Sallii salauksen: Siirtyminen TLS-SNI-01:stä

Let's Encrypt on ilmainen palvelu, joka luo varmenteita verkkosivustosi suojaamiseksi. Se tukee erityyppisten varmenteiden luomista, mukaan lukien yhden verkkotunnuksen ja jokerimerkit. Lisäksi siinä on useita tapoja todentaa verkkotunnuksesi varmenteen luomiseksi.

• http-01 (Yksinkertainen HTTP)
• dns-01 (DNS-tarkistus)
• tls-sni-01(Varmennus käyttämällä itse allekirjoitettua varmennetta - nyt vanhentunut )

Ongelma

Valitettavasti tammikuussa 2018 löydettiin haavoittuvuus, jossa verkkotunnuksille tuli mahdolliseksi luoda varmenteita ilman ennakkotodennusta/valtuutusta. Varmenteita voidaan luoda esimerkiksi verkkotunnuksille, joita et itse omista.

Pian tämän jälkeen protokolla ( tls-sni-01) lopetettiin ja useimmat uudet sertifikaatit (uudet sertifikaatit) estettiin käyttämästä protokollaa todentamiseen.

Vaihtaminen yksinkertaiseen HTTP:hen

Vaihtaminen http-01"Simple HTTP" -todennustilaan on melko yksinkertaista. Jos käytät certbot-autovarmenteiden luomiseen, Let's Encrypt on jo luonut uuden varmenteen tai tekee sen automaattisesti seuraavan "uudistuksen" aikana.

Jos käytät certbot, sinun tulee käyttää --preferred-challengeparametria:

certbot (...) --prefered-challenge

Tämä käskee Let's Encryptia vaihtamaan tilaan http-01.

Vaihdetaan DNS-tarkistukseen

Jos haluat välttää kaiken tämän vaivan, Let's Encryptin DNS-validoinnin määrittäminen on suhteellisen helppoa. Kun suoritat certbot, lisää --preferred-challenges dnsparametriksi:

certbot -d example.com --manual --preferred-challenges dns

certbot tulostaa jotain seuraavanlaista:

Please deploy a DNS TXT record under the name
_acme-challenge.example.com with the following value:

(random_string)

Once this is deployed,
Press ENTER to continue

Kun olet lisännyt tietueen DNS-palveluntarjoajaltasi, paina ENTER. Sinun on sitten määritettävä CRON-työ, jotta sertifikaatti uusitaan automaattisesti. Koska DNS-tarkistusta on käytetty, sinun ei tarvitse huolehtia uudelleenohjauksesta, kuten http-01, (portista 80porttiin 443).