[Talk-de] HTTPS für openstreetmap.DE

Rolf Eike Beer eike at sf-mail.de
So Jan 31 16:06:10 UTC 2016


Am Sonntag, 31. Januar 2016, 17:03:37 schrieb Florian Lohoff:
> On Sun, Jan 31, 2016 at 11:18:39AM +0100, Rolf Eike Beer wrote:
> > Am Samstag, 30. Januar 2016, 23:11:38 schrieb Andreas Neumann:
> > > Moin,
> > > 
> > > ich kenne die Querelen bezüglich SSL-Zertifikate für OpenStreetMap.DE
> > > von CACert. Die Frage ist nun für mich, ob die selben Probleme für
> > > Zertifikate von letsencrypt bestehen? (Ich klammere bewusst den
> > > höheren Ressourcenverbrauch aus und beziehe mich nur auf das
> > > Beantragungsproblem der Zertifikate)
> > 
> > Let's Encrypt prüft nur, ob du die Domain unter Kontrolle hast, d.h. es
> > ist
> > letztlich völlig unerheblich, wer oder was in den whois-Einträgen steht
> > oder ob es sich dabei um natürliche Personen handelt oder nicht. Man muss
> > das Zertifikat nur alle 3 Monate erneuern.
> 
> Das Problem mit den 3 Monaten ist das man das zwangsweise automatisieren
> muss. Niemand hat Bock ein Zertifikat alle 3 Monate manuell durch die
> Gegend zu kopieren. Und bei so verteilter Infrastruktur braucht man das
> Zertifikat relativ häufig auch mal an 20 Stellen und dann wird das
> wirklich hakelig das robust hinzubekommen das nicht alle 3 Monate
> wieder an irgendeiner kleinen Stelle ein altes Zertifikat liegenbleibt.
> 
> Wir reden also schnell über sowas wie cfengine/puppet/ansible/chef.

Ja. Und? Es gibt doch einen vollautomatischen Client von denen, der halt 
exklusiv an Port 80 lauschen muss. Aber man kann den Kram auch an eine 
definierte Stelle im normalen Webroot hinkopieren, ich sehe nicht, warum man 
das nicht genauso automatisieren könnte. Wenn du es ohne Python hinbekommst 
bin ich ganz Ohr. ;)

Eike
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 198 bytes
Beschreibung: This is a digitally signed message part.
URL         : <http://lists.openstreetmap.org/pipermail/talk-de/attachments/20160131/83f417ef/attachment.sig>


Mehr Informationen über die Mailingliste Talk-de