Webový server - s www nebo bez a RapidSSL nebo LetsEncrypt?

PanVP

Ahoj,

v poslední době se toho poměrně dost změnilo a já potřebuji vyšvihnout jeden eshop pro rodinu.

A) Chrome už vůbec nezobrazuje www, když otevřu www.root.cz tak stejně vidím root.cz a já se ptám,
mám uvádět adresu shopu www.nějakýeshop.blahblah nebo nějakýeshop.blahblah (bez www)?

B) - je navazující otázka: Pořídit SSL certifikát na www.nějakýeshop.blahblah nebo nějakýeshop.blahblah?
Lepší služby fungovaly jako pro www tak i pro to bez www, ale...

C) Seznam používá Lets Encrypt, Root používá Lets Encrypt, Novinky Lets Encrypt (seznam), Heureka Lets Encrypt, iPrima Lets Encrypt... a já se ptám, použít Lets Encrypt nebo RapidSSL ?  :P

D) Lets Encrypt má nastavenou platnost certifikátů 90 dnů  ::) nejsem si jistý, jestli chci co tři měsíce hlídat, že mi nevyprší certifikát :-\ nebo jestli doběhl skript, platnost certifikátu dva roky je možná lepší ne?

A třeba když se kouknu na Let's Encrypt: https://letsencrypt.org/
Hlavní sponzoři (dárci), tak jsem zkoušel asi šest a nikdo z nich Lets Encrypt nepoužívá  :P

Tak nevím....

Prosím, nechci fanatickou odpověď ve stylu "a všude nas** tučňáka, protože widle smrtí od hn**e".
Naopak budu vděčný za fakta.
(No a ano, na serveru bude sedět tučňák.)

Třeba: hlavní adresa by měla být pořád www.nějakýeshop.blahblah, protože... nebo hlavní adresu dej na nějakýeshop.blahblah a samozřejmě nezapomeň na přesměrování z www na ...nějakýeshop.blahblah


_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Webový server - s www nebo bez a RapidSSL nebo LetsEncrypt?
« Odpověď #1 kdy: 08. 11. 2019, 07:06:15 »
Citace
nejsem si jistý, jestli chci co tři měsíce hlídat, že mi nevyprší certifikát :-\ nebo jestli doběhl skript
Tohle mají dělat počítače, například cron. Mně jednou za dva měsíce přijde mail, že byl certifikát obnoven, a nebo že to selhalo, což ale zatím vždycky ukazovalo na jiný problém, který se tím odhalil v čas a díky tomu byl preventivně vyřešen než si toho někdo všiml.

Citace
platnost certifikátu dva roky je možná lepší ne?
Ale zase to musíš dělat ručně, protože na rozdíl od LE nemají žádný široce podporovaný automaticky protokol, a ještě k tomu řešit platby (?). Takže ve výsledku s tím podle mě bude větší opruz než nastavit nějakého automatického klienta pro LE a dát to do cronu.

Pak je tu teda ještě otázka podmínek služby a potenciálních milionových škod: LE má v podmínkách, že když ti unikne privátní klíč a někdo je kvůli tomu zažaluje, musíš jim platit soudní výlohy, řešit právní zastoupení (v USA) a vůbec s tím bude spousta nepříjemností. Podmínky RapidSSL jsem nečetl, nepoužívám je. Na druhou stranu tohle má v podmínkách kde kdo (namátkou Thingiverse, GitHub, Trello, GitLab) a ještě jsem neslyšel o nikom, komu by se to stalo.

Re:Webový server - s www nebo bez a RapidSSL nebo LetsEncrypt?
« Odpověď #2 kdy: 08. 11. 2019, 07:19:10 »
Není důvod nepoužít Let's Encrypt. Jak píše Jenda, automatizace je rozhodně velkou výhodou. V každém případě je rozumné platnost certifikátu dohlížet monitoringem a tím včas zjistit případný problém. Ovšem to platí (možná ještě víc) i o ručně spravovaném certifikátu.

Jestli www je jen otázka zvyku, technicky není vůbec potřeba. Ovšem kvůli kompatibilitě je rozumné počítat s oběma verzemi a správně na jednu z nich přesměrovávat. Uživatelé to totiž píší do prohlížečů někdy tak a jindy jinak. Proto je rozumné si tam dát přesměrování a počítat  i s použitím druhé verze po HTTPS – musí být taky v certifikátu. Problém to není, Let's Encrypt umožňuje mít až 100 různých jmen v jednom certifikátu.

