Phenquestions
Zabezpečený internet je nyní požadavkem každého. Preferujeme HTTPS před HTTP, protože připojení HTTPS je zabezpečeno pomocí SSL. Data odeslaná přes HTTPS nemohou vidět třetí ani střední strany. Data jsou šifrována a pouze skutečný klient a server mohou data zobrazit v nezašifrované původní podobě. V dnešní době dávají vyhledávače také větší prioritu zabezpečeným webům, a tím pomáhá při SEO.
Kdokoli může vytvořit certifikát SSL pomocí několika příkazových řádků nebo několika kliknutí myší. Certifikát, kterému je třeba důvěřovat, však musí poskytnout některá uznávaná certifikační autorita. Proces získávání certifikátu vyžaduje čas a peníze. Někdy jsou náklady velmi vysoké v závislosti na certifikační autoritě a vašich požadavcích.
Data mezi vaší webovou aplikací a koncovými uživateli můžete zašifrovat tak, že si sami vytvoříte certifikáty. Ve světě doménových a serverových systémů to ale tak nejde. Váš certifikát musí být certifikován nějakou důvěryhodnou třetí stranou. Proces by však neměl být komplikovaný, pokud přístup k internetu není. Také nejsme ochotni platit tyto dodatečné náklady za získání certifikátu, který bychom si mohli udělat vlastní rukou zdarma.
Nakonec však nemůžeme tyto třetí strany obejít. Webové prohlížeče a další klientské aplikace nedůvěřují certifikátům vyrobeným našimi vlastními rukama. Důvěřují těm, které poskytly a podepsaly ty třetí strany, které se nazývají certifikační autority. Máme řešení našeho problému. Existuje certifikační autorita (CA) s názvem Let's Encrypt, která poskytuje bezproblémové (v procesu) a bezplatné TLS / SSL certifikáty. Stačí požádat o certifikát pro váš web pomocí různých metod uvedených v tomto kurzu, abyste získali zdarma certifikáty pro své domény, a jste připraveni jít. Na rozdíl od jiných je třeba certifikáty poskytované Let's Encrypt aktualizovat každé tři měsíce (přesněji 90 dní). Můžete spustit nějaký skript na svém serveru nebo VPS a po určitém intervalu automaticky aktualizovat certifikát, aby bylo možné spravovat tento problém s obnovením.
Získání certifikátu Let's Encrypt
Pokud hostujete svůj web na VPS nebo na platformě, kde máte shell přístup, můžete získat certifikát u oficiálního klienta Certbot ACME. Pokud používáte sdílené hostitelské prostředí, měl by váš poskytovatel hostingu poskytovat automatickou podporu certifikátů Let's Encrypt. Nejoblíbenější poskytovatelé sdíleného hostingu poskytují podporu pro certifikáty Let's Encrypt a automaticky vám certifikát obnovují. Pokud váš poskytovatel hostingu neposkytuje automatizovanou podporu, můžete ho za to kontaktovat. Většina poskytovatelů hostingu má také na svém administrátorském panelu některá místa, kam můžete nahrát soubory certifikátu. Zkontrolujte, do které kategorie spadáte, a podle toho jděte.
Certbot Pojďme šifrovat klienta
Certbot je nejpopulárnějším klientem Let's Encrypt. Je k dispozici na většině hlavních linuxových distribucí. Zde ukazuji, jak nainstalovat Certbot na stroj Ubuntu. Chcete-li získat nejnovější verzi certbotu, přidejte úložiště ppa pomocí následujícího příkazu.
sudo add-apt-repository ppa: certbot / certbot
Aktualizujte seznam balíčků pro novou změnu:
sudo apt-get aktualizace
Nyní nainstalujte certbot spolu s jeho pluginy apache a nginx:
sudo apt-get install certbot python-certbot-apache python-certbot-nginx
Certbot může automaticky načítat a konfigurovat certifikáty pro Apache a Nginx. Řekněme, že chcete získat certifikát pro www.příklad.com a aktualizovat konfiguraci Apache. Musíte pouze provést následující příkaz.
sudo certbot --apache -d www.příklad.com
Certbot vám položí několik nezbytných otázek, spustí výzvu a načte vám certifikát. Aktualizuje konfiguraci pro webový server Apache a znovu načte Apache. Chcete-li otestovat, zda věci fungují správně nebo ne, navštivte https: // www.příklad.com.
