Omogočamo šifriranje: selitev iz TLS-SNI-01

Let's Encrypt je brezplačna storitev, ki ustvarja potrdila za zaščito vašega spletnega mesta. Podpira ustvarjanje različnih vrst potrdil, vključno z eno domeno in nadomestnimi znaki. Poleg tega ima številne metode za preverjanje pristnosti vaše domene za ustvarjanje potrdila.

• http-01 (Preprost HTTP)
• dns-01 (preverjanje DNS)
• tls-sni-01(Preverjanje z uporabo samopodpisanega potrdila - zdaj zastarelo )

Zadeva

Žal je bila januarja 2018 odkrita ranljivost, pri kateri je bilo mogoče ustvariti potrdila za domene brez predhodne avtentikacije/avtorizacije. Potrdila bi lahko na primer ustvarili za domene, ki jih dejansko niste lastnik.

Kmalu zatem je bil protokol ( tls-sni-01) ukinjen in večina novih izdaj (nova potrdila) je bila blokirana za uporabo protokola za overjanje.

Preklop na preprost HTTP

Preklop na http-01ali "preprosto HTTP" preverjanje pristnosti je dokaj preprost. Če uporabljate certbot-autoza generiranje svojih potrdil, bo Let's Encrypt že ustvaril novo potrdilo ali pa bo to storil samodejno med naslednjo »obnovitvijo«.

Če uporabljate certbot, bi morali uporabiti --preferred-challengeparameter:

certbot (...) --prefered-challenge

To bo povedalo Let's Encrypt, da preklopi na http-01.

Preklop na preverjanje DNS

Če se želite izogniti vsem tem težavam, je razmeroma enostavno konfigurirati preverjanje DNS za Let's Encrypt. Ko izvajate certbot, dodajte --preferred-challenges dnskot parameter:

certbot -d example.com --manual --preferred-challenges dns

certbot bo natisnil nekaj podobnega temu:

Please deploy a DNS TXT record under the name
_acme-challenge.example.com with the following value:

(random_string)

Once this is deployed,
Press ENTER to continue

Ko dodate zapis pri ponudniku DNS, pritisnite ENTER. Nato boste morali nastaviti opravilo CRON za samodejno podaljšanje vašega potrdila. Ker je bilo uporabljeno preverjanje DNS, vam ne bo treba skrbeti za preusmeritev, kot bi to za http-01, (vrata 80v vrata 443).