Lets Encrypt: مهاجرت از TLS-SNI-01

موضوع
انتقال به HTTP ساده
انتقال به اعتبار DNS

Let's Encrypt یک سرویس رایگان است که برای تأمین امنیت وب سایت شما گواهی نامه تولید می کند. این برنامه از تولید انواع مختلفی از گواهینامه ها ، از جمله تک دامنه و کارت ویزیت پشتیبانی می کند. علاوه بر این ، دارای چندین روش برای تأیید اعتبار دامنه شما برای تولید گواهی است.

http-01 (HTTP ساده)
dns-01 (اعتبار DNS)
tls-sni-01(اعتبارسنجی با استفاده از گواهی خود امضا شده - اکنون مستهلک می شود )

موضوع

متأسفانه ، یک آسیب پذیری در ژانویه سال 2018 کشف شد که در آن امکان تولید گواهینامه برای دامنه ها بدون تأیید اعتبار قبلی / مجوز امکان پذیر شد. به عنوان مثال ، گواهینامه هایی را می توان برای دامنه هایی که در واقع متعلق به آنها نیست ، ایجاد کرد.

اندکی پس از آن ، پروتکل ( tls-sni-01) قطع شد و بیشتر صدورهای جدید (گواهینامه های جدید) از استفاده از پروتکل برای تأیید اعتبار مسدود شدند.

انتقال به HTTP ساده

انتقال به http-01احراز هویت "HTTP ساده" بسیار ساده است. اگر از شما certbot-autoبرای تولید گواهینامه های خود استفاده می کنید ، Letry Encrypt قبلاً مجوز جدیدی تولید کرده است یا این کار را بطور خودکار در طی "تمدید" بعدی انجام می دهد.

در صورت استفاده certbot، باید از --preferred-challengeپارامتر استفاده کنید :

certbot (...) --prefered-challenge

با این کار به رمزگذاری اجازه دهید رمزگذاری شود http-01.

انتقال به اعتبار DNS

اگر می خواهید از این همه دردسر جلوگیری کنید ، پیکربندی اعتبار DNS Let Encrypt را آسان کنید. هنگام اجرا certbot، --preferred-challenges dnsبه عنوان یک پارامتر اضافه کنید :

certbot -d example.com --manual --preferred-challenges dns

certbot چیزی شبیه به موارد زیر چاپ خواهد کرد:

Please deploy a DNS TXT record under the name
_acme-challenge.example.com with the following value:

(random_string)

Once this is deployed,
Press ENTER to continue

هنگامی که رکورد خود را با ارائه دهنده DNS خود اضافه کنید ، ضربه بزنید ENTER. سپس برای تجدید خودکار گواهینامه شما باید یک کار CRON را تنظیم کنید. از آنجا که از اعتبار سنجی DNS استفاده شده است ، دیگر نیازی به نگرانی درمورد تغییر مسیر مانند دلخواه خود نخواهید بود http-01(بندر 80به پورت 443).

Tags: #Security #System Admin #Web Servers

با استفاده از کلید SSH خود برای ورود به کاربران غیر ریشه استفاده کنید

Vultr یک ویژگی را فراهم می کند که به شما امکان می دهد با ایجاد یک نمونه جدید ، کلیدهای SSH را از قبل نصب کنید. این اجازه می دهد تا به کاربر root دسترسی داشته باشید ، با این حال ، th

راه اندازی یک Chroot در دبیان

در این مقاله به شما می آموزد که چگونه زندان دزدگیر را در دبیان تنظیم کنید. تصور می کنم از Debian 7.x استفاده می کنید. اگر دبیان 6 یا 8 را اجرا کردید ، ممکن است این کار کند

نحوه فعال سازی TLS 1.3 در Apache در Debian 10

با استفاده از یک سیستم متفاوت؟ TLS 1.3 نسخه ای از پروتکل Transport Layer Security (TLS) است که در سال 2018 به عنوان یک استاندارد پیشنهادی در RFC 8446 منتشر شد

امنیت MongoDB

MongoDB به طور پیش فرض امن نیست. اگر MongoDB را نصب می کنید و بدون پیکربندی آن برای احراز هویت ، آن را راه اندازی می کنید ، می خواهید زمان بدی داشته باشید

چگونه می توان SSH را با یک توالی درحال ضرب در بند اوبونتو 18.04 ایمن تر کرد

با استفاده از یک سیستم متفاوت؟ مقدمه علاوه بر تغییر درگاه پیش فرض برای SSH ، و استفاده از یک جفت کلید برای تأیید اعتبار ، می توان از ضربه زدن به پورت t استفاده کرد

نحوه فعال سازی TLS 1.3 در Apache در FreeBSD 12

نحوه نصب rkhunter در اوبونتو

Rkhunter نرم افزاری است که rootkits را در سرور لینوکس پیدا می کند. روت کیت ها توسط هکرها نصب شده اند تا همیشه بتوانند به سرور دسترسی داشته باشند. در این مقاله ، شما b

نحوه احراز هویت دو عاملی (2FA) برای SSH در Ubuntu 14.04 با استفاده از Google Authenticator

با استفاده از یک سیستم متفاوت؟ چندین روش ورود به سیستم به سرور از طریق SSH وجود دارد. روش ها شامل ورود به سیستم رمزعبور ، ورود به سیستم بر اساس کلید و دو واقعیت است

چگونه TLS 1.3 را در Nginx در Ubuntu 18.04 LTS فعال کنید

با استفاده از Guacamole در Ubuntu 16.04 LTS یک Frontend HTML HTML 5 RDP / SSH ایجاد کنید

