdomeinen gaat 
(denk aan een tileservice met 1..n subtiledomains), meerdere domeinen in 
1 Apache2 site-config, dus een wildcard certificate zou meest effectief 
zijn. Daar heb ik ervaring mee.

@Anne: ik zie bij https://www.positivessl.com vanaf 49,- p/j...of ik 
lees/klik verkeerd. Een wildcard domain cert 199,- p/j. Op zich 
goedkoper dan GoDaddy.

mvg,

Just




On 03-10-16 17:20, Anne Blankert wrote:
> let's encrypt is gratis. Als je een heel simpele opzet hebt (1
> webserver, 1 virtual host), dan zijn er scripts die het installeren en
>  updaten automatisch voor je doen.
> Een voorwaarde is daarbij dat je (web)server aan het openbare internet
> hangt.
>
> Een let's encrypt certificaat is maar 3 maanden geldig. Eigenlijk is dat
> meer secure, want als het certificaat in verkeerde handen valt, hebben
> ze er minder lang plezier van. Elke 3 maanden verlengen kan voor nogal
> wat overhead zorgen, dus dat wil je dan wel goed hebben geautomatiseerd.
>
> Overigens hoeft een SSL/HTTPS certificaat niet duur te zijn. Een Comodo
> PositiveSSL certificaat kost 20 euro voor 3 jaar en werkt met alle
> browsers en apparaten van na 2005 (?). Maar 20 euro is nog altijd meer
> dan gratis.
>
> Groet,
>
> Anne
>
> Op 3 oktober 2016 12:49 schreef Martijn Meijers <b.m.meijers op tudelft.nl
> <mailto:b.m.meijers op tudelft.nl>>:
>
>     Ook https://github.com/Neilpang/acme.sh
>     <https://github.com/Neilpang/acme.sh> is handig in gebruik.
>
>
>     Martijn
>
>
>
>     On 03-10-16 12:26, Sebastiaan Couwenberg wrote:
>
>         On 10/03/2016 12:17 PM, Just van den Broecke wrote:
>
>             Tegenwoordig verwachten afnemers dat geo-webdiensten bijv
>             WMS en tiles
>             ook via https beschikbaar zijn. Ook HTML5 functies als
>             Location werken
>             in bijv Chrome alleen in een https omgeving. Nu is het zelf
>             aanschaffen
>             en inrichten/beheren van https (certificaten etc) een dure
>             en complexe
>             bezigheid weet ik uit ervaring.
>
>             Nu kwam ik tegen: https://letsencrypt.org en de Certbot van EFF:
>             https://certbot.eff.org. Dit zou certificaat aanschaf en
>             https-beheer
>             moeten vereenvoudigen/automatiseren. Heeft iemand daar
>             ervaring mee, met
>             name in combinatie met geo-appservers als
>             MapProxy/MapServer/GeoServer
>             met Apache2 op Ubuntu?
>
>         certbot werkt goed met simpele VirtualHost configuraties waarbij
>         elke
>         ServerName zijn eigen configuratie file heeft. Subdomains die
>         redirecten
>         naar een deeplink met querystring werken niet goed met de
>         automatische
>         verificatie (en elk subdomain moet apart geverifieerd worden).
>
>         Helaas heeft certbot nog geen ondersteuning voor het DNS-01 protocol
>         waarbij de verificatie plaatsvind mbt DNS records ipv een magic
>         file op
>         de webserver (ala Google Webmaster Tools). Er is ook het
>         letsencrypt.sh
>         shellscript wat DNS-01 wel ondersteunt, maar deze vereist meer
>         werk van
>         de serveradmin dan certbot:
>
>           https://tracker.debian.org/pkg/letsencrypt.sh
>         <https://tracker.debian.org/pkg/letsencrypt.sh>
>
>         Voor mijn eigen domeinen heb ik ervoor gekozen alleen degenen
>         die met
>         certbot werken te voorzien van HTTPS, en wacht voor de domeinen met
>         problematische subdomains tot het DNS-01 protocol in certbot wordt
>         ondersteunt.
>
>         Mvg,
>
>         Bas
>
>
>     _______________________________________________
>     Dutch mailing list
>     Dutch op lists.osgeo.org <mailto:Dutch op lists.osgeo.org>
>     http://lists.osgeo.org/mailman/listinfo/dutch
>     <http://lists.osgeo.org/mailman/listinfo/dutch>
>
>
>
>
> _______________________________________________
> Dutch mailing list
> Dutch op lists.osgeo.org
> http://lists.osgeo.org/mailman/listinfo/dutch
>





Meer informatie over de Dutch maillijst