[Dutch] https voor geo-webservices met Certbot

Anne Blankert anne.blankert op geodan.nl
Wo Okt 5 15:42:18 PDT 2016


Hallo Just,

xolphin.nl biedt een Comodo positivessl wildcard certificaat vanaf 75 euro
per jaar (140 voor 2 jaar, 195 voor 3 jaar), heb ik zelf goede ervaringen
mee. De goedkopere certificaten verifiëren/valideren alleen dat je
daadwerkelijk eigenaar/beheerder bent van een DNS domein.
Uitgebreidere/duurdere certificaten bevestigen ook je bedrijfsnaam (o..a
kvk inschrijving wordt gecontroleerd), voor de meest uitgebreide/duurste
moet de handtekeningsbevoegde in persoon langs bij een notaris.

Let's Encrypt biedt certificaten van het type domeinvalidatie, dus
overeenkomend met het goedkoopste type. Het is me zelf zonder al te veel
moeite gelukt om daar testcertificaten aan te vragen en werkend te krijgen
met de standaard online handleidingen. Uiteindelijk is dat misschien toch
de beste weg, maar zo lang je het automatisch updaten nog niet helemaal
geautomatiseerd en getest hebt, is xolphin.nl of een andere
certificaatverstrekker met vergelijkbare prijzen volgens mij een redelijk
alternatief.

Groet,

Anne

Op 5 oktober 2016 23:19 schreef Just van den Broecke <just op justobjects.nl>:

> Bedankt voor de antwoorden. Het gaat mij niet direct om de kosten, maar de
> handel in certificaten komt mij voor als windhandel, daarom blij
> alternatieven te zien....Gaat mij meer om de (versie) beheerbaarheid, denk
> aan upgrades.
>
> Wat ik vergeten was te vermelden dat het om minimaal 16 subdomeinen gaat
> (denk aan een tileservice met 1..n subtiledomains), meerdere domeinen in 1
> Apache2 site-config, dus een wildcard certificate zou meest effectief zijn.
> Daar heb ik ervaring mee.
>
> @Anne: ik zie bij https://www.positivessl.com vanaf 49,- p/j...of ik
> lees/klik verkeerd. Een wildcard domain cert 199,- p/j. Op zich goedkoper
> dan GoDaddy.
>
> mvg,
>
> Just
>
>
>
>
> On 03-10-16 17:20, Anne Blankert wrote:
>
>> let's encrypt is gratis. Als je een heel simpele opzet hebt (1
>> webserver, 1 virtual host), dan zijn er scripts die het installeren en
>>  updaten automatisch voor je doen.
>> Een voorwaarde is daarbij dat je (web)server aan het openbare internet
>> hangt.
>>
>> Een let's encrypt certificaat is maar 3 maanden geldig. Eigenlijk is dat
>> meer secure, want als het certificaat in verkeerde handen valt, hebben
>> ze er minder lang plezier van. Elke 3 maanden verlengen kan voor nogal
>> wat overhead zorgen, dus dat wil je dan wel goed hebben geautomatiseerd.
>>
>> Overigens hoeft een SSL/HTTPS certificaat niet duur te zijn. Een Comodo
>> PositiveSSL certificaat kost 20 euro voor 3 jaar en werkt met alle
>> browsers en apparaten van na 2005 (?). Maar 20 euro is nog altijd meer
>> dan gratis.
>>
>> Groet,
>>
>> Anne
>>
>> Op 3 oktober 2016 12:49 schreef Martijn Meijers <b.m.meijers op tudelft.nl
>> <mailto:b.m.meijers op tudelft.nl>>:
>>
>>     Ook https://github.com/Neilpang/acme.sh
>>
>>     <https://github.com/Neilpang/acme.sh> is handig in gebruik.
>>
>>
>>     Martijn
>>
>>
>>
>>     On 03-10-16 12:26, Sebastiaan Couwenberg wrote:
>>
>>         On 10/03/2016 12:17 PM, Just van den Broecke wrote:
>>
>>             Tegenwoordig verwachten afnemers dat geo-webdiensten bijv
>>             WMS en tiles
>>             ook via https beschikbaar zijn. Ook HTML5 functies als
>>             Location werken
>>             in bijv Chrome alleen in een https omgeving. Nu is het zelf
>>             aanschaffen
>>             en inrichten/beheren van https (certificaten etc) een dure
>>             en complexe
>>             bezigheid weet ik uit ervaring.
>>
>>             Nu kwam ik tegen: https://letsencrypt.org en de Certbot van
>> EFF:
>>             https://certbot.eff.org. Dit zou certificaat aanschaf en
>>             https-beheer
>>             moeten vereenvoudigen/automatiseren. Heeft iemand daar
>>             ervaring mee, met
>>             name in combinatie met geo-appservers als
>>             MapProxy/MapServer/GeoServer
>>             met Apache2 op Ubuntu?
>>
>>         certbot werkt goed met simpele VirtualHost configuraties waarbij
>>         elke
>>         ServerName zijn eigen configuratie file heeft. Subdomains die
>>         redirecten
>>         naar een deeplink met querystring werken niet goed met de
>>         automatische
>>         verificatie (en elk subdomain moet apart geverifieerd worden).
>>
>>         Helaas heeft certbot nog geen ondersteuning voor het DNS-01
>> protocol
>>         waarbij de verificatie plaatsvind mbt DNS records ipv een magic
>>         file op
>>         de webserver (ala Google Webmaster Tools). Er is ook het
>>         letsencrypt.sh
>>         shellscript wat DNS-01 wel ondersteunt, maar deze vereist meer
>>         werk van
>>         de serveradmin dan certbot:
>>
>>           https://tracker.debian.org/pkg/letsencrypt.sh
>>         <https://tracker.debian.org/pkg/letsencrypt.sh>
>>
>>         Voor mijn eigen domeinen heb ik ervoor gekozen alleen degenen
>>         die met
>>         certbot werken te voorzien van HTTPS, en wacht voor de domeinen
>> met
>>         problematische subdomains tot het DNS-01 protocol in certbot wordt
>>         ondersteunt.
>>
>>         Mvg,
>>
>>         Bas
>>
>>
>>     _______________________________________________
>>     Dutch mailing list
>>     Dutch op lists.osgeo.org <mailto:Dutch op lists.osgeo.org>
>>     http://lists.osgeo.org/mailman/listinfo/dutch
>>     <http://lists.osgeo.org/mailman/listinfo/dutch>
>>
>>
>>
>>
>> _______________________________________________
>> Dutch mailing list
>> Dutch op lists.osgeo.org
>> http://lists.osgeo.org/mailman/listinfo/dutch
>>
>>
>
>
> _______________________________________________
> Dutch mailing list
> Dutch op lists.osgeo.org
> http://lists.osgeo.org/mailman/listinfo/dutch
>
------------- volgend deel ------------
Een HTML-bijlage is gescrubt...
URL: <http://lists.osgeo.org/pipermail/dutch/attachments/20161006/d245d2d5/attachment.html>


Meer informatie over de Dutch maillijst