Permite criptografar: migrando do TLS-SNI-01

Let's Encrypt é um serviço gratuito que gera certificados para proteger seu site. Ele suporta a geração de diferentes tipos de certificados, incluindo domínio único e curinga. Além disso, possui vários métodos para autenticar seu domínio e gerar um certificado.

  • http-01 (HTTP simples)
  • dns-01 (Validação de DNS)
  • tls-sni-01(Validação através do uso de um certificado autoassinado - agora descontinuado )

O problema

Infelizmente, uma vulnerabilidade foi descoberta em janeiro de 2018, onde se tornou possível gerar certificados para domínios sem autenticação / autorização prévia. Por exemplo, certificados podem ser gerados para domínios que você realmente não possui.

Logo depois, o protocolo ( tls-sni-01) foi descontinuado e a maioria das novas emissões (novos certificados) foi impedida de usar o protocolo para autenticação.

Mudando para HTTP Simples

Mudar para http-01ou a autenticação "HTTP Simples" é bastante simples. Se você estiver usando certbot-autopara gerar seus certificados, o Let's Encrypt já terá gerado um novo certificado ou o fará automaticamente durante a próxima "renovação".

Se você estiver usando certbot, você deve usar o --preferred-challengeparâmetro:

certbot (...) --prefered-challenge

Isso informará o Let's Encrypt para mudar http-01.

Mudando para validação de DNS

Se você deseja evitar todo esse aborrecimento, é relativamente fácil configurar a validação de DNS do Let's Encrypt. Ao executar certbot, adicione --preferred-challenges dnscomo parâmetro:

certbot -d example.com --manual --preferred-challenges dns

certbot imprimirá algo semelhante ao seguinte:

Please deploy a DNS TXT record under the name
_acme-challenge.example.com with the following value:

(random_string)

Once this is deployed,
Press ENTER to continue

Depois de adicionar o registro ao seu provedor de DNS, pressione ENTER. Você precisará configurar um trabalho CRON para renovar automaticamente seu certificado. Como a validação de DNS foi usada, você não precisará se preocupar com o redirecionamento como faria para http-01(porta 80a porta 443).



Leave a Comment

Como instalar o Blacklistd no FreeBSD 11.1

Como instalar o Blacklistd no FreeBSD 11.1

Introdução Qualquer serviço conectado à Internet é um alvo em potencial para ataques de força bruta ou acesso injustificado. Existem ferramentas como fail2ba

Como ativar o TLS 1.3 no Apache no Fedora 30

Como ativar o TLS 1.3 no Apache no Fedora 30

Usando um sistema diferente? O TLS 1.3 é uma versão do protocolo TLS (Transport Layer Security) publicada em 2018 como um padrão proposto no RFC 8446

Configurando um Chroot no Debian

Configurando um Chroot no Debian

Este artigo ensinará como configurar uma prisão chroot no Debian. Presumo que você esteja usando o Debian 7.x. Se você estiver executando o Debian 6 ou 8, isso pode funcionar, mas

Como configurar a autenticação de dois fatores (2FA) para SSH no CentOS 6 usando o Google Authenticator

Como configurar a autenticação de dois fatores (2FA) para SSH no CentOS 6 usando o Google Authenticator

Após alterar a porta SSH, configurar a batida na porta e fazer outros ajustes para a segurança SSH, talvez haja mais uma maneira de protegê-lo

Protegendo o MongoDB

Protegendo o MongoDB

O MongoDB não é seguro por padrão. Se você estiver instalando o MongoDB e iniciando-o sem configurá-lo para autenticação, terá um mau momento

Como instalar rkhunter no Ubuntu

Como instalar rkhunter no Ubuntu

Rkhunter é um software que encontra rootkits em um servidor Linux. Os rootkits são instalados por hackers para que eles sempre possam acessar o servidor. Neste documento, você b

Ativando o mod_evasive no Apache

Ativando o mod_evasive no Apache

Mod_evasive é um módulo para o Apache que executa uma ação automaticamente quando um ataque HTTP DoS ou ataque de força bruta é detectado. Mod_evasive é capaz de registrar um

Protegendo o NGINX do ataque Logjam no CentOS

Protegendo o NGINX do ataque Logjam no CentOS

Bem, há outra vulnerabilidade SSL em estado selvagem. Tecnicamente, não é realmente uma vulnerabilidade, é apenas um buraco dentro do protocolo em que confiamos.

Como desativar o SELinux no CentOS 7

Como desativar o SELinux no CentOS 7

SELinux, uma abreviação de Security-Enhanced Linux, é um aprimoramento de segurança do sistema operacional Linux. É um sistema de rotulagem que bloqueia muitas

Configurar o Uncomplicated Firewall (UFW) no Ubuntu 14.04

Configurar o Uncomplicated Firewall (UFW) no Ubuntu 14.04

A segurança é crucial quando você executa seu próprio servidor. Você deseja garantir que apenas usuários autorizados possam acessar seu servidor, configuração e serviços. Eu

Como ativar o TLS 1.3 no Apache no FreeBSD 12

Como ativar o TLS 1.3 no Apache no FreeBSD 12

Usando um sistema diferente? O TLS 1.3 é uma versão do protocolo TLS (Transport Layer Security) publicada em 2018 como um padrão proposto no RFC 8446

