Vlákno názorů k článku
Let's Encrypt nevytlačil ze státní správy komerční certifikáty od Danny - Ne, to neni chyba vedeni, kdyz ocekava ze...

Ta automatizace vam umoznuje mj. optimalizovat "toky" v siti.

Neříkej :-D Už když jsem vylezl z prvního semestru informatiky na pomocné škole, tak jsme si s kámošem říkali, že by se to (průchod grafem) mohlo uvést do praxe, třeba v případě nehody na silnici by se to automaticky mohlo přeroutovat, mohly by být třeba chytré značky, které by ukazovaly směr dle aktuální situace, nebo, kdyby bylo fakt nejhůř a ty značky by nešlo nainstalovat, tak by třeba dopravní policie mohla korigovat dopravu na předchozí křižovatce. Střih o 20 let později: Každá nehoda automaticky znamená kolony přes půl republiky.

Takže CDP je moc dobrej nápad no. Třeba se někdy dožiju toho, že to k něčemu bude.

Hele, tohle se prostě ukecat nedá. Ano, všechno co píšeš jsou skvělé nápady a ano, používají se v praxi. Ale v některých případech to fakt slouží jen na tu nálepku "podívejte se, jak jsme moderní" a za zdí to těžce hnije. Prostě někde to funguje i za situace, že se spousta věcí dělá manuálně a někde to nefunguje ani s tou automatizací.

No ale v pripade statni spravy se opakovane ukazalo, ze rucni obskakovani vede k tomu, ze na nas odnekud vybafne propadly certifikat :-)

No ale v pripade statni spravy se opakovane ukazalo, ze rucni obskakovani vede k tomu, ze na nas odnekud vybafne propadly certifikat :-)

Jenže tohle by se stalo i u ACME. Pokud někdo obnoví certifikát na 25 místech a hle, ono je tam ještě 26, tak jednak v tom má někdo nepořádek, ale tady s ACME je to ještě složitější, protože potom bude nutně potřeba nějaká interní automatika.

Už jen to, že jeden crt je na více místech je samo o sobě ... sice ne nutně špatně, ale k zamyšlení nad hledáním lepšího uspořádání.

Ona je i zábava třeba automaticky obnovovat crt od LE pro web a pro email server. Je potřeba to automaticky obnovit na třech místech. A restartovat tři služby. A už třeba s tímto některé ty acme skripty vůbec nepočítají. Takže je potřeba to dát do ansible a ten pro jistotu volat každý den. Potom někdo nepočítá s tím, že se ansible volá automaticky a zmrví playbook a už to taky nefunguje. Ona ani ta automatika není moc automatická.

Tady uplyne ještě hodně vody než si to všechno sedne.

Zvlastni, ze na podobne problemy nenarazim :-) Nevite, cim ze to je? A ted si predstavte tu hruzu... ze mj. pouzivam i DANE a mailserver mam jinde nez primar... :D S vasim pristupem bych musel kazdou chvili jeste editovat obsah DNS... :D Ne, diky... cas se da travit i lepe ;-)

To není můj přístup. Ale je mi jasné, že celou dobu směřuješ k tomu si takto kopnout. ;-)

mailserver mam jinde nez primar

Jakej primár? Mít mail server a webserver s webových mail klientem je celkem přínosné. Akorát je potřeba jeden cert dostat do nginx/apache, dovecot, postfix. A tedy restartovat tři služby. Což je v pohodě, akorát potom člověk narazí na "vlastnost" některých acme klientů, že třeba ne zcela spolehlivě provádějí všechny hook skripty. To je celý obsah sdělení. Od dob nasazení LE někdy v roce 2016 jsem se setkal s ledasčím. Od produkčních věcí očekávám trochu jinou kvalitu. Tohle není kritika CA LE, vůbec ne, jen takový povzdech nad tím, co se doporučuje jako oficiální klient apod.

Mysleno, ze me primarni DNS server mi bezi jinde nez ty maily, no bylo ode mne naivni cekat, ze vam to dojde :-) Vidite, ja treba "jeden" cert menim krom postfixu a nginxu treba i pro xmpp & irc... a mj. se snazim mit obecne ty sluzby oddelene trosicku "vic", nez jen na urovni separace UID, pod kterym to bezi - a ve vysledku mit server v rezimu "devky pro vsechno" - nein, danke... z toho jsem uz vyrost :-) Ono treba i ten ten "jeden" z mych nginxu realne obsluhuje vicero domen, kazdou neprekvapive se svym certifikatem. A celkem spokojene si to zije svym bezobsluznym zivotem :-)

V obecne rovine se rozhodne nedomnivam, ze by tooling kolem ACME byl nevhodny na produkcni nasazeni. Rozhodne je na vyssi urovni, nez nektere bastly, co vam "do produkce" dodaji nekteri komercni dodavatele :-)

Mysleno, ze me primarni DNS server mi bezi jinde nez ty maily, no bylo ode mne naivni cekat, ze vam to dojde :-)

No mě to došlo, ale nebylo jasné, jak dns server souvisí s restartem služeb pro obnovu crt.

