Võimaldab krüptida: TLS-SNI-01-lt üleviimine

Let's Encrypt on tasuta teenus, mis genereerib teie veebisaidi turvamiseks sertifikaate. See toetab erinevat tüüpi sertifikaatide genereerimist, sealhulgas ühe domeeni ja metamärke. Lisaks on sellel mitmeid meetodeid teie domeeni autentimiseks sertifikaadi genereerimiseks.

• http-01 (Lihtne HTTP)
• dns-01 (DNS-i valideerimine)
• tls-sni-01(Kinnitamine iseallkirjastatud sertifikaadi abil – nüüdseks aegunud )

Küsimus

Kahjuks avastati 2018. aasta jaanuaris haavatavus, kus sai võimalikuks domeenide sertifikaatide genereerimine ilma eelneva autentimise/volitamiseta. Näiteks võib sertifikaate luua domeenidele, mida te tegelikult ei oma.

Vahetult pärast seda protokolli ( tls-sni-01) kasutamine katkestati ja enamiku uute väljaannete (uute sertifikaatide) puhul blokeeriti protokolli kasutamine autentimiseks.

Lülitumine lihtsale HTTP-le

Üleminek http-01või "Simple HTTP" autentimine on üsna lihtne. Kui kasutate certbot-autooma sertifikaatide loomiseks, on Let's Encrypt uue sertifikaadi juba loonud või teeb seda järgmise "uuendamise" ajal automaatselt.

Kui kasutate certbot, peaksite kasutama --preferred-challengeparameetrit:

certbot (...) --prefered-challenge

See annab käsule Let's Encrypt lülituda rakendusele http-01.

DNS-i valideerimisele lülitumine

Kui soovite kogu seda tüli vältida, on Let's Encrypti DNS-i valideerimise konfigureerimine suhteliselt lihtne. Täitmisel certbotlisage --preferred-challenges dnsparameetrina:

certbot -d example.com --manual --preferred-challenges dns

certbot prindib midagi järgmisega sarnast:

Please deploy a DNS TXT record under the name
_acme-challenge.example.com with the following value:

(random_string)

Once this is deployed,
Press ENTER to continue

Kui olete oma DNS-i pakkujaga kirje lisanud, klõpsake nuppu ENTER. Seejärel peate sertifikaadi automaatseks uuendamiseks seadistama CRON-i töö. Kuna DNS-i valideerimist on kasutatud, ei pea te muretsema ümbersuunamise pärast, nagu teeksite http-01, (port 80to port 443) puhul.