[MASOCH-L] [SPFBL] Implementação HTTS no SPFBL

Leandro leandro at spfbl.net
Mon Jul 31 14:56:43 -03 2017


Oi Anderson. Pelo que entendi sobre o Let's Encrypt, a proposta é
justamente essa, dos certificados serem atualizados automaticamente por
protocolo ACME. Até onde entendi, a validade destes certificados é de 3
meses e ficar atualizando isso na mão da muito trabalho e perda de tempo.
Isso vem bem a calhar porque seria uma forma de facilitar o trabalho do
administrador SPFBL que precisaria apenas se registrar lá uma vez e
esquecer. Parece que vários provedores estão implementando esse mecanismo
de atualizações automáticas.

Em 31/07/2017 14:13, "Anderson C. Santos" <anderson at microquest.com.br>
escreveu:

> Prezado Leandro,
>
>   Nao entendi bem a dificuldade: sao coisas separadas
>     como obter o certificado e a aplicacao ser compativel
>     com HTTPs.
>
>   1) Aplicacao ser compativel com HTTPs (mesmo java)
>
>      Voce tem de se preocupar apenas em usar as bibliotecas
>      do java quer permitam HTTPs - indicando os diretorio
>      onde ficam a CA, o intermediate CA, o certificado
>      em si e a private key. Como esta CA e demais arquivos
>      foram obtidos nao importa.
>
>   2) Como obter o certificado.
>
>      O letsencript, assim como qualquer certificado (thawte, certsign,
>      etc), usa algum metodo de validacao (arquivo, email, etc).
>
>      No caso do letsencritp, normalmente eh um arquivo no diretorio
>      principal do dominio em questao.
>
>   Criar codigo dentro do SPFBL para tratar a aquisicao de certificado
>     e quetais me parece reinventar a roda - basta a aplicacao ser
>     compativel com HTTPs e indicar onde pegar os arquivos
>     correspondentes.
>
>
>   Anderson C. Santos
>
> On 31/07/2017 13:27, Vinícius Santana wrote:
> > +1 para Nginx como proxy.
> >
> > Sugiro ainda, gerar os certificados com o Certbot em um container Docker.
> >
> > On Jul 31, 2017 12:49, "Diego Abadan" <abadan at gmail.com> wrote:
> >
> > Me parece que o padrão de mercado é por um Nginx ou outro serviço como
> > proxy, com a cara para o mundo, enquanto a aplicação Java não fica
> exposta.
> >
> > Neste caso, talvez não seja necessário HTTPS entre a aplicação Java e
> > nginx, se considerar que a comunicação entre elas já é segura (ex.: as
> duas
> > rodam no mesmo servidor). Apenas do nginx em diante ficaria em HTTPS.
> >
> > A amazon deve oferecer soluções para isso como serviço. Algo semelhante a
> > isto, oferecido pela concorrência:
> > https://www.linode.com/nodebalancers
> >
> > abraços,
> > Diego
> >
> >
> > Em 31 de julho de 2017 11:47, Leandro <leandro at spfbl.net> escreveu:
> >
> >> Pessoal,
> >>
> >> Seguindo uma recomendação antiga do Rubens, comecei a estudar
> recentemente
> >> o uso do Let’s Encrypt como CA official do projeto SPFBL, para uso na
> >> futura implementação HTTPS.
> >>
> >> Gostaria de implementar todo o processo de atualização dos certificados
> >> por gerenciamento pelo próprio SPFBL e acabei caindo nessa biblioteca
> ACME
> >> aqui:
> >>
> >> https://github.com/shred/acme4j
> >>
> >> Gostaria de saber dos senhores se essa biblioteca é confiável e também
> se
> >> seria a melhor opção que temos ara implementar gerenciamento de
> >> certificados Let’s Encrypt dentro do Java.
> >>
> >> Abraços,
> >> Leandro
> >> SPFBL.net
> >>
> >> --
> >> Você recebeu essa mensagem porque está inscrito no grupo "SPFBL" dos
> >> Grupos do Google.
> >> Para cancelar inscrição nesse grupo e parar de receber e-mails dele,
> envie
> >> um e-mail para spfbl+unsubscribe at googlegroups.com.
> >> Para mais opções, acesse https://groups.google.com/d/optout.
> >>
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> >
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



More information about the masoch-l mailing list