Obnovit certifikáty
Pojďme šifrovat certifikáty jsou platné pouze po dobu 90 dnů. Musíte tedy certifikáty aktualizovat několikrát ročně. Aktualizace certifikátů pomocí certbotu je velmi snadná. Spuštěním následujících příkazů aktualizujte veškerý certifikát na serveru:
sudo certbot obnovit
Není to ale dobrý způsob, jak to ručně aktualizovat. Pokud jste na spravovaném / sdíleném hostingu a tato platforma má zabudovanou podporu pro aktualizaci certifikátů Let's Encrypt, nemusíte nic dělat ručně. Když to děláte na VPS, dedikovaném serveru nebo na nějakém systému, kde máte přístup do shellu, můžete pomocí cronu pravidelně tento úkol automatizovat.
Používání šifrování s dalšími klienty
ACME je otevřený protokol. Má také dobrou dokumentaci. Existuje mnoho klientů certifikátů Let's Encrypt a mnoho z nich je ve vývoji. Pokud máte zájem na rozvoji klienta, můžete to udělat snadno svým vlastním způsobem. Pokud znáte trochu Pythonu, můžete se podívat na zdrojový kód certbot a vytvořit si vlastní pro sebe. Na webu Let's Encrypt je také seznam klientů ACME.
Navštivte tento odkaz a získejte seznam a rozhodněte se, které alternativní řešení chcete použít. Téměř nikdo z nich nemá takovou sladkost jako certbot. Některé z nich však mají některé jedinečné vlastnosti, které vás mohou přilákat. Pokud jste programátor a máte nějaké jedinečné požadavky, zkuste to implementovat sami.
Ruční metoda
Někteří poskytovatelé hostingu povolují pouze ruční nahrávání certifikátů. V takovém případě je třeba načíst certifikáty ručně z Let's Encrypt a nahrát je prostřednictvím řídicího panelu hostujícího správce (nebo jakéhokoli mechanismu, který poskytují). Chcete-li načíst soubor certifikátu, musíte použít plugin „manuální“ certbot a zadat parametr „certonly“. Ruční metodou musíte dokázat, že doména, pro kterou požadujete certifikát, je skutečně vaše. Plugin může používat výzvu http, dns nebo tls-sni. Můžete použít -preferované výzvy možnost vybrat si výzvu podle vašich preferencí. Pokud dáváte přednost http Metoda pak vás požádá, abyste vložili nějaký soubor se specifikovaným obsahem do nějakého adresáře vašeho webu / webového serveru. Chcete-li získat certifikát, ověřte své vlastnictví a odpovězte na další otázky.
certbot certonly - manuální
Můžete také zadat parametry příkazového řádku pro souhlas s podmínkami služby a obnovení certifikátu.
Když máte smůlu
Někteří poskytovatelé hostingu neposkytují žádný způsob přidání těchto zvláštních znaků do vašeho protokolu http - myslím tím, že neposkytují žádný způsob přidání certifikátů SSL. U některých musíte soubory certifikátu nahrát ručně. Jedním z příkladů je Google App Engine a dalším je OpenShift. Je ale problém znovu nahrát certifikát každých 90 dní. Někdy můžete zapomenout. Opět platí, že pokud máte více než jednu nebo dvě webové stránky, je pravděpodobnější, že na ně zapomenete. Také pokud vám nevyhovuje příkazový řádek nebo vám nevyhovuje práce se servery prostřednictvím skořápek SSH, pak máte opět smůlu.
Závěr
Pojďme šifrovat usnadnil život webmasterům tím, že poskytuje způsob, jak získat certifikáty okamžitě, místo čekání na schválení od CA po odeslání žádosti. Další výhodou je, že to všechno máte zdarma. S veškerou dobrotou nezapomeňte aktualizovat certifikát před každých 90 dní. Jinak mohou vaši uživatelé obdržet červený signál a vy tak můžete přijít o část publika / zákazníků. Certifikát můžete také obnovit každých několik dní, ale to může dosáhnout limitu a po nějakou dobu nebudete moci svůj certifikát obnovit. Při používání takové skvělé služby buďte opatrní.
