Zabezpiecz swoją stronę www za darmo certyfikatem SSL od Let’s Encrypt

Jakiś czas temu pisałem o starcie usługi dostarczające darmowe certyfikaty SSL dla stron internetowych – Let’s Encrypt.

Usługa wyszła już z fazy beta, nadal jest w fazie beta jednak działa naprawdę dobrze i otrzymanie certyfikatu przebiega bez żadnych problemów.

holas.pl z certyfikatem z Let's Encrypt

Aby z niej skorzystać trzeba pobrać klienta i postąpić zgodnie z jego instrukcją. Niestety aktualnie nie ma paczki na Debiana Jessie więc postanowiłem użyć jednego z alternatywnych klientów, który jest skryptem w bashu i jest prosty jak „konstrukcja cepa” – https://github.com/Neilpang/acme.sh

Używając powyższego skryptu można wszystko zrobić dosłownie w 5 minut :). Wspomnę tylko, że skrypt ma instalator (pkt. 1 lub 2 ze strony na githubie) i inne ułatwiacze ale ja lubię mieć kontrolę nad tym co się dzieje więc z nich nie korzystałem.

Na wstępie ustalmy do celów poradnika, że wszystko będziemy wykonywać z root’a (oczywiście nie trzeba ale zakładamy tak w celu uproszczenia) oraz:

/root/.acme.sh/acme.sh – miejsce składowania skryptów klienta
mojastrona.pl – strona, dla której chcemy uzyskać certyfikat
/mnt/www/mojastrona.pl – katalog na dysku naszej strony
/etc/apache2 – lokalizacja apache wraz z plikami konfiguracji

Pierwszym naszym krokiem powinno być pobranie wymaganych plików klienta. W tym celu przechodzimy (zakładamy w razie potrzeby) do katalogu

/root/.acme.sh/acme.sh

i wykonujemy komendę

git clone https://github.com/Neilpang/acme.sh

Jeśli nie mamy gita to go instalujemy lub wchodzimy na stronę projektu, ręcznie pobieramy pliki i je wypakowujemy.

Następnym krokiem (dla wygody tylko) jest zrobienie symlinka z katalogu gdzie będą nasze certyfikaty do katalogu apache. Wykonujemy to komendą

ln -s /root/.acme.sh/ /etc/apache2/letsencrypt

Po wykonaniu powyższych kroków oraz upewnieniu się, że nasza strona jest dostępna z internetu należy pobrać certyfikat

./acme.sh issue /mnt/www/mojastrona.pl/ mojastrona.pl

lub jeśli mamy jakieś aliasy (np. www.mojastrona.pl) to

./acme.sh issue /mnt/www/mojastrona.pl/ mojastrona.pl www.mojastrona.pl

Jeśli nasza strona była dostępna z internetu to powinniśmy otrzymać certyfikat, a potrzebne pliki zapisane zostaną w katalogu

/root/.acme.sh/mojastrona.pl/

Pozostało nam już tylko poprawić konfigurację apache aby wskazać nasze certyfikaty (dobry poradnik jak skonfigurować SSL w apache znajduje się tu – krok 3 i 4). W tym celu w pliku konfiguracyjnym należy wskazać tak aby opcja

SSLCACertificateFile  kierowała do ca.cer
SSLCertificateFile kierowała do pliku .cer
SSLCertificateKeyFile kierowała do pliku .key

np.

SSLCACertificateFile /etc/apache2/letsencrypt/mojastrona.pl/ca.cer
SSLCertificateFile /etc/apache2/letsencrypt/mojastrona.pl/mojastrona.pl.cer
SSLCertificateKeyFile /etc/apache2/letsencrypt/mojastrona.pl/mojastrona.pl.key

oraz przeładować apache

service apache2 reload

O tego momentu strona powinna zgłaszać się z certyfikatem od Let’s Encrypt.

Dodatkowo warto ustawić automatyczne odnawianie certyfikatów gdyż mają one ważność 90 dni.

W tym celu najprościej stworzyć wykonywalny skrypt, np.

acme.sh_cron

z zawartości np.

#!/bin/sh
/root/.acme.sh/acme.sh/acme.sh cron >> /var/log/le-renew.log
service apache2 reload

i przenieść go do

/etc/cron.daily

Jak widać proces nie jest przesadnie skomplikowany i po wstępnej konfiguracji raczej banalny. Docelowo prawdopodobnie i tak wybiorę oficjalnego klienta ale pierw musi w repozytoriach Debiana Jessie zostać udostępniona oficjalna paczka.

Powodzenia w szyfrowaniu! 🙂

EDIT:
Skrypt zmienił nazwę więc powyższy opis został odpowiednio dostosowany.

