Lets encrypt pro home asistant
d.petr
d.petr na post.cz
Pondělí Leden 8 22:53:59 CET 2024
Ano, https určitě (jestli je to webové).
Ale pro https si musíte sám nejdřív vytvořit ty klíče (soukromý a veřejný). U certifikační autority si pak akorát můžete nechat potvrdit, že ten veřejný klíč (kam si mj. napíšete doménu) je Váš. To ale samozřejmě Vy sám víte moc dobře, že ten Váš klíč je Váš a je platný, tak je jakékoliv další potvrzování kýmkoliv zbytečné.
Při prvním přihlášení (bez certifikátu) rozumný webový prohlížeč ukáže SHA (řádek písmen a číslic) použitého veřejného klíče a zeptá se, jestli má pokračovat i když nemůže klíč ověřit (myslí se u autority), Vy pro jistotu ten SHA můžete zkouknout, pokračování povolíte a přitom také zakliknete, ať ten klíč dál považuje za platný. A to je všechno, prohlížeč si klíč uloží a příště už neotravuje, přitom normálně komunikuje plnohodnotným https.
P.
Šerých Jakub napsal(a) dne 08. 01. 24 v 21:06:
> Ano, k tomu certifikát je, ale nadto je komunikace prostřednictvím https šifrovaná, takže se vám nikdo nemůže cestou hrabat v packetech a pak se vám pokoušet domácnost ovládat. Zrovna HA bych si tedy bez https nikdy nedovolil pustit do veřejného netu.
> Jakub Šerých
>
>> -----Original Message-----
>> From: Hw-list <hw-list-bounces na list.hw.cz> On Behalf Of d.petr
>> Sent: Monday, January 8, 2024 8:32 PM
>> To: HW-news <hw-list na list.hw.cz>
>> Subject: Re: Lets encrypt pro home asistant
>>
>> Proč vůbec chcete certifikát k sobě domů, když se tam budou připojovat jen
>> domácí? Předpokládám, že k HA se veřejnost připojovat nebude. Certifikát
>> přece, pokud vím, slouží jen k tomu, aby bylo veřejnosti "potvrzeno", že
>> pracuje s webem (jiným serverem) majitele domény, že není někam
>> přesměrována. Znáte-li svůj veřejný klíč (a ten znáte), je to lepší, než jakýkoliv
>> certifikát tzv. autority (ta stejně jen potvrzuje, že daný veřejný klíč je pro
>> doménu platný).
>> P.
>>
>>
>> Jan Půhoný napsal(a) dne 08. 01. 24 v 19:55:
>>> Dobrý večer,
>>>
>>> hraju si tady s home assistant. Mám to v dockeru na Synology. Funguje,
>> vyměnil jsem defaultní db za mariadb a nyní bych rád rozchodil ssl certifikát
>> přes lets encrypt. Nebo to vůbec na veřejku nedávat (chtěl bych se k tomu ale
>> dostat zvenku, mám sice nastavenou v telefonu VPN domů, ale to je opruz)?
>>>
>>> Na routeru mám veřejku, je to Miktotik, za tím je to Synology, není problém
>> cokoliv přesměrovat.
>>>
>>> Ty návody to je jak drbání pravou rukou za pravým uchem:
>>>
>>> https://www.google.com/search?q=lets+encryp+home+asssitant
>>>
>>> Jak se to dá udělat jednoduše a správně, máte to někdo nastavené?
>>>
>>> Nejde to nějak zjednodušit pomocí reverzní proxy na tom Synology? Asi jde o
>> to přesměrovat 443 na IP a port toho HA?
>>>
>>> Ve všech návodech je dynDNS nebo cloudfare, to nepotřebuji,
>> doménu/subdoménu i vlastní veřejnou IP mám. Proč to je tak komplikované?
>> Něco přehlížím?
>>>
>>> Díky,
>>>
>>> HP
>>>
>>> _______________________________________________
>>> HW-list mailing list - sponsored by www.HW.cz Hw-list na list.hw.cz
>>> http://list.hw.cz/mailman/listinfo/hw-list
>>>
>>
>> _______________________________________________
>> HW-list mailing list - sponsored by www.HW.cz
>> Hw-list na list.hw.cz
>> http://list.hw.cz/mailman/listinfo/hw-list
> _______________________________________________
> HW-list mailing list - sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
>
Další informace o konferenci Hw-list