Permite criptarea: migrarea de la TLS-SNI-01

Let's Encrypt este un serviciu gratuit care generează certificate pentru securizarea site-ului dvs. web. Acceptă generarea de tipuri diferite de certificate, inclusiv un singur domeniu și wildcard. În plus, are numeroase metode de autentificare a domeniului dvs. pentru a genera un certificat.

  • http-01 (HTTP simplu)
  • dns-01 (Validare DNS)
  • tls-sni-01(Validare prin utilizarea unui certificat auto-semnat - acum epuizat )

Problema

Din păcate, o vulnerabilitate a fost descoperită în ianuarie 2018 în care a devenit posibilă generarea de certificate pentru domenii fără autentificare / autorizare prealabilă. De exemplu, certificate pot fi generate pentru domenii pe care nu le dețineți de fapt.

La scurt timp, protocolul ( tls-sni-01) a fost întrerupt și majoritatea emisiilor noi (noi certificate) au fost blocate de la utilizarea protocolului pentru autentificare.

Trecerea la HTTP simplu

Trecerea la http-01sau autentificarea „HTTP simplu” este destul de simplă. Dacă utilizați certbot-autopentru a vă genera certificatele, Let's Encrypt va fi deja generat un nou certificat sau o va face automat în următoarea „reînnoire”.

Dacă utilizați certbot, ar trebui să utilizați --preferred-challengeparametrul:

certbot (...) --prefered-challenge

Acest lucru va spune Let's Encrypt să treacă la http-01.

Trecerea la validarea DNS

Dacă doriți să evitați toate aceste probleme, este relativ ușor să configurați validarea DNS a Let's Encrypt. Când executați certbot, adăugați --preferred-challenges dnsca parametru:

certbot -d example.com --manual --preferred-challenges dns

certbot va tipări ceva similar cu următoarele:

Please deploy a DNS TXT record under the name
_acme-challenge.example.com with the following value:

(random_string)

Once this is deployed,
Press ENTER to continue

După ce adăugați înregistrarea cu furnizorul DNS, apăsați ENTER. Apoi, va trebui să configurați o lucrare CRON pentru a vă reînnoi automat certificatul. Deoarece validarea DNS a fost utilizată, nu va trebui să vă faceți griji cu privire la redirecționarea așa cum v-ar face http-01, (port 80la port 443).



Leave a Comment

Folosind cheia SSH pentru a vă conecta la utilizatori non-root

Folosind cheia SSH pentru a vă conecta la utilizatori non-root

Vultr oferă o caracteristică care vă permite să preinstalați cheile SSH la crearea unei noi instanțe. Acest lucru vă permite să accesați utilizatorul root al serverelor, totuși

Configurarea unui chroot pe Debian

Configurarea unui chroot pe Debian

Acest articol vă va învăța cum să configurați o închisoare chroot pe Debian. Presupun că utilizați Debian 7.x. Dacă executați Debian 6 sau 8, acest lucru poate funcționa, bine

Cum se activează TLS 1.3 în Apache pe Debian 10

Cum se activează TLS 1.3 în Apache pe Debian 10

Folosind un sistem diferit? TLS 1.3 este o versiune a protocolului Transport Layer Security (TLS) care a fost publicat în 2018 ca standard propus în RFC 8446

Securizarea MongoDB

Securizarea MongoDB

MongoDB nu este securizat implicit. Dacă instalați MongoDB și îl lansați fără a-l configura pentru autentificare, veți avea parte de un moment rău

Cum să securizați mai mult SSH cu o secvență de port-knocking pe Ubuntu 18.04

Cum să securizați mai mult SSH cu o secvență de port-knocking pe Ubuntu 18.04

Folosind un sistem diferit? Introducere Pe lângă schimbarea portului implicit pentru SSH și folosirea unei perechi de chei pentru autentificare, se poate folosi butonarea t

Cum se activează TLS 1.3 în Apache pe FreeBSD 12

Cum se activează TLS 1.3 în Apache pe FreeBSD 12

Folosind un sistem diferit? TLS 1.3 este o versiune a protocolului Transport Layer Security (TLS) care a fost publicat în 2018 ca standard propus în RFC 8446

Cum să configurați autentificarea cu doi factori (2FA) pentru SSH pe Ubuntu 14.04 folosind Google Authenticator

Cum să configurați autentificarea cu doi factori (2FA) pentru SSH pe Ubuntu 14.04 folosind Google Authenticator

Folosind un sistem diferit? Există mai multe moduri de a vă conecta la un server prin SSH. Metodele includ conectarea prin parolă, autentificarea bazată pe cheie și două facto

Securizarea SSH pe Ubuntu 14.04

Securizarea SSH pe Ubuntu 14.04

După crearea unui server nou, există câteva modificări de configurare pe care ar trebui să le faceți pentru a întări securitatea serverului. Creați un utilizator nou ca roo

Instalare LetsEncrypt pe Linux

Instalare LetsEncrypt pe Linux

LetsEncrypt este o autoritate de certificare cu un client automat. Pe scurt, acest lucru înseamnă că vă puteți asigura site-urile web fără costuri. Așa este, poți g

Configurați Apache cu certificat TLS / SSL autofirmat pe Ubuntu 16.04

Configurați Apache cu certificat TLS / SSL autofirmat pe Ubuntu 16.04

SSL și succesorul său TLS (Secure Sockets Layer / Transport Layer Security) adaugă un strat de criptare între client și server. Fără asta

Cum se instalează OpenVAS Vulnerability Scanner pe Ubuntu 16.04

Cum se instalează OpenVAS Vulnerability Scanner pe Ubuntu 16.04

Introducere OpenVAS este o suită open source care poate fi utilizată pentru scanarea vulnerabilității și gestionarea vulnerabilităților. Reprezintă Open Vulnerabilit

