SSL/TLS certificaten van 'Let's Encrypt'

[ekohl]

Het klopt inderdaad dat ik de functie [" SSL_SET_CERT "] nog moet aanpassen. ik had de api command [" /CMD_API_DOMAIN "] nog niet in gebruik omdat ik daar nog een fout bij krijg. (Ik moet nog even uitzoeken hoe ik alleen SSL => ON kan sturen in plaats van alle opties die voor [" /CMD_API_DOMAIN "] gelden. en als dat niet werkt moet ik even een functie maken die controleert of de "bandwith" unlimited is als dat het geval is moet ik andere waarde doorsturen.)

Wat wij doen is de info ophalen, kijken wat de waarde van SSL is en zo nodig die vervangen. Om in REST termen te spreken: er is geen PATCH, alleen een PUT.

Daardoor vertrouw je er op dat de browser van de bezoeker wel de juiste chain heeft gecached van andere websites. Via CMD_API_SSL met type cacert kun je dat ook instellen

begrijp ik niet helemaal gaat dat ook om de functie [" SSL_SET_CERT "]?

Ik zie nu dat je de volledige chain in het certificaat stopt. Ik wist niet dat dit ook mogelijk was.

[ekohl]

Ik heb het uitgezocht en het is mogelijk om de optie CA certificaat uit te zetten. Volgens mij is dit ook de default. Door dan de intermediates (want daar gaat het eigenlijk om) in het certificaat-veld te stoppen komt het uiteindelijk wel goed bij Apache uit. Als de optie CA certificaat voor een domein aan staat, dan loop je nu het risico dat je te veel intermediates meestuurt naar de client. Die kan daar op zich mee omgaan, maar netjes is het niet. SSLLabs geeft je er ook minpunten voor omdat de connection setup er iets langer door duurt.

Voor de compleetheid: het staat gedocumenteerd op https://www.directadmin.com/features.php?id=514:

CMD_SSL
set the cacert and settings.
GET or POST
domain=domain.com
action=save
type=cacert
active=yes (don't pass 'active' at all, for 'no')
cacert=the ca certificate

[Notify]

Het klopt inderdaad dat ik de functie [" SSL_SET_CERT "] nog moet aanpassen. ik had de api command [" /CMD_API_DOMAIN "] nog niet in gebruik .......

Wat wij doen is de info ophalen, kijken wat de waarde van SSL is en zo nodig die vervangen. Om in REST termen te spreken: er is geen PATCH, alleen een PUT.

Deze functie heb ik nu aangepast. : zie https://github.com/t-me/DirectAdmin-Cer ... #L276-L308
Mocht SSL Disabled zijn dan word deze nu ENABLED

Voor de compleetheid: het staat gedocumenteerd op https://www.directadmin.com/features.php?id=514:

CMD_SSL
set the cacert and settings.
GET or POST
domain=domain.com
action=save
type=cacert
active=yes (don't pass 'active' at all, for 'no')
cacert=the ca certificate

Dit heb ik getest alleen mocht de servercertificaat aangeklikt staan dan blijft deze aangevinkt met deze functie
https://github.com/t-me/DirectAdmin-Cer ... #L266-L273
Heb ik daar geen problemen mee.

Wat ik me nog wel afvraag is of ik ook "Use a symbolic link from private_html to public_html - allows for same data in http and https" kan instellen via de DA API . helaas ben ik dat nog niet tegengekomen.

[ekohl]

Je code ziet er op zich goed uit, wij doen soortgelijke normalisatie voor unlimited. Vraag me wel af waarom je op https://github.com/t-me/DirectAdmin-Cer ... s.php#L301 een nieuwe DA client maakt.

Wat ik me nog wel afvraag is of ik ook "Use a symbolic link from private_html to public_html - allows for same data in http and https" kan instellen via de DA API . helaas ben ik dat nog niet tegengekomen.

Wij hebben ervoor gekozen om van deze setting af te blijven gezien de mogelijke implicaties. Dit is netto een rm -rf private_html && ln -s public_html private_html en dat vinden we net te link. We hebben bij de introductie van de betaalde SSL-certificaten platformbreed eenmalig alles (gescript) nalopen. Mits veilig (ongeveer: er staat alleen een placeholder index.html in de directory) hebben we zo veel mogelijk symlinks gemaakt. Daarnaast is de symlink de default voor nieuwe pakketten. Ik ben niet op de hoogte van problemen hiermee en raad je aan hier ook vanaf te blijven.

Overigens denk ik dat ik wel mag verklappen dat we op dit moment hard werken aan een oplossing, maar hoe, wat en wanneer hou ik nog even voor me. Vooral we het zelf nog niet exact weten

[Joris de Leeuw]

Zoals mijn collega al in een hint aangaf zijn we achter de schermen druk bezig geweest met onze eigen implementatie van Let's Encrypt. We gaan hierbij nog een stapje verder dan andere implementaties, om de werking van SSL voor klanten zo makkelijk mogelijk te maken. Over hoe dit er uiteindelijk uit gaat zien maken we binnenkort meer bekend.