Re:Webový server - s www nebo bez a RapidSSL nebo LetsEncrypt?
« Odpověď #3 kdy: 08. 11. 2019, 07:57:37 »
Certifikát potřebujete pro variantu s www i bez www, na HTTPS by mělo běžet vše, co na webu je. Jednu variantu budete přesměrovávat na druhou – kterou kam je otázka vkusu, před pár lety to podle mne bylo nerozhodně, dnes už se asi směřuje spíš k variantám bez www, tj. www přesměrovávat na variantu bez www. Je ale potřeba přesměrovávat vše na jednu doménu, tj. http://exmaple.comhttps://example.com, http://www.example.comhttps://example.com, https://www.example.comhttps://example.com a jenom na tom https://example.com bude skutečný obsah – aby byl unikátní a měl jednoznačnou adresu.

Pro obnovu certifikátů se používají skripty. Certifikáty se pak nevyměňují těsně před koncem platnosti, ale třeba o měsíc dřív. Let's Encrypt vám pak posílá e-mail (pokud jste ho správně uvedl) asi 15 dní před koncem platnosti, takže kdyby se automatická obnova nezdařila, dozvíte se to.

Navíc pokud to bude e-shop, asi tam budete mít i nějaký externí monitoring, a ty už dnes umí kontrolovat i blížící se expiraci certifikátu.

Hlavní sponzoři používají jiné certifikační autority, protože jsou to velké společnosti a mají certifikáty od zavedených certifikačních autorit, měly by mít i certifikáty vystavené na jméno firmy, ne jen na doménu. Osobně mi připadá zvláštní, že třeba Seznam používá Let's Encrypt – pokud by všichni používali jednu autoritu, bude to velmi nebezpečné. Osobně pořád věřím, že Let's Encrypt je jen dočasná záležitost, než se certifikáty začnou dávat do DNS. Každopádně pro vaší současnou situaci je Let's Encrypt ideální.

Re:Webový server - s www nebo bez a RapidSSL nebo LetsEncrypt?
« Odpověď #4 kdy: 08. 11. 2019, 09:19:20 »
Pro nastaveni SSL certifikaty se kdyz tak mrknete na https://certbot.eff.org/ take automaticky obnovi certifikat, netreba vytvaret skripta


Re:Webový server - s www nebo bez a RapidSSL nebo LetsEncrypt?
« Odpověď #5 kdy: 08. 11. 2019, 09:31:18 »
Bude ten eshop viset primo na verejne IP adrese? Pokud ano, tak LE. Pokud ne, je potreba si to dobre rozmyslet.

_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Webový server - s www nebo bez a RapidSSL nebo LetsEncrypt?
« Odpověď #6 kdy: 08. 11. 2019, 09:57:10 »
Pro nastaveni SSL certifikaty se kdyz tak mrknete na https://certbot.eff.org/ take automaticky obnovi certifikat, netreba vytvaret skripta
Osobně jsem nikdy automatické a příliš inteligentní věci neměl v oblibě, přišlo mi složitější zjistit jak ta automatika funguje a jak ji donutit fungovat tak jak chci, než si těch pár řádků shellu napsat sám (YMMV). Pokud by to tazateli přišlo příliš složité a magické, doporučuji kouknout na druhou stranu spektra, acme-tiny.

Bude ten eshop viset primo na verejne IP adrese? Pokud ano, tak LE. Pokud ne, je potreba si to dobre rozmyslet.
Tohle jsem nějak nepochopil, může to rozvést?

Re:Webový server - s www nebo bez a RapidSSL nebo LetsEncrypt?
« Odpověď #7 kdy: 08. 11. 2019, 10:18:21 »
Já v produkci všude používám ACME.sh, což je jeden shellový skript, který umí všechno potřebné. Jsem s tím řadu let spokojen.

PanVP

Re:Webový server - s www nebo bez a RapidSSL nebo LetsEncrypt?
« Odpověď #8 kdy: 08. 11. 2019, 11:36:12 »
Předně, děkuji za odpovědi.

ACME.sh

Ano, pokud použiju Lets Encrypt tak to vidím taky na ACME.sh.

Četl jsem jak články:
https://medium.com/swlh/why-lets-encrypt-is-a-really-really-really-bad-idea-d69308887801
i
https://www.defenseagainstthedarkarts.com/lets-encrypt-is-not-a-really-really-really-bad-idea/

U Lets Encrypt je hlavní nepříjemností to, že se o to člověk musí pravidelně trochu starat.
Jenže o server by se člověk *měl* trochu starat.

Já s hlavně říkal, jestli certifikát zadáčo nesníží moje šance ve vyhledávání, ale zatím to tak nevypadá.