مقدمه هدف این آموزش خلاص شدن از شر SSH عمومی و اتصالات RDP است. با قرار دادن این همه پشت یک مشتری HTML5 بسیار مناسب

امنیت SSH در اوبونتو 14.04

بعد از ایجاد یک سرور جدید ، ترفندهایی برای پیکربندی وجود دارد که باید آنها را برای سخت تر کردن امنیت سرور خود انجام دهید. به عنوان roo ، یک کاربر جدید ایجاد کنید

راه اندازی LetsEncrypt On Linux

LetsEncrypt یک مجوز گواهینامه با یک مشتری خودکار است. به طور خلاصه ، این بدان معنی است که می توانید وب سایت های خود را بدون هیچ هزینه ای ایمن کنید. درست است ، شما می توانید گرم کنید

پیکربندی Apache با گواهی TLS / SSL خود امضا شده در اوبونتو 16.04

SSL و TLS جانشین آن (Secure Sockets Layer / Transport Layer Security) لایه ای از رمزگذاری را بین مشتری و سرور اضافه می کنند. بدون این

نحوه نصب اسکنر آسیب پذیری OpenVAS در اوبونتو 16.04

مقدمه OpenVAS یک مجموعه منبع باز است که می تواند برای اسکن آسیب پذیری و مدیریت آسیب پذیری مورد استفاده قرار گیرد. این مخفف عبارت Open Vulnerabilit است

اصلاح Icinga2 برای استفاده از مدل Master / Client در CentOS 6 یا CentOS 7

Icinga2 یک سیستم مانیتورینگ قدرتمند است و هنگامی که در یک مدل کارشناسی ارشد مشتری استفاده می شود ، می تواند نیاز به کنترل های مبتنی بر NRPE را جایگزین کند. استاد کلین

نحوه غیرفعال کردن SELinux در CentOS 7

SELinux ، مخفف Security Enhanced Linux ، یک پیشرفت امنیتی برای سیستم عامل لینوکس است. این یک سیستم برچسب زدن است که بسیاری از سیستم ها را مسدود می کند

نحوه نصب Ntopng در اوبونتو 16.04

مقدمه Ntopng یک ابزار منبع باز است که برای نظارت بر پروتکل های مختلف شبکه روی سرورهای شما استفاده می شود. این نسخه نسل بعدی مبدا است

ایمن سازی سرور Apache در CentOS 6

در هنگام امنیت سرور ، میانبرها را آسان می کنید ، اما در صورت حمله یک دسترسی دهنده به دسترسی به هر یک از سرورهای شما ، خطر از دست دادن داده ها را به خطر خواهید انداخت. حوا

Port Knocking on Debian

Using a Different System? By now, youve probably changed your default SSH port. Still, hackers can easily scan port ranges to discover that port - but wit

نحوه نصب بستر سبد خرید LiteCart در اوبونتو 16.04

LiteCart یک بستر سبد خرید آزاد و منبع باز است که به زبان های PHP ، jQuery و HTML 5 نوشته شده است. این نرم افزار ساده ، سبک و با کاربرد آسان است.

نحوه نصب Anchor CMS بر روی یک VPS Fedora 26 LAMP

با استفاده از یک سیستم متفاوت؟ Anchor CMS یک سیستم مدیریت محتوا (CMS) بسیار ساده و بسیار سبک ، بسیار آزاد و آزاد است.

اشتراک NFS را در Debian تنظیم کنید

NFS یک سیستم فایل مبتنی بر شبکه است که به رایانه ها اجازه می دهد تا از طریق شبکه رایانه ای به فایلها دسترسی پیدا کنند. این راهنما توضیح می دهد که چگونه می توانید پوشه ها را روی NF قرار دهید

نحوه بروزرسانی CentOS 7 ، Ubuntu 16.04 و Debian 8

هنگام راه اندازی سرور جدید لینوکس ، به روزرسانی سیستم های هسته و سایر بسته ها تا آخرین نسخه پایدار یک روش توصیه شده است. در این مقاله

نحوه نصب Matomo Analytics در Fedora 28

با استفاده از یک سیستم متفاوت؟ Matomo (سابقا پیویک) یک بستر تحلیلی منبع باز است ، یک جایگزین باز برای Google Analytics. منبع Matomo میزبان o

یک سرور TeamTalk را در لینوکس تنظیم کنید

TeamTalk یک سیستم کنفرانس است که به کاربران امکان می دهد مکالمات صوتی / تصویری با کیفیت بالا ، چت متنی ، انتقال فایل ها و صفحه های به اشتراک بگذارند. من

با استفاده از کلید SSH خود برای ورود به کاربران غیر ریشه استفاده کنید

نحوه نصب انجمن NodeBB در FreeBSD 12

با استفاده از یک سیستم متفاوت؟ NodeBB یک نرم افزار انجمن مبتنی بر Node.js است. از سوکت های وب برای تعامل فوری و اعلامیه های زمان واقعی استفاده می کند. NodeB

نصب و راه اندازی ZNC در اوبونتو

ZNC یک پیشرانه پیشرفته شبکه IRC است که تمام وقت بهم متصل می شود تا مشتری IRC بتواند بدون از دست دادن جلسه گپ قطع یا وصل شود.

نحوه نصب Ranger Terminal File Manager در لینوکس

رنجر یک مدیر فایل مبتنی بر خط فرمان است که دارای کلیدهای اتصال VI است. این برنامه یک رابط لعنتی مینیمالیستی و زیبا با نمای سلسله مراتب فهرست ارائه می دهد