Verschlüsseln: Migration von TLS-SNI-01

Let's Encrypt ist ein kostenloser Dienst, der Zertifikate zur Sicherung Ihrer Website generiert. Es unterstützt das Generieren verschiedener Arten von Zertifikaten, einschließlich Single Domain und Wildcard. Darüber hinaus stehen zahlreiche Methoden zur Authentifizierung Ihrer Domain zur Generierung eines Zertifikats zur Verfügung.

  • http-01 (Einfaches HTTP)
  • dns-01 (DNS-Validierung)
  • tls-sni-01(Validierung durch Verwendung eines selbstsignierten Zertifikats - jetzt veraltet )

Das Thema

Leider wurde im Januar 2018 eine Sicherheitslücke entdeckt, bei der es möglich wurde, Zertifikate für Domains ohne vorherige Authentifizierung / Autorisierung zu generieren. Beispielsweise könnten Zertifikate für Domänen generiert werden, die Sie nicht besitzen.

Kurz darauf wurde das Protokoll ( tls-sni-01) eingestellt und die meisten Neuemissionen (neue Zertifikate) wurden daran gehindert, das Protokoll zur Authentifizierung zu verwenden.

Wechseln zu einfachem HTTP

Das Umschalten auf http-01oder "Simple HTTP" -Authentifizierung ist ziemlich einfach. Wenn Sie certbot-autozum Generieren Ihrer Zertifikate verwenden, hat Let's Encrypt bereits ein neues Zertifikat generiert oder dies bei der nächsten "Erneuerung" automatisch.

Wenn Sie verwenden certbot, sollten Sie den --preferred-challengeParameter verwenden:

certbot (...) --prefered-challenge

Dadurch wird Let's Encrypt angewiesen, zu zu wechseln http-01.

Wechseln zur DNS-Validierung

Wenn Sie all diesen Aufwand vermeiden möchten, ist es relativ einfach, die DNS-Validierung von Let's Encrypt zu konfigurieren. Fügen Sie bei der Ausführung als Parameter Folgendes certbothinzu --preferred-challenges dns:

certbot -d example.com --manual --preferred-challenges dns

certbot druckt etwas Ähnliches wie das Folgende:

Please deploy a DNS TXT record under the name
_acme-challenge.example.com with the following value:

(random_string)

Once this is deployed,
Press ENTER to continue

Wenn Sie den Eintrag bei Ihrem DNS-Anbieter hinzugefügt haben, klicken Sie auf ENTER. Sie müssen dann einen CRON-Job einrichten, um Ihr Zertifikat automatisch zu erneuern. Da die DNS-Validierung verwendet wurde, müssen Sie sich keine Gedanken über die Umleitung machen, wie Sie es für http-01(Port 80zu Port 443) tun würden .



Leave a Comment

So installieren Sie Blacklistd unter FreeBSD 11.1

So installieren Sie Blacklistd unter FreeBSD 11.1

Einführung Jeder Dienst, der mit dem Internet verbunden ist, ist ein potenzielles Ziel für Brute-Force-Angriffe oder ungerechtfertigten Zugriff. Es gibt Tools wie fail2ba

So aktivieren Sie TLS 1.3 in Apache unter Fedora 30

So aktivieren Sie TLS 1.3 in Apache unter Fedora 30

Verwenden Sie ein anderes System? TLS 1.3 ist eine Version des TLS-Protokolls (Transport Layer Security), das 2018 als vorgeschlagener Standard in RFC 8446 veröffentlicht wurde

Chroot auf Debian einrichten

Chroot auf Debian einrichten

In diesem Artikel erfahren Sie, wie Sie unter Debian ein Chroot-Gefängnis einrichten. Ich gehe davon aus, dass Sie Debian 7.x verwenden. Wenn Sie Debian 6 oder 8 ausführen, funktioniert dies möglicherweise, bu

So installieren Sie ModSecurity für Nginx unter CentOS 7, Debian 8 und Ubuntu 16.04

So installieren Sie ModSecurity für Nginx unter CentOS 7, Debian 8 und Ubuntu 16.04

ModSecurity ist ein WAF-Modul (Open Source Web Application Firewall), mit dem Apache, Nginx und IIS vor verschiedenen Cyberangriffen geschützt werden können

MongoDB sichern

MongoDB sichern

MongoDB ist standardmäßig nicht sicher. Wenn Sie MongoDB installieren und starten, ohne es für die Authentifizierung zu konfigurieren, werden Sie eine schlechte Zeit haben

