Phenquestions
Сигурният интернет е търсенето на всички сега. Предпочитаме HTTPS пред HTTP, тъй като HTTPS връзките са защитени със SSL. Данните, изпратени по HTTPS, не могат да се виждат от трети или средни страни. Данните са криптирани и само реалният клиент и сървърът могат да виждат данните в нешифрована оригинална форма. В днешно време търсачките също дават на защитените уебсайтове по-голям приоритет и по този начин помага в SEO.
Всеки може да създаде SSL сертификат с няколко командни реда или с няколко щраквания на мишката. Но сертификат, за да се вярва, трябва да бъде предоставен от някой признат сертифициращ орган. Процесът на получаване на сертификат се нуждае от време и пари. Понякога цената е много висока в зависимост от сертифициращия орган и вашите изисквания.
Можете да шифровате данните между вашето уеб приложение и крайните потребители, като създадете сами сертификати. Но нещата не стоят така в света на домейн и сървърна система. Вашият сертификат трябва да бъде заверен от доверено трето лице. Но процесът не трябва да бъде сложен, когато достъпът до интернет не е такъв. Също така не сме склонни да плащаме тези допълнителни разходи за получаване на сертификат, който бихме могли да направим от собствената си ръка безплатно.
Но в крайна сметка не можем да заобиколим тези трети страни. Уеб браузърите и други клиентски приложения не се доверяват на сертификатите, направени от собствените ни ръце. Те се доверяват на предоставените и подписани от тези трети страни, наречени сертифициращи органи. Имаме решение на нашия проблем. Съществува сертифициращ орган (CA), наречен Let's Encrypt, който предоставя безпроблемни (в процес) и безплатни TLS / SSL сертификати. Просто заявявате сертификат за вашия уебсайт, използвайки различни методи, показани в този урок, за да получите безплатни сертификати за вашите домейни и сте готови да отидете. За разлика от други, сертификатите, предоставени от Let's Encrypt, трябва да се актуализират на всеки три месеца (за да бъдем точни 90 дни). Можете да стартирате някакъв скрипт на вашия сървър или VPS, за да актуализирате сертификата автоматично след известен интервал, за да управлявате този проблем с подновяването.
Получаване на сертификат Let's Encrypt
Ако хоствате уебсайта си на VPS или на платформа, където имате достъп до черупки, можете да получите сертификат с официалния клиент Certbot ACME. Ако сте в среда на споделен хостинг, вашият доставчик на хостинг услуги трябва да предостави автоматизирана поддръжка за сертификати Let's Encrypt. Най-популярните доставчици на споделен хостинг предоставят поддръжка за сертификати Let's Encrypt и автоматично подновяват сертификата за вас. Ако вашият хостинг доставчик не предоставя автоматизирана поддръжка за това, можете да се свържете с тях за това. Също така, повечето доставчици на хостинг имат някои места в администраторския си панел, където можете да качите вашите сертификатни файлове. Проверете в коя категория попадате и преминете съответно.
Certbot Нека шифроваме клиента
Certbot е най-популярният клиент Let's Encrypt. Той е достъпен за повечето големи дистрибуции на Linux. Тук показвам как да инсталирам Certbot на машина на Ubuntu. За да получите най-новата версия на certbot, добавете хранилището на ppa със следната команда.
sudo add-apt-repository ppa: certbot / certbot
Актуализирайте списъка с пакети за новата промяна:
sudo apt-get update
Сега инсталирайте certbot заедно с неговите приставки apache и nginx:
sudo apt-get инсталирайте certbot python-certbot-apache python-certbot-nginx
Certbot може автоматично да извлича и конфигурира сертификати за Apache и Nginx. Да кажем, че искате да извлечете сертификат за www.пример.com и актуализирайте конфигурацията на Apache. Просто трябва да изпълните следната команда.
sudo certbot --apache -d www.пример.com
Certbot ще ви зададе някои необходими въпроси, ще предизвика предизвикателство и ще изтегли сертификата вместо вас. Той ще актуализира конфигурацията за уеб сървър на Apache и ще презареди Apache. За да проверите дали нещата работят правилно или не, посетете https: // www.пример.com.