Cum dezactivați SELinux pe CentOS 7

Cum dezactivați SELinux pe CentOS 7

SELinux, o prescurtare a securității Linux îmbunătățită, este o îmbunătățire a securității pentru sistemul de operare Linux. Este un sistem de etichetare care blochează multe sisteme

Generarea cheilor SSH pe macOS Sierra (10.12) și Sierra Alta (10.13)

Generarea cheilor SSH pe macOS Sierra (10.12) și Sierra Alta (10.13)

Acest tutorial vă va arăta cum să generați și securizați cheile SSH pe macOS Sierra (10.12) și macOS High Sierra (10.13). Tastele SSH vă permit să vă autentificați

Cum se instalează Ntopng pe Ubuntu 16.04

Cum se instalează Ntopng pe Ubuntu 16.04

Introducere Ntopng este un instrument open source utilizat pentru monitorizarea diferitelor protocoale de rețea de pe serverele dvs. Este versiunea următoare a generației originare

Securizarea unui server Apache pe CentOS 6

Securizarea unui server Apache pe CentOS 6

Este ușor să efectuați comenzi rapide atunci când securizați un server, dar riscați pierderea de date în cazul în care un atacator câștigă acces root la oricare dintre serverele dvs. ajun

Portul bate pe Debian

Portul bate pe Debian

Folosind un sistem diferit? Până acum, probabil că ați schimbat portul SSH implicit. Totuși, hackerii pot scana cu ușurință intervalele de porturi pentru a descoperi acel port - dar înțelepciune

Activarea mod_evasive pe Apache

Activarea mod_evasive pe Apache

Mod_evasive este un modul pentru Apache care acționează automat atunci când este detectat un atac HTTP DoS sau un atac de forță brută. Mod_evasive este capabil să se înregistreze

Cum se activează TLS 1.3 în Apache pe CentOS 8

Cum se activează TLS 1.3 în Apache pe CentOS 8

Folosind un sistem diferit? TLS 1.3 este o versiune a protocolului Transport Layer Security (TLS) care a fost publicat în 2018 ca standard propus în RFC 8446

Cum să vă testați configurația firewallului cu Nmap pe Linux

Cum să vă testați configurația firewallului cu Nmap pe Linux

Introducere Nmap este un scaner de securitate de rețea gratuit și foarte popular. Este ușor de utilizat și foarte puternic. Acest articol va explica instalarea an

O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1

O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1

O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1

6 lucruri extrem de nebunești despre Nintendo Switch

6 lucruri extrem de nebunești despre Nintendo Switch

Mulți dintre voi cunoașteți Switch care va fi lansat în martie 2017 și noile sale funcții. Pentru cei care nu știu, am pregătit o listă de funcții care fac din „Switch” un „gadget obligatoriu”.

Promisiuni tehnologice care sunt încă nelivrate

Promisiuni tehnologice care sunt încă nelivrate

Aștepți ca giganții tehnologiei să-și îndeplinească promisiunile? vezi ce a ramas nelivrat.

Funcționalitățile straturilor arhitecturii de referință pentru Big Data

Funcționalitățile straturilor arhitecturii de referință pentru Big Data

Citiți blogul pentru a cunoaște diferitele straturi din Arhitectura Big Data și funcționalitățile acestora în cel mai simplu mod.

Cum poate AI să ducă automatizarea proceselor la următorul nivel?

Cum poate AI să ducă automatizarea proceselor la următorul nivel?

Citiți asta pentru a afla cum devine populară inteligența artificială în rândul companiilor la scară mică și cum crește probabilitățile de a le face să crească și de a le oferi concurenților avantaje.

CAPTCHA: Cât timp poate rămâne o tehnică viabilă pentru distincția uman-AI?

CAPTCHA: Cât timp poate rămâne o tehnică viabilă pentru distincția uman-AI?

CAPTCHA a devenit destul de dificil de rezolvat pentru utilizatori în ultimii ani. Va fi capabil să rămână eficient în detectarea spam-ului și a botului în viitor?

Singularitatea tehnologică: un viitor îndepărtat al civilizației umane?

Singularitatea tehnologică: un viitor îndepărtat al civilizației umane?

Pe măsură ce Știința Evoluează într-un ritm rapid, preluând multe dintre eforturile noastre, crește și riscurile de a ne supune unei Singularități inexplicabile. Citiți, ce ar putea însemna singularitatea pentru noi.

Telemedicină și îngrijire medicală la distanță: viitorul este aici

Telemedicină și îngrijire medicală la distanță: viitorul este aici

Ce este telemedicina, îngrijirea medicală la distanță și impactul acesteia asupra generației viitoare? Este un loc bun sau nu în situația de pandemie? Citiți blogul pentru a găsi o vedere!

Te-ai întrebat vreodată cum câștigă hackerii bani?

Te-ai întrebat vreodată cum câștigă hackerii bani?

Poate ați auzit că hackerii câștigă mulți bani, dar v-ați întrebat vreodată cum câștigă acești bani? sa discutam.

Actualizarea suplimentului macOS Catalina 10.15.4 cauzează mai multe probleme decât rezolvă

Actualizarea suplimentului macOS Catalina 10.15.4 cauzează mai multe probleme decât rezolvă

Recent, Apple a lansat macOS Catalina 10.15.4 o actualizare suplimentară pentru a remedia problemele, dar se pare că actualizarea provoacă mai multe probleme care duc la blocarea mașinilor Mac. Citiți acest articol pentru a afla mai multe