Konfigurieren Sie die unkomplizierte Firewall (UFW) unter Ubuntu 14.04

Konfigurieren Sie die unkomplizierte Firewall (UFW) unter Ubuntu 14.04

Sicherheit ist entscheidend, wenn Sie Ihren eigenen Server betreiben. Sie möchten sicherstellen, dass nur autorisierte Benutzer auf Ihren Server, Ihre Konfiguration und Ihre Dienste zugreifen können. ich

So installieren Sie rkhunter unter Ubuntu

So installieren Sie rkhunter unter Ubuntu

Rkhunter ist eine Software, die Rootkits auf einem Linux-Server findet. Rootkits werden von Hackern installiert, damit sie immer auf den Server zugreifen können. In diesem Dokument werden Sie b

So aktivieren Sie TLS 1.3 in Nginx unter FreeBSD 12

So aktivieren Sie TLS 1.3 in Nginx unter FreeBSD 12

Verwenden Sie ein anderes System? TLS 1.3 ist eine Version des TLS-Protokolls (Transport Layer Security), das 2018 als vorgeschlagener Standard in RFC 8446 veröffentlicht wurde

So richten Sie die Zwei-Faktor-Authentifizierung (2FA) für SSH unter Debian 9 mit Google Authenticator ein

So richten Sie die Zwei-Faktor-Authentifizierung (2FA) für SSH unter Debian 9 mit Google Authenticator ein

Verwenden Sie ein anderes System? Es gibt verschiedene Möglichkeiten, sich über SSH bei einem Server anzumelden. Zu den Methoden gehören die Kennwortanmeldung, die schlüsselbasierte Anmeldung und Two-Facto

Aktivieren von mod_evasive unter Apache

Aktivieren von mod_evasive unter Apache

Mod_evasive ist ein Modul für Apache, das automatisch Maßnahmen ergreift, wenn ein HTTP-DoS-Angriff oder ein Brute-Force-Angriff erkannt wird. Mod_evasive kann eine protokollieren

Setup Ermöglicht die Verschlüsselung mit Nginx unter Ubuntu 16.04

Setup Ermöglicht die Verschlüsselung mit Nginx unter Ubuntu 16.04

Lets Encrypt ist eine Zertifizierungsstelle (Certificate Authority, CA), die kostenlose SSL-Zertifikate mit einem automatisierten Client bereitstellt. Mit einem Lets Encrypt SSL-Zertifikat können Sie ca.

Richten Sie NGINX mit ModSecurity unter CentOS 6 ein

Richten Sie NGINX mit ModSecurity unter CentOS 6 ein

In diesem Artikel werde ich erklären, wie ein durch ModSecurity geschützter LEMP-Stack erstellt wird. ModSecurity ist eine Open-Source-Firewall für Webanwendungen, die nützlich ist

Sichern von NGINX vor dem Logjam-Angriff auf CentOS

Sichern von NGINX vor dem Logjam-Angriff auf CentOS

Nun, es gibt eine weitere SSL-Sicherheitslücke in freier Wildbahn. Technisch gesehen ist es keine wirkliche Sicherheitslücke, sondern nur eine Lücke innerhalb des Protokolls, auf das wir uns verlassen

Arbeiten mit Linux-Funktionen

Arbeiten mit Linux-Funktionen

Einführung Linux-Funktionen sind spezielle Attribute im Linux-Kernel, die Prozessen und binären ausführbaren Dateien bestimmte Berechtigungen gewähren, die normalerweise üblich sind

So deaktivieren Sie SELinux unter CentOS 7

So deaktivieren Sie SELinux unter CentOS 7

SELinux, eine Abkürzung für Security-Enhanced Linux, ist eine Sicherheitsverbesserung für das Linux-Betriebssystem. Es ist ein Kennzeichnungssystem, das viele Systeme blockiert

So installieren Sie Lets Encrypt SSL unter CentOS 7 unter Apache Web Server

So installieren Sie Lets Encrypt SSL unter CentOS 7 unter Apache Web Server

Einführung In diesem Lernprogramm erfahren Sie, wie Sie das TLS / SSL-Zertifikat auf dem Apache-Webserver installieren. Wenn fertig, alle Verkehr

Verwenden von Lets Encrypt unter OpenBSD 6.1

Verwenden von Lets Encrypt unter OpenBSD 6.1

Es ist nicht mehr erforderlich, dass jemand seine eigenen SSL-Zertifikate erstellen muss, da Sie jetzt Ihr eigenes kostenloses, gültiges SSL-Zertifikat von Let erhalten können

