<div dir="ltr"><div class="gmail_extra"><div><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div><br></div></div></div></div></div></div></div></div></div></div></div></div><div class="gmail_quote">On Sun, Feb 5, 2017 at 4:35 PM, Trevor Cordes <span dir="ltr"><<a href="mailto:trevor@tecnopolis.ca" target="_blank">trevor@tecnopolis.ca</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Like David said, their main thrust is automated deployment.<br>
Unfortunately, in my mind that's that's their biggest downside.  You<br>
*must* use their automated tools: AFAIK they provide no normal<br>
manual/email way to obtain their certs.  That means any processes<br>
you've created in-house to handle certs (like I have) are instantly<br>
incompatible and would require modification.  And it's not just the<br>
cert files, their tools auto-edit apache configs, etc.  Also, I'm not<br>
sure if their tools tie the cert into other SSL-able daemons like<br>
sendmail, or if that's even possible given their cert settings.<br>
<br>
Also, they issue certs only for 3 months at a time, which kind of<br>
necessitates their automated tools.<br>
<br>
It's kind of funny, they concentrate so much on deployment when I think<br>
the main impediment to most people vis a vis SSL is cost.  They have<br>
the cost thing beat (free) but then they force you into their<br>
proprietary deployment model.<br>
<br>
Other than that, I'd say they look legit and benign, and we've talked<br>
about them at MUUG before and everyone seems to agree.  If you don't<br>
run any SSL now and you aren't terribly experienced with it, I see no<br>
downside to using let's encrypt.  If you already have SSL deployed,<br>
do your research before jumping on board just to turn your yearly cost<br>
into "free".<br>
<br>
Oh ya, one more good thing about Let's Encrypt: their causing the big<br>
players to lower their low-end cert prices a bit!  That's always good<br>
news.<br></blockquote><div><br></div><div><br></div><div>If you're interested in using their free certs in a less automated way, you can use other tools..<div>For instance I LOVE <a href="https://github.com/lukas2511/dehydrated">https://github.com/lukas2511/dehydrated</a></div><div>Its bash.</div><div>I use a modified version of the hook on this page: <a href="https://www.aaflalo.me/2016/09/dehydrated-bash-client-lets-encrypt/">https://www.aaflalo.me/2016/09/dehydrated-bash-client-lets-encrypt/</a> to automatically reload postfix and dovecot and nginx if a cert that affects them is renewed.</div><div><br></div><div>I also use the powerdns API hook script extensively.</div><div><br></div><div>I find this way much easier to digest (along with my own automation using their hooks) than their "here trust me to do exactly what you want with your configs".</div><div><br clear="all"><div><div class="gmail_signature"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div><br></div><div>Theodore Baschak - AS395089 - Hextet Systems</div><div><a href="https://ciscodude.net/" target="_blank">https://ciscodude.net/</a> - <a href="https://hextet.systems/" target="_blank">https://hextet.systems/</a></div><div><a href="http://mbix.ca/" target="_blank">http://mbix.ca/</a></div><div><br></div></div></div></div></div></div></div></div></div></div></div></div></div></div>