Permite criptarea: migrarea de la TLS-SNI-01

• Problema
• Trecerea la HTTP simplu
• Trecerea la validarea DNS

Let's Encrypt este un serviciu gratuit care generează certificate pentru securizarea site-ului dvs. web. Acceptă generarea de tipuri diferite de certificate, inclusiv un singur domeniu și wildcard. În plus, are numeroase metode de autentificare a domeniului dvs. pentru a genera un certificat.

• http-01 (HTTP simplu)
• dns-01 (Validare DNS)
• tls-sni-01(Validare prin utilizarea unui certificat auto-semnat - acum epuizat )

Problema

Din păcate, o vulnerabilitate a fost descoperită în ianuarie 2018 în care a devenit posibilă generarea de certificate pentru domenii fără autentificare / autorizare prealabilă. De exemplu, certificate pot fi generate pentru domenii pe care nu le dețineți de fapt.

La scurt timp, protocolul ( tls-sni-01) a fost întrerupt și majoritatea emisiilor noi (noi certificate) au fost blocate de la utilizarea protocolului pentru autentificare.

Trecerea la HTTP simplu

Trecerea la http-01sau autentificarea „HTTP simplu” este destul de simplă. Dacă utilizați certbot-autopentru a vă genera certificatele, Let's Encrypt va fi deja generat un nou certificat sau o va face automat în următoarea „reînnoire”.

Dacă utilizați certbot, ar trebui să utilizați --preferred-challengeparametrul:

certbot (...) --prefered-challenge

Acest lucru va spune Let's Encrypt să treacă la http-01.

Trecerea la validarea DNS

Dacă doriți să evitați toate aceste probleme, este relativ ușor să configurați validarea DNS a Let's Encrypt. Când executați certbot, adăugați --preferred-challenges dnsca parametru:

certbot -d example.com --manual --preferred-challenges dns

certbot va tipări ceva similar cu următoarele:

Please deploy a DNS TXT record under the name
_acme-challenge.example.com with the following value:

(random_string)

Once this is deployed,
Press ENTER to continue

După ce adăugați înregistrarea cu furnizorul DNS, apăsați ENTER. Apoi, va trebui să configurați o lucrare CRON pentru a vă reînnoi automat certificatul. Deoarece validarea DNS a fost utilizată, nu va trebui să vă faceți griji cu privire la redirecționarea așa cum v-ar face http-01, (port 80la port 443).