Phenquestions
Безопасный интернет сейчас нужен каждому. Мы предпочитаем HTTPS, а не HTTP, поскольку HTTPS-соединения защищены с помощью SSL. Данные, отправленные по HTTPS, не могут быть просмотрены третьими или посредниками. Данные зашифрованы, и только настоящий клиент и сервер могут видеть данные в незашифрованном виде. В настоящее время поисковые системы также отдают приоритет защищенным веб-сайтам, что помогает в SEO.
Кто угодно может создать сертификат SSL с помощью нескольких строк команды или нескольких щелчков мыши. Но сертификат, которому можно доверять, должен быть предоставлен каким-либо признанным центром сертификации. Процесс получения сертификата требует времени и денег. Иногда стоимость очень высока в зависимости от центра сертификации и ваших требований.
Вы можете зашифровать данные между вашим веб-приложением и конечными пользователями, создав сертификаты самостоятельно. Но в мире доменных и серверных систем дела обстоят иначе. Ваш сертификат должен быть сертифицирован какой-либо доверенной третьей стороной. Но процесс не должен усложняться, когда нет доступа к Интернету. Мы также не готовы платить эти дополнительные расходы за получение сертификата, который мы могли бы изготовить своими руками бесплатно.
Но, в конце концов, мы не можем обойти эти третьи стороны. Веб-браузеры и другие клиентские приложения не доверяют сертификатам, сделанным нашими руками. Они доверяют тем, которые предоставлены и подписаны третьими сторонами, называемыми центрами сертификации. У нас есть решение нашей проблемы. Существует центр сертификации (CA) под названием Let's Encrypt, который предоставляет бесплатные (в процессе) и бесплатные сертификаты TLS / SSL. Вы просто запрашиваете сертификат для своего веб-сайта, используя различные методы, показанные в этом руководстве, чтобы получить бесплатные сертификаты для своих доменов, и вы готовы к работе. В отличие от других сертификаты, предоставляемые Let's Encrypt, необходимо обновлять каждые три месяца (если быть точным, 90 дней). Вы можете запустить сценарий на своем сервере или VPS для автоматического обновления сертификата через некоторый интервал времени, чтобы решить эту проблему с обновлением.
Получение сертификата Let's Encrypt
Если вы размещаете свой веб-сайт на VPS или на платформе, к которой у вас есть доступ к оболочке, вы можете получить сертификат с помощью официального клиента Certbot ACME. Если вы находитесь в среде виртуального хостинга, ваш хостинг-провайдер должен обеспечить автоматическую поддержку сертификатов Let's Encrypt. Самые популярные провайдеры виртуального хостинга поддерживают сертификаты Let's Encrypt и автоматически обновляют сертификат для вас. Если ваш хостинг-провайдер не предоставляет автоматическую поддержку для этого, вы можете связаться с ним для этого. Кроме того, у большинства хостинг-провайдеров есть места на панели администратора, куда вы можете загружать файлы сертификатов. Проверьте, к какой категории вы относитесь, и переходите соответственно.
Certbot Let's Encrypt Client
Certbot - самый популярный клиент Let's Encrypt. Он доступен в большинстве основных дистрибутивов Linux. Здесь я показываю, как установить Certbot на машину с Ubuntu. Чтобы получить последнюю версию certbot, добавьте репозиторий ppa с помощью следующей команды.
sudo add-apt-репозиторий ppa: certbot / certbot
Обновите список пакетов для нового изменения:
sudo apt-get update
Теперь установите certbot вместе с его плагинами apache и nginx:
sudo apt-get установить certbot python-certbot-apache python-certbot-nginx
Certbot может автоматически получать и настраивать сертификаты для Apache и Nginx. Допустим, вы хотите получить сертификат для www.пример.com и обновите конфигурацию Apache. Вам просто нужно выполнить следующую команду.
sudo certbot --apache -d www.пример.ком
Certbot задаст вам несколько необходимых вопросов, запустит челлендж и получит сертификат для вас. Он обновит конфигурацию для веб-сервера Apache и перезагрузит Apache. Чтобы проверить, правильно ли что-то работает, посетите https: // www.пример.ком.