Podziel się:
Share on FacebookTweet about this on TwitterShare on Google+Share on LinkedInPin on PinterestEmail this to someonePrint this page

Potrzebujesz gdzieś zajrzeć ale trzeba się zalogować – tymczasowy adres e-mail to rozwiązanie dla Ciebie.

Zapewne spora część z Was ma lub miała adres e-mail założony tylko po to aby gdzieś go użyć i nie narazić na SPAM głównej skrzynki. Nie jest jeszcze tak źle jeśli pamiętamy namiary na niego ale często powstaje on na zasadzie uderzenia w klawiaturę (podobnie jak hasło do niego) i mamy potem adres w stylu

sd76fd8sfsw0@e-mail.pl

Zapamiętanie tego graniczy z cudem i przy następnej okazji znów zakładamy następny mail i tracimy cenne minuty.

Powstały jednak usługi, które ten proces mogą znacznie ułatwić. Są to tymczasowe adresy e-mail ważne od parunastu minut do zamknięcia okna przeglądarki czy przeładowania strony. Usług takich jest pełno (wystarczy odpowiednio zapytać Google) jednak mi najbardziej odpowiadają dwie z nich:

Zasada działania ich jest banalnie prosta. Wchodzimy na stronę, kopiujemy wygenerowany adres e-mail i używamy go gdzie potrzebujemy. Wszelka poczta dostarczona na niego pojawi się nam na ekranie i możemy ją przeczytać.

Pierwszy z wymienionych przeze mnie (ThrowAwayMail.com) działa dokładnie w taki sposób. Maile możemy odbierać do końca sesji przeglądarki.

Drugi jest trochę bardziej zaawansowany. Maile odbierają się automatycznie do momentu odświeżenia okna przeglądarki. Dodatkowo możemy zapisać sobie klucz pozwalający odzyskać dostęp do adresu (niestety nie do maili) oraz możemy ustawić przekierowanie na swój prawdziwy mail (zawsze możemy potem z tego przekierowania zrezygnować).

Powyższe usługi są proste ale takie mają być. Wchodzimy na stronę, używamy maila i nie martwimy się spamem bo mail znika po paru godzinach.

 

Podziel się:
Share on FacebookTweet about this on TwitterShare on Google+Share on LinkedInPin on PinterestEmail this to someonePrint this page

Let’s Encrypt – darmowy certyfikat dla wszystkich

Za kilka dni (dokładnie 03.12.2015) rusza otwarta beta ciekawego projektu Let’s Encrypt. Pozwoli on całkowicie za darmo otrzymać każdemu zainteresowanemu darmowy i co najważniejsze uważany za zaufany przez przeglądarki certyfikat (CA).

Mam nadzieje, że pomoże on podnieść bezpieczeństwo internetu i znacząco przyczyni się do popularyzacji stron działających po https gdyż zniknie podstawowy argument „ale to kosztuje”.

Dodatkowo na GitHubie można znaleźć skrypty automatyzujące proces otrzymania i instalacji certyfikatu.

Aktualizacja:
Publiczna beta już ruszyła. Więcej informacji o instalacji znajduje się tutaj.

Aktualizacja 2:
Doszedł wpis
„Jak zdobyć darmowy certyfikat (zielona kłódka) dla swojej strony www – Let’s Encrypt”.

Podziel się:
Share on FacebookTweet about this on TwitterShare on Google+Share on LinkedInPin on PinterestEmail this to someonePrint this page

Jak ograniczyć śledzenie przez Facebooka

Jakiś czas temu zacząłem się zastanawiać jak wiele stron i jak często udostępnia nasze dane do Facebooka przez różnego rodzaju komponenty typu przycisk „lubie to”, komentarze, zestawienie ludzi co lubią stronę etc.

Otóż dodałem do AdBlocka 3 proste reguły.

||facebook.com$domain=~www.facebook.com
||facebook.net$domain=~www.facebook.com
||fbcdn.net$domain=~www.facebook.com

które powinny wyciąć wszystko co jest od Facebooka ale nie jest na stronie facebook.com
Efekt tego po tygodniu używania był taki iż zablokowałem ponad 13 tysięcy wywołań.

Faceook AdBlock

Jeśli ktoś chce także trochę się odciąć od wścibskiego FB to może dodać powyższe reguły do AdBlocka.

