Lets Encrypt: Migrace z TLS-SNI-01

Let's Encrypt je bezplatná služba, která generuje certifikáty pro zabezpečení vašeho webu. Podporuje generování různých typů certifikátů, včetně certifikátů s jednou doménou a zástupných znaků. Kromě toho má mnoho způsobů, jak ověřit vaši doménu a vygenerovat certifikát.

• http-01 (Jednoduchý HTTP)
• dns-01 (ověření DNS)
• tls-sni-01(Ověření pomocí certifikátu s vlastním podpisem – nyní již není podporováno )

Problém

Bohužel v lednu 2018 byla objevena zranitelnost, kde bylo možné generovat certifikáty pro domény bez předchozí autentizace/autorizace. Certifikáty mohou být například generovány pro domény, které ve skutečnosti nevlastníte.

Krátce poté byl protokol ( tls-sni-01) ukončen a většině nových vydání (nových certifikátů) bylo zablokováno použití protokolu k ověření.

Přechod na jednoduchý HTTP

Přepnutí na http-01autentizaci „Simple HTTP“ je poměrně jednoduché. Pokud používáte certbot-autoke generování svých certifikátů, Let's Encrypt již vygeneruje nový certifikát nebo tak učiní automaticky během příští „obnovy“.

Pokud používáte certbot, měli byste použít --preferred-challengeparametr:

certbot (...) --prefered-challenge

To řekne Let's Encrypt, aby přepnuli na http-01.

Přechod na ověřování DNS

Pokud se chcete všem těmto potížím vyhnout, je poměrně snadné nakonfigurovat ověření DNS v Let's Encrypt. Při spouštění certbotpřidejte --preferred-challenges dnsjako parametr:

certbot -d example.com --manual --preferred-challenges dns

certbot vytiskne něco podobného následujícímu:

Please deploy a DNS TXT record under the name
_acme-challenge.example.com with the following value:

(random_string)

Once this is deployed,
Press ENTER to continue

Jakmile přidáte záznam u svého poskytovatele DNS, stiskněte ENTER. Poté budete muset nastavit úlohu CRON, aby se váš certifikát automaticky obnovil. Protože byla použita validace DNS, nebudete se muset starat o přesměrování jako u http-01, (port 80na port 443).