Voor alle geïnteresseerden die nu al met onze Let's Encrypt implementatie aan de slag willen is het mogelijk je aan te melden als 'tester'. Al onze klanten die een pakket hebben bij Antagonist zijn daarbij welkom (ook resellers).

Mocht je interesse hebben stuur dan gerust een e-mail naar support@antagonist.nl dan ontvang je zo spoedig mogelijk instructies tegemoet hoe je Let's Encrypt nu al kunt inschakelen voor een gewenste domeinnaam naar keuze.

[WouterNL]

Dat is geweldig nieuws.
Ik ga vanavond direct testen!

Zo maakt Antagonist mijn dag weer goed

[ASS-Ware]

Ik ben aan het testen geslagen met 1 domein binnen mijn reseller pakket en dat werkte in 1 keer goed.
Goed spul!

[snarf007]

Werkt hier ook prima, en snel ..

Werkt alleen niet voor mail. Zou mooi zijn als mail.<mijndomein.nl> ook een geldig certificaat zou krijgen via let's encrypt ...

[Joris de Leeuw]

Goed om te horen dat het direct en snel werkt!

Bij mijn persoonlijke website werkte Let's Encrypt ook binnen vijf minuten als een zonnetje. Even de Really Simple SSL plugin in mijn WordPress website erbij gehangen en overal op mijn website toont netjes een slotje in mijn webbrowser.

Stuur vooral feedback ook terug op de 'Let's Encrypt, beta uitnodiging' mail die is verzonden naar de geïnteresseerden. We stellen feedback namelijk zeer op prijs.

[WouterNL]

Inmiddels heb ik als test een aantal websites binnen het reseller-account voorzien van het certificaat.
Echt heel erg eenvoudig.
Ik heb mijn feedback per e-mail aan Antagonist gestuurd.
Daarin enkele vragen/verbeteringen op de handleiding voorgesteld.
Als Antagonist daar wat in ziet, hoop ik dat die bij de uitrol naar alle klanten worden meegenomen.

Tot nu toe ben ik in ieder geval zeer tevreden.

[ASS-Ware]

Daarin enkele vragen/verbeteringen op de handleiding voorgesteld.

Kun je dat ook met ons delen AUB?
Ik heb het ook in gebruik in mijn reseller account en ik heb niets op te merken.

[WouterNL]

Ja hoor, dat kan wel.
Wat mij wel opviel was dat in de uitleg aangeven werd dat het eerste bestand in een willekeurig domein mag worden geplaatst.

2. Klik op ‘User Level’ en selecteer een willekeurig domein.

Dus plaatste ik het bestand in de map waar filemanager opent bij het domein dat ik wilde voorzien van het SSL-certificaat.

Daarna plaatste ik het tweede bestand op de juiste plaats en toen wachten.
Binnen enkele minuten was het tweede bestand netjes verdwenen.
Maar er was geen certificaat geïnstalleerd.
Nogmaals geprobeerd en wederom geen succes.

Toen heb ik het eerste bestand verwijderd en het daarna geplaatst als onderdeel van mijn eigen (reseller)domein
Daarna opnieuw het tweede bestand geplaatst in het domein dat ik van een certificaat wilde voorzien en dat werkte toen wel goed.

Dus alles bij elkaar niet echt spannend, maar ik vond het wel de moeite waard om het aan Antagonist te laten weten. Het systeem om een certificaat te installeren werkt perfect, maar misschien is het mogelijk om het net wat duidelijker in de uitleg te beschrijven.

Ik heb het inmiddels ook getest op een account dat geen onderdeel is van een reseller-pakket. Dan hoeft het eerste bestand uiteraard niet geplaatst te worden.
Het tweede bestand plaatsen is dan voldoende en dat werkte ook in 1x goed.

[ASS-Ware]

Ja hoor, dat kan wel.
Wat mij wel opviel was dat in de uitleg aangeven werd dat het eerste bestand in een willekeurig domein mag worden geplaatst.

2. Klik op ‘User Level’ en selecteer een willekeurig domein.

Dus plaatste ik het bestand in de map waar filemanager opent bij het domein dat ik wilde voorzien van het SSL-certificaat.

Daarna plaatste ik het tweede bestand op de juiste plaats en toen wachten.
Binnen enkele minuten was het tweede bestand netjes verdwenen.
Maar er was geen certificaat geïnstalleerd.
Nogmaals geprobeerd en wederom geen succes.

Toen heb ik het eerste bestand verwijderd en het daarna geplaatst als onderdeel van mijn eigen (reseller)domein
Daarna opnieuw het tweede bestand geplaatst in het domein dat ik van een certificaat wilde voorzien en dat werkte toen wel goed.

Ik denk dat er verwarring is ontstaan in waar je je hoofddomein hebt staan.
Bij mij staat het hoofddomein onder 'User Level'.
Staat jouw hoofddomein misschien onder een aparte user?

[WouterNL]

Nee, ik heb mijn hoofddomein ook netjes onder User level staan.
Waarschijnlijk heb ik het te snel gelezen bij de eerste keer dat ik het probeerde.

[ASS-Ware]

Gek ... bij mij werkte het exact zoals beschreven.