#1 2020-05-28 10:54:11

dumblob
Endora uživatel
Registrován: 1970-01-01
Příspěvky: 4

HTTPS/SSL/TLS (Let's Encrypt) pro free účty

Velcí hráči na trhu (Google, Mozilla, Microsoft, ...) zobrazují stránky bez HTTPS jako nebezpečné. Já a pravděpodobně mnozí ostatní (např. http://podpora.endora.cz/viewtopic.php?id=11938 ) s tím souhlasím.

Endora pro free účty však certifikát nenabízí - viz. https://www.endora.cz/vlastnosti/https- … ts-encrypt . Uživatelé free účtů Endora jsou tedy ve svízelné situaci.

Nemohl jsem tomu odůvodnění ve výše odkázaném článku uvěřit, a tak jsem se podíval na politiku Let's Encrypt ohledně domén třetího řádu ( https://letsencrypt.org/docs/rate-limits/ ):

The main limit is Certificates per Registered Domain (50 per week). A registered domain is, generally speaking, the part of the domain you purchased from your domain name registrar. For instance, in the name www.example.com, the registered domain is example.com. In new.blog.example.co.uk, the registered domain is example.co.uk. We use the Public Suffix List to calculate the registered domain. Exceeding the Certificates Per Registered Domain limit is reported with the error message too many certificates already issued, possibly with additional details.

If you have a lot of subdomains, you may want to combine them into a single certificate, up to a limit of 100 Names per Certificate. Combined with the above limit, that means you can issue certificates containing up to 5,000 unique subdomains per week. A certificate with multiple names is often called a SAN certificate, or sometimes a UCC certificate. Note: For performance and reliability reasons, it’s better to use fewer names per certificate whenever you can.

Renewals are treated specially: they don’t count against your Certificates per Registered Domain limit, but they are subject to a Duplicate Certificate limit of 5 per week. Note: renewals used to count against your Certificate per Registered Domain limit until March 2019, but they don’t anymore. Exceeding the Duplicate Certificate limit is reported with the error message too many certificates already issued for exact set of domains.

(tučně jsem vyznačil nejdůležitější)

Nedávno tedy došlo k velké změně a tedy i kdyby Endora měla free účtů třeba milión, tak by mohla postupně každý týden nasadit 5000 certifikátů a za cca 1400 dní (zhruba 3.8 roků) by měl celý milión účtů automaticky se obnovující certifikát. To si myslím jsou krásná čísla vzhledem k tomu, že to vše je plně automatizovatelné (a to velice jednoduše - stačí vlastně cron job každý týden, který se podívá kterých dalších 5000 domén nemá ještě certifikát a prostě o ně zažádá v padesáti requestech pokaždé po stovce).

Myslím však, že Endora má mnohem méně free účtů než milión, a tedy 3.8 roků bude zřejmě mnohem "kratších".

Neuvažujete změnit přístup a začít poskytovat HTTPS i pro free účty?

Prosím též opravit odůvodnění v článku odkázaném výše, protože se zdá být falešné.

Offline

#2 2020-05-28 14:01:38

JF
Endora rádce
Místo: ....nice u Plzně
Registrován: 2010-06-22
Příspěvky: 11,057

Re: HTTPS/SSL/TLS (Let's Encrypt) pro free účty

Dobrý den, pro domény 3 řádu máme vystaven multi-wildcard certifikát. Čili všechny jsou certifikátem korektně zabezpečeny. Přístup k obsahu přes https je povolen jen u programu PLUS a MEGA. Aktuálně nemáme v plánu jej povolit pro FREE, jelikož pořád je náš bezplatný webhosting hodně zneužíván pro phishing a spam který nehodláme podporovat aby běžel navíc na zabezpečenom protokole pokud jej neodhalíme. Můžu znovu nechat situaci projednat vlastníky endory či by nezvážili možnost a nepřidali ji mezi příplatkové služby k programu FREE.


Ján Fačkovec - Helpdesk Endora.cz
Email: jan.fackovec(zavináč)endora.cz, Web: www.endora.cz
PHPinfo různých verzií!

Offline

#3 2020-05-28 14:47:20

dumblob
Endora uživatel
Registrován: 1970-01-01
Příspěvky: 4

Re: HTTPS/SSL/TLS (Let's Encrypt) pro free účty

Děkuji za rychlou reakci.

Phishing, spam apod. - tyto problémy se týkají pouze neověřeného FREE programu (a nikoliv ověřeného FREE skrze mojeID). Rozhodně bych mezi těmito variantami rozlišoval. Pochopím, pokud by pro neověřený FREE existovalo HTTPS pouze za příplatek.

Avšak pro ověřený FREE již žádný důvod pro příplatek nevidím - právě proto, že identita uživatele je garantována a tedy nikdo takový účet nezneužije (kromě toho CZ.NIC dává provozovatelům podporujícím mojeID zajímavé smluvní výhody, které převáží provozní náklady za vystavování certifikátů pro všechny ověřené FREE účty).

Každopádně prosím o znovuprojednání s vlastníky (včetně zdůraznění zásadního rozdílu mezi ověřeným FREE a neověřeným FREE, a to i ve vztahu ke smlouvám s CZ.NIC).

Zatím nechám toto téma otevřené.

Offline

Zápatí

Založeno na FluxBB | CZ a SK