Lets Encrypt: Migrácia z TLS-SNI-01

Let's Encrypt je bezplatná služba, ktorá generuje certifikáty na zabezpečenie vašich webových stránok. Podporuje generovanie rôznych typov certifikátov, vrátane certifikátov s jednou doménou a zástupných znakov. Okrem toho má množstvo metód na overenie vašej domény na vygenerovanie certifikátu.

• http-01 (Jednoduchý HTTP)
• dns-01 (overenie DNS)
• tls-sni-01(Overenie pomocou certifikátu s vlastným podpisom – teraz zastarané )

Otázka

Bohužiaľ, v januári 2018 bola objavená zraniteľnosť, kde bolo možné generovať certifikáty pre domény bez predchádzajúcej autentifikácie/autorizácie. Certifikáty môžu byť napríklad generované pre domény, ktoré v skutočnosti nevlastníte.

Krátko nato bol protokol ( tls-sni-01) prerušený a väčšina nových vydaní (nových certifikátov) bola zablokovaná na používanie protokolu na autentifikáciu.

Prechod na jednoduchý HTTP

Prepnutie na http-01autentizáciu „Simple HTTP“ je pomerne jednoduché. Ak používate certbot-autona generovanie svojich certifikátov, Let's Encrypt už vygeneruje nový certifikát alebo tak urobí automaticky počas nasledujúcej „obnovy“.

Ak používate certbot, mali by ste použiť --preferred-challengeparameter:

certbot (...) --prefered-challenge

To povie Let's Encrypt, aby prešlo na http-01.

Prechod na overenie DNS

Ak sa chcete vyhnúť všetkým týmto problémom, je pomerne jednoduché nakonfigurovať overenie DNS Let's Encrypt. Pri spustení certbotpridajte --preferred-challenges dnsako parameter:

certbot -d example.com --manual --preferred-challenges dns

certbot vytlačí niečo podobné ako nasledovné:

Please deploy a DNS TXT record under the name
_acme-challenge.example.com with the following value:

(random_string)

Once this is deployed,
Press ENTER to continue

Po pridaní záznamu u svojho poskytovateľa DNS stlačte ENTER. Potom budete musieť nastaviť úlohu CRON na automatické obnovenie vášho certifikátu. Keďže sa použila validácia DNS, nebudete sa musieť starať o presmerovanie ako v prípade http-01, (port 80na port 443).