A celkem spokojene si to zije svym bezobsluznym zivotem :-)

To věřím. Ono je potom jen otázka, zda to nasazení automatizace náhodou neznamená počáteční konfiguraci rovnající se 100 letům manuálního provozu. Ale to si musí posoudit každý admin sám. I to, co chce vlastně dělat. Já mám prostě na automatizaci daleko vyšší nároky, protože zatím každá nadšenecká automatizace znamenala daleko větší (počáteční) konfiguraci, než manuální práce. Ale tak to je asi vždycky, reklama na ansible ve znění ušetřete si tisíce ručních příkazů tímto jedním nasazením je prostě klamavá v mnoha směrech. Ale tak to už je na jinou debatu.

V obecne rovine se rozhodne nedomnivam, ze by tooling kolem ACME byl nevhodny na produkcni nasazeni. Rozhodne je na vyssi urovni, nez nektere bastly, co vam "do produkce" dodaji nekteri komercni dodavatele :-)

No to je asi jako porovnávat které hovno si dám dneska k obědu. No žádné :-D

No, to jsou ta magicka pismenka "DANE" - tam publikujete TLSA zaznamy do DNS, zeano... :-) A ten TLSA zaznam obsahuje informace o verejnem klici certifikatu. Ano, prohlizece se buhviproc brani a podobne metody verifikace certifikatu se brani jak cert krizi... ale treba na komunikaci mezi mailservery to funguje.

Pocatecni konfigurace ze znamena sto let manualniho provozu? ;-) To tezko. Rozjet to na zelene louce je otazka nekolika minut. A rozhodne v souctu je ta to manualni nahravani certifikatu naopak zdlouhavejsi. Tady se nebavime o nejake nadsenecke automatizaci, ale pouzivani proverenych a davnoexistujicich reseni. Ono kdyz se podivate na instituce typu Cloudflare, tak zjistite ze to vlastne jinak ani moc nejde. Kdyby to tam delali vasi "rucni metodou"... tak to zamestna stovky tisic lidi.

Ono kdyz se podivate na instituce typu Cloudflare

Jenže tohle je argumentace extrémem.

Pokud chci provozovat stovky tisíc serverů, tak mi nic než automatizace nezbyde. Jenže potom je pohled z druhé strany (mé ;-)). Služby typu Clouflare vlastně vůbec nepotřebuju, ale hlavně, provozuju takový počet serverů, na které je automatizace minimálně stejně náročná, jako manuál.

Prostě, jestli napíšu zfs create; bsdinstall; tak mám kontejner na dva příkazy. Stejně tak, když napíšu vim playbook; ansible-playbook, tak jsou to dva příkazy. Jenže ten ansible playbook musím nejdřív napsat, napsat všechny role a možná i moduly, řádně to otestovat apod. A v tuto chvíli už se dostávám do stavu, kdy je manual mnohem méně pracný a daleko efektivnější. Pro ten počet, který reálně spravuju. Navíc je to vrstva navíc, takže pokud aktualizace rozbije ansible*, tak jsem právě přišel o nástroj na správu stovek serverů. A ve chvíli, kdy aktalizace rozbije "bsdinstall", tak by stejně nejel ani ten ansible. Prostě vrstva navíc, která v malých počtech nic nepřinese.

*) Nebo se rozbije ten Cloudflare. Prakticky každý den vidím chybovou hlášku z CF. V roli uživatele opravdu nebudu pátrat, na které straně je problém (a v roli admina adminovi toho serveru poradím tuhle vrstvu odstranit), ale u jiných serverů bez další mezivrstvy tyto problémy nevidím.

To ale prece nejsou zadne extra extremy. Jaane, clovek asi cloudflare nepotrebuje... pokud ma kapacity na reseni nejakeho WAF a vubec nejakych aplikacnich DDoS mitigaci. Ono fakt neni prdel tohle resit... kdyz to chcete delat opravdu poradne.

Ano, prvotni start muze byt zdanlive slozity - ale ve finale vam s tim dnes dost pomuze AI. Jasne, clovek to musi revidovat.. ale nemusi vynalezat kolo. Aneb argument pracnosti jaksi pada...

Hlasky z CF - a ctete taky obsah? ;-) Dost casto je ta hlaska prave o tom, ze nefunguje koncovy aplikacni server. A za to CF fakt nemuze, zeano.