Usando Permite Criptografar no OpenBSD 6.1

Usando Permite Criptografar no OpenBSD 6.1

Não é mais necessário que alguém tenha que criar seus próprios certificados SSL, porque agora você pode obter seu próprio certificado SSL válido e gratuito em Let

Como instalar o OSSEC HIDS em um servidor CentOS 7

Como instalar o OSSEC HIDS em um servidor CentOS 7

Introdução O OSSEC é um sistema de detecção de intrusão (HIDS) de código-fonte aberto que executa análise de log, verificação de integridade e registro do Windows

Como ativar o TLS 1.3 no Nginx no FreeBSD 12

Como ativar o TLS 1.3 no Nginx no FreeBSD 12

Usando um sistema diferente? O TLS 1.3 é uma versão do protocolo TLS (Transport Layer Security) publicada em 2018 como um padrão proposto no RFC 8446

Batendo na porta no Debian

Batendo na porta no Debian

Usando um sistema diferente? Até agora, você provavelmente mudou sua porta SSH padrão. Ainda assim, os hackers podem verificar facilmente os intervalos de portas para descobrir essa porta - mas com

Configure o NGINX com ModSecurity no CentOS 6

Configure o NGINX com ModSecurity no CentOS 6

Neste artigo, explicarei como criar uma pilha LEMP protegida pelo ModSecurity. O ModSecurity é um firewall de aplicativo da web de código aberto que é útil para

Trabalhando com recursos do Linux

Trabalhando com recursos do Linux

Introdução Os recursos do Linux são atributos especiais no kernel do Linux que concedem privilégios específicos a processos e executáveis ​​binários que são normais

Como alterar a porta SSH no CoreOS

Como alterar a porta SSH no CoreOS

Alterar a porta SSH pode ajudar a evitar problemas de segurança. Neste guia, você aprenderá como alterar a porta SSH no CoreOS. Etapa 1: Alterando a porta SSH

Como instalar permite criptografar SSL no CentOS 7 executando o servidor da Web Apache

Como instalar permite criptografar SSL no CentOS 7 executando o servidor da Web Apache

Introdução Neste tutorial, você aprenderá o procedimento para instalar o certificado TLS / SSL no servidor da web Apache. Quando terminar, todo o tráfego

A IA pode lutar contra o aumento do número de ataques de ransomware

A IA pode lutar contra o aumento do número de ataques de ransomware

Os ataques de ransomware estão aumentando, mas a IA pode ajudar a lidar com os vírus de computador mais recentes? AI é a resposta? Leia aqui para saber se é AI boone ou bane

ReactOS: Este é o futuro do Windows?

ReactOS: Este é o futuro do Windows?

ReactOS, um sistema operacional de código aberto e gratuito está aqui com a versão mais recente. Será que ela pode atender às necessidades dos usuários modernos do Windows e derrubar a Microsoft? Vamos descobrir mais sobre esse estilo antigo, mas uma experiência de sistema operacional mais recente.

Fique conectado por meio do aplicativo WhatsApp Desktop 24 * 7

Fique conectado por meio do aplicativo WhatsApp Desktop 24 * 7

O Whatsapp finalmente lançou o aplicativo Desktop para usuários de Mac e Windows. Agora você pode acessar o Whatsapp do Windows ou Mac facilmente. Disponível para Windows 8+ e Mac OS 10.9+

Como a IA pode levar a automação de processos ao próximo nível?

Como a IA pode levar a automação de processos ao próximo nível?

Leia isto para saber como a Inteligência Artificial está se tornando popular entre as empresas de pequena escala e como está aumentando as probabilidades de fazê-las crescer e dar vantagem a seus concorrentes.

A atualização do suplemento do macOS Catalina 10.15.4 está causando mais problemas do que resolvendo

A atualização do suplemento do macOS Catalina 10.15.4 está causando mais problemas do que resolvendo

Recentemente, a Apple lançou o macOS Catalina 10.15.4, uma atualização suplementar para corrigir problemas, mas parece que a atualização está causando mais problemas, levando ao bloqueio de máquinas mac. Leia este artigo para saber mais

13 Ferramentas de Extração de Dados Comerciais de Big Data

13 Ferramentas de Extração de Dados Comerciais de Big Data

13 Ferramentas de Extração de Dados Comerciais de Big Data

O que é um sistema de arquivos de registro no diário e como ele funciona?

O que é um sistema de arquivos de registro no diário e como ele funciona?

Nosso computador armazena todos os dados de uma maneira organizada conhecida como sistema de arquivos Journaling. É um método eficiente que permite ao computador pesquisar e exibir arquivos assim que você clicar em search.https: //wethegeek.com/? P = 94116 & preview = true

Singularidade tecnológica: um futuro distante da civilização humana?

Singularidade tecnológica: um futuro distante da civilização humana?

À medida que a ciência evolui em um ritmo rápido, assumindo muitos de nossos esforços, os riscos de nos sujeitarmos a uma singularidade inexplicável também aumentam. Leia, o que a singularidade pode significar para nós.

Uma visão sobre 26 técnicas analíticas de Big Data: Parte 1

Uma visão sobre 26 técnicas analíticas de Big Data: Parte 1

Uma visão sobre 26 técnicas analíticas de Big Data: Parte 1

O impacto da inteligência artificial na saúde 2021

O impacto da inteligência artificial na saúde 2021

A IA na área da saúde deu grandes saltos nas últimas décadas. Portanto, o futuro da IA ​​na área da saúde ainda está crescendo dia a dia.