Ļauj šifrēt: migrē no TLS-SNI-01

Let's Encrypt ir bezmaksas pakalpojums, kas ģenerē sertifikātus, lai aizsargātu jūsu vietni. Tā atbalsta dažāda veida sertifikātu ģenerēšanu, tostarp viena domēna un aizstājējzīmes. Turklāt tajā ir vairākas metodes, lai autentificētu jūsu domēnu, lai ģenerētu sertifikātu.

• http-01 (Vienkāršs HTTP)
• dns-01 (DNS validācija)
• tls-sni-01(Validācija, izmantojot pašparakstītu sertifikātu — tagad novecojis )

Jautājums

Diemžēl 2018. gada janvārī tika atklāta ievainojamība, kurā kļuva iespējams ģenerēt domēnu sertifikātus bez iepriekšējas autentifikācijas/autorizācijas. Piemēram, sertifikātus var ģenerēt domēniem, kas jums faktiski nepieder.

Neilgi pēc tam protokols ( tls-sni-01) tika pārtraukts un lielākajai daļai jauno izsniegšanas (jauno sertifikātu) tika bloķēta šī protokola izmantošana autentifikācijai.

Pārslēgšanās uz vienkāršu HTTP

Pārslēgšanās uz http-01vai “Vienkāršo HTTP” autentifikāciju ir diezgan vienkārša. Ja izmantojat certbot-autosertifikātu ģenerēšanai, Let's Encrypt jau būs ģenerējis jaunu sertifikātu vai darīs to automātiski nākamās "atjaunošanas" laikā.

Ja izmantojat certbot, jums jāizmanto --preferred-challengeparametrs:

certbot (...) --prefered-challenge

Tas liks šifrēt, lai pārslēgtos uz http-01.

Notiek pārslēgšanās uz DNS validāciju

Ja vēlaties izvairīties no visām šīm grūtībām, ir salīdzinoši viegli konfigurēt Let's Encrypt DNS validāciju. Izpildot certbot, pievienojiet --preferred-challenges dnskā parametru:

certbot -d example.com --manual --preferred-challenges dns

certbot izdrukās kaut ko līdzīgu šim:

Please deploy a DNS TXT record under the name
_acme-challenge.example.com with the following value:

(random_string)

Once this is deployed,
Press ENTER to continue

Kad esat pievienojis ierakstu ar savu DNS nodrošinātāju, nospiediet ENTER. Pēc tam jums būs jāiestata CRON darbs, lai automātiski atjaunotu sertifikātu. Tā kā ir izmantota DNS validācija, jums nebūs jāuztraucas par novirzīšanu, piemēram, http-01, (ports 80uz portu 443).