Продлить сертификаты
Сертификаты Let's Encrypt действительны только 90 дней. Итак, обновлять сертификаты нужно несколько раз в год. Обновить сертификаты с помощью certbot очень просто. Выполните следующие команды, чтобы обновить весь сертификат на вашем сервере:
sudo certbot обновить
Но это не лучший способ обновить это вручную. Если вы используете управляемый / общий хостинг и эта платформа имеет встроенную поддержку для обновления сертификатов Let's Encrypt, вам не нужно ничего делать вручную. Когда вы делаете это на VPS, выделенном сервере или какой-либо системе, где у вас есть доступ к оболочке, вы можете использовать cron для периодической автоматизации этой задачи.
Использование Let's Encrypt с другими клиентами
ACME - открытый протокол. Также есть хорошая документация. Для сертификатов Let's Encrypt существует множество клиентов, и многие из них находятся в стадии разработки. Если вы заинтересованы в развитии клиента, вы можете легко сделать это по-своему. Если вы немного знаете Python, вы можете посмотреть исходный код certbot и сделать собственный для себя. Также на сайте Let's Encrypt есть список клиентов ACME.
Перейдите по этой ссылке, чтобы получить список и решить, какое альтернативное решение вы хотите использовать. Почти ни один из них не обладает всей сладостью certbot. Но у некоторых из них есть уникальные особенности, которые могут вас заинтересовать. Кроме того, если вы программист и у вас есть уникальные требования, попробуйте реализовать их самостоятельно.
Ручной метод
Некоторые хостинг-провайдеры разрешают только ручную загрузку сертификатов. В этом случае вам необходимо вручную получить сертификаты из Let's Encrypt и загрузить их через панель администратора хостинга (или любой другой механизм, который они предоставляют). Чтобы получить файл сертификата, вам необходимо использовать плагин certbot 'manual' и указать параметр 'certonly'. С помощью ручного метода вы должны доказать, что домен, для которого вы запрашиваете сертификат, действительно ваш. Плагин может использовать вызов http, dns или tls-sni. Вы можете использовать -предпочтительные проблемы возможность выбрать вызов по вашему вкусу. Если вы предпочитаете http то он попросит вас поместить файл с указанным содержимым в какой-либо каталог вашего сайта / веб-сервера. Подтвердите свое право собственности и ответьте на другие вопросы, чтобы получить сертификат.
certbot certonly - руководство
Вы также можете указать параметры командной строки для принятия условий обслуживания и продления сертификата.
Когда тебе не повезло
Некоторые хостинг-провайдеры не предоставляют возможности добавить эти дополнительные символы в ваш http - я имею в виду, что они не предоставляют возможности добавлять сертификаты ssl. Некоторым необходимо вручную загрузить файлы сертификатов. Один из примеров - Google App Engine, другой - OpenShift. Но повторная загрузка сертификата каждые 90 дней затруднительна. Иногда ты можешь забыть. Опять же, если у вас более одного или двух веб-сайтов, то, скорее всего, вы забудете. Кроме того, если вам неудобно работать с командной строкой или неудобно работать с серверами через оболочки SSH, вам снова не повезло.
Заключение
Let's Encrypt упростил жизнь веб-мастерам, предоставив способ мгновенного получения сертификатов вместо ожидания одобрения от центров сертификации после отправки запроса. Еще одно преимущество в том, что вы получаете все это бесплатно. При всем уважении, просто не забывайте обновлять сертификат каждые 90 дней. В противном случае ваши пользователи могут получить красный сигнал, и в результате вы можете потерять часть аудитории / клиентов. Вы также можете продлевать сертификат каждые несколько дней, но это может привести к превышению предела, и вы можете не продлевать свой сертификат в течение некоторого времени. Так что будьте осторожны при использовании такого отличного сервиса.