Podziel się:
Share on FacebookTweet about this on TwitterShare on Google+Share on LinkedInPin on PinterestEmail this to someonePrint this page

TV z DLNA i server z mediami (linux)

Niedawno nabyłem TV z obsługa DLNA i postanowiłem postawić sobie serwer, który mógłby serwować mi video, audio i obrazy do niego. Po długich bojach pod Windowsem doszedłem do wniosku, że to jakaś parodia (100% procka, ładowanie zawartości katalogu trwające z minutę etc). Powiedziałem sobie trudno, będę zgrywać z laptopa na serwer i zabrałem się do konfiguracji na linuxie (w moim wypadku ubuntu).
Jakież było moje zdziwienie gdy po 10 minutach wszystko działało jak należy i skoki procka były do max 2-3%.
Oto co zrobiłem:

  1. pobrałem paczkę z minidlna stąd,
  2. następnie najnormalniej w świecie zainstalowałem,

    sudo dpkg -i nazwa_pakietu.deb

  3. i to już praktycznie koniec, serwer sam się dodał to startu podczas boota i jedyne co musiałem zmienić to ścieżki z mediami.
    W pliku /etc/minidlna.conf jest kawałek, który brzmi tak

    # set this to the directory you want scanned.
    # * if have multiple directories, you can have multiple media_dir= lines
    # * if you want to restrict a media_dir to a specific content type, you
    # can prepend the type, followed by a comma, to the directory:
    # + „A” for audio (eg. media_dir=A,/home/jmaggard/Music)
    # + „V” for video (eg. media_dir=V,/home/jmaggard/Videos)
    # + „P” for images (eg. media_dir=P,/home/jmaggard/Pictures)

    Po nim ustawiłem taką linie

    media_dir=/mnt

    Mówi on, że serwer ma szukać wideo, audio i obrazów w katalogu /mnt

  4. I to już koniec. Czasem trzeba ubić serwer i uruchomić z opcja -R

    minidlna -R

    co spowoduje przeskanowanie wszystkich ustawionych katalogów w poszukiwaniu mediów i tyle – max 10 minut ustawiania i filmy + napisy srt chodzą mi na TV wyśmienicie.

Mam nadzieję, że ktoś także skorzysta z tego sposobu :). Oczywiście jak zawsze w ramach możliwości postaram się pomóc w razie problemów.

edit:
W aktualnych wersjach Ubuntu minidlna jest normalnie dostępne w repozytoriach więc można np. z konsoli wpisać

sudo apt-get install minidlna

Podziel się:
Share on FacebookTweet about this on TwitterShare on Google+Share on LinkedInPin on PinterestEmail this to someonePrint this page

MSI Wind U100 i filmy HD

Od jakiegoś czasu posiadam MSI Wind U100. Genialny netbook ze wspaniałym ekranem i klawiaturą. Wspaniale robi on na zajęciach za notatnik etc. Recenzji w netcie tego sprzętu jest masa wiec nie będę się na ten temat rozpisywać.

Otóż dziś zasiadłem z zamiarem zmuszenia go od odpalenia filmu 720p kodowanego x264 (h264) bez przycinania się i testując na tym co mam mogę powiedzieć, że mi się udało (owy sposób powinien też działać na innych netbookach).

Użyłem do tego najlepszego odtwarzacza jaki znam czyli mplayera (LINK) czystego bez żadnej nakładki graficznej ;>. Osiągnąłem to pod Windowsem XP (pod linuxem zapewne da się bez problemu tez w dokładnie taki sam sposób).

No dobra to zaczynamy. Pierw ściągnąłem ze strony http://oss.netfarm.it/mplayer-win32.php najnowszego builda mplayera z obsługa multi thread (p4 mt). Najnowsza wersja powinna być na tej stronie pod linkiem „p4 mt”.

Dalej w configu (mplayer/config) dopisałem linijkę

lavdopts=threads=2

i to wszystko. Teraz filmy zakodowane w x264 (h264) są dekodowane przez dwa wątki i chodzą płynnie nawet bez Turbo Mode na moim „wiaterku”.

Cały mój plik konfiguracyjny wygląda tak

vo=directx
#vo=gl2
#dr=yes
double=yes
font=subfont.ttf
subcp=cp1250
subfont-text-scale=2.5
#subfont-text-scale=4
ao=dsound
autosync=100
#framedrop=yes
framedrop=no
quiet=yes
#monitoraspect=1024:600
#monitoraspect=1440:900
#liczba kanałow
channels=2
#vf=pp,eq
#mc=0.001
#dziwnie skalowal czasem wiec ta opcja pomaga
noaspect=1
#dwa watki do dekodowania h264
lavdopts=threads=2

Samego mplayera w Windowsie używam tak, że jest on domyślną aplikacja do odpalania filmów więc wystarczy kliknąć 2x na filmie i już leci.

Jeśli ktoś miałby jakieś pytania to postaram się pomóc wiec możecie śmiało pytać w komentarzach.

Podziel się:
Share on FacebookTweet about this on TwitterShare on Google+Share on LinkedInPin on PinterestEmail this to someonePrint this page