Re:Webový server - s www nebo bez a RapidSSL nebo LetsEncrypt?
« Odpověď #9 kdy: 09. 11. 2019, 18:06:26 »
Bude ten eshop viset primo na verejne IP adrese? Pokud ano, tak LE. Pokud ne, je potreba si to dobre rozmyslet.
Z jakého důvodu? Např. já mám veřejné ip adresy na ROUTERU, tam to jde přes NAT na PROXY server, kde je SSL terminace a z něj teprve na web server. 

Jinak používám taky ACME script, ale přidal jsem si tam vlastní nadstavbu, která mi řeší updaty.
Největší problém je stejně spojit soubory certifikátu tak, aby ho vzaly všechny prohlížeče, protože každá proxy potřebuje jiné pořadí klíčů a je to pakárna všechno nastavit správně (něco mám na haproxy, něco na nginx a něco apache). Zkontrolovat správnost umí asi jen 2 webové služby.
S návštěvností by problém být neměl. Certifikát nebere asi jen explorer ve windows xp.
« Poslední změna: 09. 11. 2019, 18:09:40 od kotelgg »

Re:Webový server - s www nebo bez a RapidSSL nebo LetsEncrypt?
« Odpověď #10 kdy: 10. 11. 2019, 01:54:00 »
Jestli www je jen otázka zvyku, technicky není vůbec potřeba.

A teda dnes specifikovat ze chci na onom serveru pristupovat ke sluzbe world wide web a ne k jine na stejnem serveru bezici?

_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Webový server - s www nebo bez a RapidSSL nebo LetsEncrypt?
« Odpověď #11 kdy: 10. 11. 2019, 06:02:14 »
A teda dnes specifikovat ze chci na onom serveru pristupovat ke sluzbe world wide web a ne k jine na stejnem serveru bezici?
Výběr služby na serveru se dělá pomocí portu. Nemyslel jsi spíš na doméně?

A jinak pěkné mi přijde dělat to pomocí SRV záznamů, například XMPP/Jabber už to tak dělá, e-mail v podstatě taky (byť se to z historických důvodů jmenuje MX). Bohužel to prohlížeče nepodporují. Ale abych pravdu řekl, nepřijde mi, že bych v praxi narážel na případy, kdy by se taková věc nějak zvlášť hodila.

Re:Webový server - s www nebo bez a RapidSSL nebo LetsEncrypt?
« Odpověď #12 kdy: 10. 11. 2019, 08:26:01 »
Ve srovnání www vs non-www drobně vyhrává varianta s www. Technicky jde třeba o nakládání s cookies, lidsky o to, že je stále velká část lidí, co automaticky píší v vztahu k webu www. (i k subdoménám). Konkrétní příklad - na TV Nova často říkají - více info najdete na tn.cz (což je jen přesměrovávací krátká adresa). Když půjdete na vyhledávač seznam.cz a začnete do něj psát www., tak mezi nejčastějšími dotazy je www.tn.cz i přes to, že se všude uvádí varianta bez www.

Technické detaily jsem probíral v https://lynt.cz/blog/nezvladnute-presmerovani

Vilith

  • *****
  • 660
    • Zobrazit profil
Re:Webový server - s www nebo bez a RapidSSL nebo LetsEncrypt?
« Odpověď #13 kdy: 10. 11. 2019, 08:43:30 »
Webový server musí podporovat obě varianty s www i bez (www.domena.tld i domena.tld). Je věcí majitele webu, zda udělá 301 redirect z www.domena.tld na domena.tld nebo domena.tld na www.domena.tld

Kdysi jsem byl zastánce toho, že web má běžet primárně na www.domena.tld, ale časy mění

Obdobě musí dnešní web sám redirectovat z HTTP na HTTPS

creatura

Re:Webový server - s www nebo bez a RapidSSL nebo LetsEncrypt?
« Odpověď #14 kdy: 10. 11. 2019, 10:09:08 »
Rekl bych, ze domena bez www se v pripade webovych stranek presmerovava na www. Asi to bude nepsane pravidlo protoze to tak delaji vsichni. Mozna to je prezitek, ale proc to menit?

Je zajimave, ze treba kdyz dam fio.cz v chrome tak se to presmeruje na www, ale www meni videt. Kdyz to udelam v jinem prohlizeci tak www videt je. To je jen takovej manyr google.

Rapid ssl ma v cene zakladniho ssl certifikatu i www verzi. Tak ze kdyz zaregistrujes shop.cz tak mas automaticky i www.shop.cz. Na da roky stoji 790kc. Pokud mas jen nekolik shopu tak je to skoro zdarma a bude te to stat hodinu prace jednou za dva roky. Delat nejakou automatizaci a skrypty v cronu se v tom pripade asi nevyplati.