Minule mi skončil WoSign certifikát a tak som si ho chcel ísť obnoviť. Nabehnem tam a zrazu na mňa vyskočí nepríjemná škaredá správa - "Sorry, due to some security consideration, WoSign decide to close the free SSL certificate application temporarily. Sept. 29th 2016." Čo teraz?
Čo to bolo?
O WoSign certifikátoch som hovoril tu. V podstate jedna čínska spoločnosť poskytovala zdarma jednoduché SSL certifikáty, nie vo forme Let's Encrypt ktorý dnes mnohí poznáte ale tou starou cestou, akurát sa za to neplatilo. A to bolo pre mňa výhodné, pretože som som mohol mať HTTPS či už na admine firewallu alebo na mailoch, pretože tam by som Let's Encrypt nedostal.. hoci všetko sa dá ale bolo by to zložité.
Rozhodol som sa teda použiť alternatívu StartSSL na ktorú som natrafil už dávnejšie ale WoSign bol jednoduchší. Po strastiplnej ceste registrovania a prihlásenia sa do ich portálu sa mi podarilo vygenerovať free certifikát ktorým som nahradil už doslúžilý WoSign.
Jedného dňa..
Jedného dňa som však šiel na jednu zo svojich vecí kde používam tieto certifikáty a vybliakla na mňa škaredá správa od Chrome že web je "nezabezpečený" a že či chcem pokračovať. Pozerám jakóó?! Certifikát od StartSSL bol platný do roku 2019, Root CA certifikát som mal nahodený tiež tak som netušil kde môže byť problém.
Chrome a Firefox ich označili za nedôveryhodné
Po chvíľe hladaní informácií na Googli som natrafil na nepríjemnú správu: Chrome and Firefox - Distrusting WoSign and StartCom Certificates. Všetky certifikáty od WoSign a StartCom(StartSSL) ktoré boli vydané po 21.10.2016 (čo bol aj môj prípad) budú označené za nedôveryhodné zo strany Chrome a Firefoxu. Chrome aj Firefox však túto zmenu uviedol do prevádzky od januára, čo sedí, preto som to zistil až teraz hoci Chrome o tom "hovorili" už na konci októbra. Viac o tom si môžete prečítať priamo na ich stránkach - Chrome, Firefox.
Čo teraz? Je tu ešte nejaká nádej okrem LE?
Pravdepodobne nie, preto som musel pristúpiť ku kroku vyšpekulovať aby som mohol Let's Encrypt nasadiť aj na svoj firewall aj na mail a iné služby. Problémom je, že Let's Encrypt si vždy potrebuje pri generovaní certifikátu overiť, či daná doména obsahuje vygenerovaný overovací súbor. A tu nastane problém pokiaľ nemáme nejaký open source mail server kde môžeme priamo nahliadnúť do zdrojových kódov a pridať tam potrebné overovacie súbory.
Ja som mal ale štastie. Všetky veci/služby, na ktoré potrebujem tento certifikát mi bežia na iných portoch ako 80. Tým pádom nebol problém podstrčiť tam webserver na ktorom sa acme-challenge vykonal. Využil som veľmi zaujímavú online službu sslforfree.com ktorá supluje potrebu mať nejaký nástroj na generovanie certifikátu priamo na webserveri - vhodné pre Windows ak nechcete využívať letsencrypt-win-simple.
Sranda spočíva v pár jednoduchých krokoch vďaka ktorým sa vám zväčší za pár minút podarí vygenerovať si Let's Encrypt certifikát. A ako som to využil ja keď mám už nástroj na Windowse? Jednoducho, na Windowse začne acme-challenge bežať hneď ako potvrdíme dialógové okno, ale sslforfree.com vám najskôr tieto súbory dá na stiahnutie, tým pádom si ich môžete dopraviť manuálne na cestu, kde majú byť(či už do toho dočasného webserveru alebo do napr. open source mailu).
Budeme čakať
Na stránke StartSSL v klientskej časti free certifikátov je o tejto situácií napísané a takisto píšu, že to riešia a StartSSL free certifikáty by mali o "pár niečoho" znova fungovať. Avšak starý dobrý čínsky WoSign je už asi definitívne preč.
Budem tento článok postupne aktualizovať o nové informácie, poprípadne čakajte další, keď sa táto situácia posunie ďalej. Ak chcete o ňom vedieť ako prvý kliknite v pravom dolnom na zvonček ktorým si môžete zapnúť notifikácie na môj blog.