Við skulum dulkóða: Flutningur frá TLS-SNI-01

Let's Encrypt er ókeypis þjónusta sem býr til vottorð til að tryggja vefsíðuna þína. Það styður að búa til mismunandi gerðir af vottorðum, þar á meðal eins léni og algildisstafi. Að auki hefur það fjölmargar aðferðir til að auðkenna lénið þitt til að búa til vottorð.

• http-01 (Einfalt HTTP)
• dns-01 (DNS staðfesting)
• tls-sni-01(Staðfesting með því að nota sjálfstætt undirritað vottorð - nú úrelt )

Vandamálið

Því miður uppgötvaðist varnarleysi í janúar 2018 þar sem hægt var að búa til vottorð fyrir lén án undangengins auðkenningar/heimildar. Til dæmis gæti verið búið til vottorð fyrir lén sem þú átt ekki í raun og veru.

Stuttu síðar var samskiptareglunum ( tls-sni-01) hætt og flestum nýjum útgáfum (ný skírteini) var bannað að nota siðareglur til að sannvotta.

Skiptir yfir í einfalt HTTP

Að skipta yfir í http-01eða „Einfalt HTTP“ auðkenningu er frekar einfalt. Ef þú ert að nota certbot-autotil að búa til skírteinin þín mun Let's Encrypt hafa búið til nýtt vottorð eða mun gera það sjálfkrafa við næstu „endurnýjun“.

Ef þú ert að nota certbotættirðu að nota --preferred-challengefæribreytuna:

certbot (...) --prefered-challenge

Þetta mun segja Let's Encrypt að skipta yfir í http-01.

Skiptir yfir í DNS staðfestingu

Ef þú vilt forðast allt þetta vesen er tiltölulega auðvelt að stilla Let's Encrypt DNS staðfestingu. Þegar þú keyrir certbotskaltu bæta við --preferred-challenges dnssem færibreytu:

certbot -d example.com --manual --preferred-challenges dns

certbot mun prenta eitthvað svipað og eftirfarandi:

Please deploy a DNS TXT record under the name
_acme-challenge.example.com with the following value:

(random_string)

Once this is deployed,
Press ENTER to continue

Þegar þú hefur bætt við skránni hjá DNS-veitunni þinni skaltu ýta á ENTER. Þú þarft þá að setja upp CRON starf til að endurnýja vottorðið þitt sjálfkrafa. Þar sem DNS-staðfesting hefur verið notuð þarftu ekki að hafa áhyggjur af tilvísun eins og þú myndir gera fyrir http-01, (port 80to port 443).