Varni internet je povpraševanje vseh zdaj. Raje imamo HTTPS kot HTTP, saj so povezave HTTPS zaščitene s SSL. Podatkov, poslanih prek protokola HTTPS, tretje ali srednje stranke ne morejo videti. Podatki so šifrirani in samo dejanski odjemalec in strežnik lahko vidijo podatke v nešifrirani izvirni obliki. Dandanes dajejo iskalniki tudi prednost zaščitenim spletnim mestom in tako pomagajo pri SEO.
Vsakdo lahko ustvari potrdilo SSL z nekaj vrsticami ukaza ali z nekaj kliki miške. Toda potrdilo, ki mu je treba zaupati, mora priskrbeti priznani overitelj. Postopek pridobivanja certifikata zahteva čas in denar. Včasih so stroški zelo visoki, odvisno od overitelja in vaših zahtev.
Podatke lahko med svojo spletno aplikacijo in končnimi uporabniki šifrirate tako, da sami ustvarite potrdila. Toda v svetu domenskega in strežniškega sistema stvari ne gredo tako dobro. Vaše potrdilo mora potrditi neka zaupanja vredna tretja oseba. Toda postopek ne bi smel biti zapleten, kadar dostop do interneta ni. Prav tako nismo pripravljeni plačati teh dodatnih stroškov za pridobitev certifikata, ki bi ga lahko sami izdelali brezplačno.
Toda teh tretjih oseb na koncu ne moremo zaobiti. Spletni brskalniki in druge odjemalske aplikacije ne zaupajo lastnim certifikatom. Zaupajo tistim, ki so jih podpisale in podpisale tretje osebe, imenovane certifikacijski organi. Za naš problem imamo rešitev. Obstaja certifikacijski organ (CA), imenovan Let's Encrypt, ki zagotavlja brez težav (v postopku) in brezplačna potrdila TLS / SSL. Pravkar zahtevate potrdilo za svoje spletno mesto z različnimi metodami, prikazanimi v tej vadnici, da dobite brezplačna potrdila za svoje domene in ste pripravljeni za uporabo. Za razliko od drugih je treba potrdila, ki jih ponuja Let's Encrypt, posodabljati vsake tri mesece (natančneje 90 dni). Na strežniku ali VPS lahko zaženete nekaj skriptov za samodejno posodobitev potrdila po določenem intervalu za upravljanje te težave s podaljšanjem.
Pridobitev potrdila Let's Encrypt
Če spletno mesto gostite na VPS ali na platformi, kjer imate dostop do lupine, lahko potrdilo pridobite pri uradnem odjemalcu Certbot ACME. Če uporabljate skupno okolje gostovanja, mora ponudnik gostovanja zagotoviti samodejno podporo za potrdila Let's Encrypt. Večina priljubljenih ponudnikov gostovanja v skupni rabi nudi podporo za šifriranje potrdil in samodejno podaljšanje potrdila za vas. Če vaš ponudnik gostovanja za to ne zagotavlja avtomatizirane podpore, se lahko za to obrnete na njih. Večina ponudnikov gostovanja ima tudi nekaj mest na skrbniški plošči, kamor lahko naložite datoteke potrdil. Preverite, v katero kategorijo spadate, in se temu primerno odločite.
Certbot Let's Encrypt Client
Certbot je najbolj priljubljen odjemalec Let's Encrypt. Na voljo je na večini glavnih distribucij linuxa. Tukaj predstavljam, kako namestiti Certbot na računalnik Ubuntu. Če želite dobiti najnovejšo različico certbota, dodajte repozitorij ppa z naslednjim ukazom.
sudo add-apt-repository ppa: certbot / certbot
Posodobite seznam paketov za novo spremembo:
posodobitev sudo apt-get
Zdaj namestite certbot skupaj z vtičnikomapache in nginx:
sudo apt-get namestite certbot python-certbot-apache python-certbot-nginx
Certbot lahko samodejno pridobi in konfigurira potrdila za Apache in Nginx. Recimo, da želite pridobiti potrdilo za www.primer.com in posodobite konfiguracijo Apache. Izvesti morate le naslednji ukaz.
sudo certbot --apache -d www.primer.com
Certbot vam bo postavil nekaj potrebnih vprašanj, izvedel izziv in za vas prevzel potrdilo. Posodobil bo konfiguracijo spletnega strežnika Apache in znova naložil Apache. Če želite preveriti, ali stvari delujejo pravilno ali ne, obiščite https: // www.primer.com.