Port Knocking auf Debian

Port Knocking auf Debian

Verwenden Sie ein anderes System? Inzwischen haben Sie wahrscheinlich Ihren Standard-SSH-Port geändert. Trotzdem können Hacker Portbereiche leicht scannen, um diesen Port zu entdecken - aber witzig

Verwenden Sie Ihren SSH-Schlüssel, um sich bei Nicht-Root-Benutzern anzumelden

Verwenden Sie Ihren SSH-Schlüssel, um sich bei Nicht-Root-Benutzern anzumelden

Vultr bietet eine Funktion, mit der Sie SSH-Schlüssel beim Erstellen einer neuen Instanz vorinstallieren können. Auf diese Weise können Sie jedoch auf den Root-Benutzer des Servers zugreifen

Kann KI mit zunehmender Anzahl von Ransomware-Angriffen kämpfen?

Kann KI mit zunehmender Anzahl von Ransomware-Angriffen kämpfen?

Ransomware-Angriffe nehmen zu, aber kann KI helfen, den neuesten Computervirus zu bekämpfen? Ist KI die Antwort? Lesen Sie hier, ob KI boone oder bane ist

ReactOS: Ist das die Zukunft von Windows?

ReactOS: Ist das die Zukunft von Windows?

ReactOS, ein quelloffenes und kostenloses Betriebssystem, ist hier mit der neuesten Version. Kann es den Anforderungen moderner Windows-Benutzer genügen und Microsoft zu Fall bringen? Lassen Sie uns mehr über dieses alte, aber neuere Betriebssystem erfahren.

Bleiben Sie in Verbindung über die WhatsApp Desktop App 24*7

Bleiben Sie in Verbindung über die WhatsApp Desktop App 24*7

Whatsapp hat endlich die Desktop-App für Mac- und Windows-Benutzer auf den Markt gebracht. Jetzt können Sie ganz einfach von Windows oder Mac auf WhatsApp zugreifen. Verfügbar für Windows 8+ und Mac OS 10.9+

Wie kann KI die Prozessautomatisierung auf die nächste Stufe heben?

Wie kann KI die Prozessautomatisierung auf die nächste Stufe heben?

Lesen Sie dies, um zu erfahren, wie Künstliche Intelligenz bei kleinen Unternehmen beliebt wird und wie sie die Wahrscheinlichkeit erhöht, sie wachsen zu lassen und ihren Konkurrenten einen Vorsprung zu verschaffen.

macOS Catalina 10.15.4 Supplement Update verursacht mehr Probleme als sie zu lösen

macOS Catalina 10.15.4 Supplement Update verursacht mehr Probleme als sie zu lösen

Vor kurzem hat Apple macOS Catalina 10.15.4 als Ergänzungsupdate veröffentlicht, um Probleme zu beheben, aber es scheint, dass das Update mehr Probleme verursacht, die zum Bricking von Mac-Computern führen. Lesen Sie diesen Artikel, um mehr zu erfahren

13 Tools zur kommerziellen Datenextraktion von Big Data

13 Tools zur kommerziellen Datenextraktion von Big Data

13 Tools zur kommerziellen Datenextraktion von Big Data

Was ist ein Journaling-Dateisystem und wie funktioniert es?

Was ist ein Journaling-Dateisystem und wie funktioniert es?

Unser Computer speichert alle Daten in einer organisierten Weise, die als Journaling-Dateisystem bekannt ist. Es ist eine effiziente Methode, die es dem Computer ermöglicht, Dateien zu suchen und anzuzeigen, sobald Sie auf die Suche klicken.https://wethegeek.com/?p=94116&preview=true

Technologische Singularität: Eine ferne Zukunft der menschlichen Zivilisation?

Technologische Singularität: Eine ferne Zukunft der menschlichen Zivilisation?

Da sich die Wissenschaft schnell weiterentwickelt und einen Großteil unserer Bemühungen übernimmt, steigt auch das Risiko, uns einer unerklärlichen Singularität auszusetzen. Lesen Sie, was Singularität für uns bedeuten könnte.

Ein Einblick in 26 Big-Data-Analysetechniken: Teil 1

Ein Einblick in 26 Big-Data-Analysetechniken: Teil 1

Ein Einblick in 26 Big-Data-Analysetechniken: Teil 1

Der Einfluss künstlicher Intelligenz im Gesundheitswesen 2021

Der Einfluss künstlicher Intelligenz im Gesundheitswesen 2021

KI im Gesundheitswesen hat in den letzten Jahrzehnten große Fortschritte gemacht. Somit wächst die Zukunft der KI im Gesundheitswesen immer noch von Tag zu Tag.