Letsencrypt and potential risks

Letsencrypt

Letsencrypt is amazing project letting anyone to secure web-domain for free! But what about risks? I have summarized some of them which seem important to me.

Certificate expires in 90 days

That fact is described in this post. I could think about it in the positive light, but it demands more IT skills for users. It’s not the problem for me personally, but it narrows target audience. Without renewal automatisation, that service is almost useless.

Wildcard certificate is not available

If you have subdomains you should issue a certificate for each of them separately.

No extended validation is available

It’s obvious I think. Extended validation requires going an extra mile in verification process.

Fishing and scum domains also may use letsencrypt

SSL protection is easy with letsencrypt and more approachable for fishing and scum websites also. It may damage letsencrypt reputation in the future. I think it also should be mentioned as a risk. You may see the list of all issued certificates here. I haven’t checked it for dangerous resources, but I believe they exist.

Letsencrypt is not supported everywhere

Here is the list of unsupported platforms:

  • Blackberry OS 10, 7, & 6
  • Android 2.3.5 (HTC Wildfire S, Stock Browser)
  • Nintendo 3DS
  • Windows XP-pre SP3 – cannot handle SHA256 signed certificates

Despite all drawbacks, letsencrypt is still the great project! It’s easy to automate it and it’s free! You should give letsencrypt a chance to protect your domain.

Another good news. About one month ago letsencrypt left beta and became stable.

 

Сделай себя своим проектом

Лестничка

Дисклаймер

Это собирательная статья в первую очередь для самого себя. В большей степени она посвящена саморазвитию – а другого, как мне видится, не бывает – в IT. Я адресую эти заметки и советы прежде всего самому себе 10-летней давности. Под IT я чаще всего подразумеваю программирование, но, уверен, что всё перечисленное верно и для других занятостей в сфере информационных технологий. Материал будет периодически обновляться.

Сделай себя своим проектом

Я потратил значительное время взвешивая за и против своего очередного web-проекта.  Было вложено много усилий, идей и времени в то, что никому не оказалось нужным. В конце концов я решил сделать своим проектом себя, о чем и будут следующие заметки.

Сейчас я работаю по найму в тех проектах, где мои знания действительно помогают людям. Ощущение необходимости моих навыков вкупе с любовью к работе дают свои позитивные плоды. Открываются новые карьерные перспективы, а интерес к выбранной профессии возрастает. Появляется понимание того как нужно создавать продукт и скольких это требует ресурсов. Развивается, одним словом, зрелость суждений. Несомненно, накопленный опыт является существенным активом, который при необходимости легко конвертируется в деньги.

Я родился в России, но родина моей профессии за океаном. Этот барьер легко преодолим: достаточно знать Continue reading Сделай себя своим проектом

OAuth2 server for your mobile application

Статья также доступна на русском языке.

Symfony2 interact with mobile app via oAuth2.0

Motivation

Let’s imagine your successful project is mature enough for your own mobile application and you are going to develop it on your own. You want to enable your mobile app to obtain limited access to API on behalf of user. How to authorize users and do it in a much more secure way? It’s no need to reinvent the wheel. oAuth 2.0 authorization framework could be an answer!

Only the resource owner password credential grant type is under consideration in this article! According to RFC 6749 such grant type is suitable in cases where the resource owner has a trust relationship with the client (mobile app in this article). We are going to use FOSOAuthServerBundle and it’s better to read this article with bundle’s official documentation.

Continue reading OAuth2 server for your mobile application