Obnovite potrdila
Šifrirajmo potrdila veljajo samo 90 dni. Torej, certifikate morate posodobiti večkrat na leto. Certifikat je zelo enostavno posodobiti s certifikatom certbot. Zaženite naslednje ukaze, da posodobite vse potrdila na strežniku:
sudo certbot obnovi
Ampak to ni dober način za ročno posodabljanje. Če uporabljate upravljano / deljeno gostovanje in je ta platforma vgradila podporo za posodobitev potrdil Let's Encrypt, potem vam ni treba narediti ničesar ročno. Ko to počnete na VPS, namenskem strežniku ali nekem sistemu, kjer imate dostop do lupine, lahko s pomočjo crona to nalogo občasno avtomatizirate.
Uporaba Šifrirajmo z drugimi odjemalci
ACME je odprt protokol. Ima tudi dobro dokumentacijo. Za potrdila Let's Encrypt obstaja veliko strank, veliko pa jih je v razvoju. Če vas zanima razvoj stranke, lahko to preprosto storite na svoj način. Če poznate malo Pythona, si lahko ogledate izvorno kodo certbota in si ga ustvarite po meri. Na spletnem mestu Let's Encrypt je tudi seznam odjemalcev ACME.
Obiščite to povezavo, da dobite seznam in se odločite, katero alternativno rešitev želite uporabiti. Skoraj nobeden od njih nima vse slasti certbota. Toda nekateri od njih imajo nekaj edinstvenih lastnosti, ki vas lahko pritegnejo. Če ste programer in imate nekaj posebnih zahtev, poskusite to izvesti sami.
Ročna metoda
Nekateri ponudniki gostovanja dovoljujejo samo ročno nalaganje potrdil. V tem primeru morate potrdila ročno pridobiti iz programa Let's Encrypt in jih naložiti prek nadzorne plošče skrbnika gostovanja (ali katerega koli drugega mehanizma). Če želite pridobiti datoteko potrdila, morate uporabiti vtičnik za ročni certbot in določiti parameter "certonly". Z ročno metodo morate dokazati, da je domena, za katero zahtevate potrdilo, resnično vaša. Vtičnik lahko uporablja izziv http, dns ali tls-sni. Lahko uporabite -prednostni izzivi možnost, da izberete izziv, ki ga želite. Če vam je ljubše http potem vas bo prosil, da v določeno mapo vašega spletnega mesta / spletnega strežnika vstavite nekaj datotek z določeno vsebino. Preverite lastništvo in odgovorite na druga vprašanja, da dobite potrdilo.
certbot certonly --ročno
Določite lahko tudi parametre ukazne vrstice za strinjanje s pogoji storitve in podaljšanje potrdila.
Ko nimaš sreče
Nekateri ponudniki gostovanja ne morejo dodati tega dodatka 'http' - mislim, da ne omogočajo dodajanja ssl potrdil. Za nekatere morate ročno naložiti datoteke potrdil. En primer je Google App Engine, drugi pa OpenShift. Vendar je treba znova naložiti potrdilo vsakih 90 dni. Včasih lahko pozabite. Če imate več kot eno ali dve spletni strani, je verjetneje, da jo boste pozabili. Če vam ukazna vrstica ne ustreza ali če s strežniki ne uporabljate lupine SSH, potem spet imate slabo srečo.
Zaključek
Let's Encrypt je olajšal življenje spletnih skrbnikov, saj je omogočil takojšnje pridobivanje potrdil, namesto da bi po oddaji zahteve čakali na odobritev od overiteljev. Druga prednost je, da vse dobite brezplačno. Z vso dobroto, ne pozabite posodobiti certifikata pred vsakih 90 dni. V nasprotnem primeru lahko vaši uporabniki dobijo rdeč signal in posledično lahko izgubite nekaj občinstva / strank. Potrdilo lahko tudi podaljšate vsakih nekaj dni, vendar to morda preseže mejo in potrdila morda ne boste podaljšali nekaj časa. Torej, bodite previdni pri uporabi tako odlične storitve.