Подновяване на сертификати
Нека шифроваме сертификатите са валидни само 90 дни. Така че, трябва да актуализирате сертификатите няколко пъти годишно. Много е лесно да актуализирате сертификати с certbot. Изпълнете следните команди, за да актуализирате целия сертификат на вашия сървър:
sudo certbot подновяване
Но това не е добър начин да го актуализирате ръчно. Ако сте на управляван / споделен хостинг и тази платформа има вградена поддръжка за актуализиране на сертификатите Let's Encrypt, тогава не е необходимо да правите нищо на ръка. Когато правите това на VPS, специален сървър или някаква система, където имате достъп до черупки, можете да използвате cron, за да автоматизирате периодично тази задача.
Използване на Let's Encrypt с други клиенти
ACME е отворен протокол. Освен това има добра документация. Има много клиенти за Let's Encrypt сертификати и много са в процес на разработка. Ако имате интерес да развиете клиент, можете лесно да го направите по свой собствен начин. Ако познавате малко Python, можете да разгледате изходния код на certbot и да направите персонализиран за себе си. На уебсайта на Let's Encrypt има и списък с клиенти на ACME.
Посетете тази връзка, за да получите списъка и да решите кое алтернативно решение искате да използвате. Почти никой от тях не притежава цялата сладост на certbot. Но някои от тях имат някои уникални функции, които могат да ви привлекат. Освен това, ако сте програмист и имате някои уникални изисквания, опитайте се да приложите това сами.
Ръчен метод
Някои хостинг доставчици разрешават само ръчно качване на сертификати. В този случай трябва да извлечете сертификатите ръчно от Let's Encrypt и да ги качите през таблото за управление на вашия хостинг администратор (или какъвто и механизъм да предоставят). За да извлечете файла със сертификата, трябва да използвате приставката за ръчен certbot и да посочите параметъра „certonly“. С ръчния метод трябва да докажете, че домейнът, за който искате сертификат, наистина е ваш. Приставката може да използва предизвикателството http, dns или tls-sni. Можете да използвате -предпочитани предизвикателства възможност да изберете предизвикателството по ваше предпочитание. Ако предпочитате http след това ще ви помоли да поставите някакъв файл с определено съдържание в някоя директория на вашия уебсайт / уеб сървър. Потвърдете собствеността си и отговорете на други въпроси, за да получите сертификата си.
certbot certonly - ръчно
Можете също така да посочите параметри на командния ред за съгласие с условията на услугата и подновяване на сертификата.
Когато нямате късмет
Някои хостинг доставчици не предоставят начин да добавят допълнителни „s“ към вашия „http“ - искам да кажа, че не предоставят начин за добавяне на ssl сертификати. За някои трябва да качите ръчно файловете със сертификати. Един пример е Google App Engine, а друг OpenShift. Но е трудно да презаредите сертификата на всеки 90 дни. Понякога може да забравите. Отново, ако имате повече от един или два уебсайта, по-вероятно е да забравите. Освен това, ако не се чувствате добре с командния ред или не се чувствате удобно да работите със сървърите чрез SSH черупки, тогава отново имате лош късмет.
Заключение
Let's Encrypt улесни живота на уеб администраторите, като предостави начин за незабавно получаване на сертификатите, вместо да чака одобрение от CA след подаване на заявката. Друго предимство е, че получавате всичко безплатно. С всичко добро, просто не забравяйте да актуализирате сертификата преди всеки 90 дни. В противен случай вашите потребители могат да получат червен сигнал и в резултат на това може да загубите част от аудиторията / клиентите си. Можете също така да подновявате сертификата на всеки няколко дни, но това може да достигне лимита и може да не подновите сертификата си за известно време. Така че, бъдете внимателни при използването на такава страхотна услуга.
