Veškerý síťový provoz dneska běží šifrovaně - k tomu jsou potřeba certifikáty a dobře nastavené DNS. Nejde jenom o web a http; šifruje se i mailování, websockety a MQTT.
V současti to funguje, že v rámci hostingu (shipard.app) existuje nějaký seznam domén a certifikátů a víceméně automaticky se ty certifikáty obnovují a distribuují mezi servery.
Hlavní problém, který to má, je že všechny domény musí být u Shipardu. Zatím to až tak moc nevadilo, ale začíná to být dost omezující až nepříjemné, protože:
Ne vždy je možné tu doménu převést k Shipardu, občas je potřeba rozjet něco na doméně třetího řádu - a to je dneska v podstatě nereálné.
Začíná být velký problém s doménou pro řízení sítě - tam je potřeba definovat hodně věcí v DNS. Dneska všichni používají doménu shipard.pro a když chtějí upravit DNS, musí poprosit mne nebo Libora.
Začínám to vidět jako do budoucna nereálné a zamýšlím se, co s tím.
Myslím si, že je potřeba to celé decentralizovat a umožnit komukoliv vlastní správu domén a certifikátů. To by šlo udělat dvěma způsoby - měly by fungovat oba dva:
Pokud bude mít někdo vlastní hosting, může si to všechny databáze rozjet tam.
Asi by to mělo být i součástí modulů pro správu sítě - tj. měl bych být schopen si vymyslet vlastní doménu, vygenerovat k ní hvězdičkový certifikát a použít to celé pro řízení sítě.
Uvědomuji si, že dneska rozjet DNS není až tak úplně jednoduché - a dobře fungující DNS (třeba v google cloudu) není zadarmo. Ale dá se to zdokumentovat a reálné to je (pro člověka co něco málo ví).
Vůbec netuším, jestli je tu dneska někdo, koho to trápí a chtěl by provozovat vlastní hosting nebo spravovat větší množtví sítí.
jestli jsem to správně pochopil, tak by v modulu správa sítě, byla možnost vložit doména a k ní naimportovat třeba i koupený certifikát (nejen automaticky generovaný přes letsencrypt)? obdobně jako se ukládá certifikát EET?
O takový certifikát by se správce samozřejmě musel starat a když by měl expirovat, tak by si jej musel zaktualizovat…
Ne, certifikáty by se samy generovaly tak, jak se generují teď. Ale doména by byla tvoje a DNS by sis spravoval taky sám.
Dneska je to tak, že kdyby sis chtěl něco rozjet sám (web, hosting nebo síť), tak v podstatě nemáš šanci.
U té sítě je to hodně nepříjemné - tam nejsi schopný sám udělat vůbec nic, protože když si nemůžeš nastavit záznamy v DNS, tak nic nevyzkoušíš (viz LM krabička funguje, ale svítí červená vlajka).
Prostě ten stájacící systém je dobrý, když se člověk stará o zákazníky, kteří chtějí funkční službu, platí za to peníze a zajímá je jenom to, aby to celé fungovalo.
Ale pro jiné situace je to nepoužitelné.
Ještě to upřením: generovalo by se to v rámci toho konkrétního zdroje dat, kde by se to evidovalo. Tj. zapomeň úplně na to, že existuje něco jako shipard.app.
Tak já odpovím, že se mě nechce se o to starat, že mě vyhovuje, že to je vše na Shipardu, ale pokud by jsi to potřeboval testovat i mimo Shipard, tak bych se obětoval
Já bych řekl, že je jednodušší vykomunikovat změnu záznamu v DNS se Shipardem, než si to celé řešit sám. Možná se časem situace změní, ale nyní bych se do toho nepouštěl.
