ให้เข้ารหัส: การโยกย้ายจาก TLS-SNI-01

• ปัญหา
• เปลี่ยนเป็น Simple HTTP
• เปลี่ยนเป็นการตรวจสอบ DNS

Let's Encrypt เป็นบริการฟรีที่สร้างใบรับรองเพื่อรักษาความปลอดภัยเว็บไซต์ของคุณ รองรับการสร้างใบรับรองประเภทต่างๆรวมถึงโดเมนเดียวและไวด์การ์ด นอกจากนี้ยังมีวิธีการมากมายในการตรวจสอบสิทธิ์โดเมนของคุณเพื่อสร้างใบรับรอง

• http-01 (HTTP ธรรมดา)
• dns-01 (การตรวจสอบความถูกต้อง DNS)
• tls-sni-01(การตรวจสอบความถูกต้องโดยใช้ใบรับรองที่ลงนามเอง - เลิกใช้แล้ว )

ปัญหา

น่าเสียดายที่ค้นพบช่องโหว่ในเดือนมกราคมปี 2018 ซึ่งเป็นไปได้ที่จะสร้างใบรับรองสำหรับโดเมนโดยไม่ต้องมีการตรวจสอบสิทธิ์ / การอนุญาตก่อน ตัวอย่างเช่นสามารถสร้างใบรับรองสำหรับโดเมนที่คุณไม่ได้เป็นเจ้าของจริง

หลังจากนั้นไม่นานโปรโตคอล ( tls-sni-01) ถูกยกเลิกและการออกใหม่ (ใบรับรองใหม่) ส่วนใหญ่ถูกปิดกั้นจากการใช้โปรโตคอลในการตรวจสอบสิทธิ์

เปลี่ยนเป็น Simple HTTP

การสลับไปใช้http-01หรือการรับรองความถูกต้อง "Simple HTTP" นั้นค่อนข้างง่าย หากคุณกำลังใช้certbot-autoเพื่อสร้างใบรับรองของคุณ Let's Encrypt จะสร้างใบรับรองใหม่แล้วหรือจะทำโดยอัตโนมัติในช่วง "ต่ออายุ" ครั้งถัดไป

หากคุณกำลังใช้certbotคุณควรใช้--preferred-challengeพารามิเตอร์:

certbot (...) --prefered-challenge

นี้จะบอก Let 's http-01เข้ารหัสเพื่อสลับไปยัง

เปลี่ยนเป็นการตรวจสอบ DNS

หากคุณต้องการหลีกเลี่ยงความยุ่งยากทั้งหมดนี้การกำหนดค่าการตรวจสอบ DNS ของ Let's Encrypt นั้นค่อนข้างง่าย เมื่อดำเนินการcertbotให้เพิ่ม--preferred-challenges dnsเป็นพารามิเตอร์:

certbot -d example.com --manual --preferred-challenges dns

certbot จะพิมพ์สิ่งที่คล้ายกับสิ่งต่อไปนี้:

Please deploy a DNS TXT record under the name
_acme-challenge.example.com with the following value:

(random_string)

Once this is deployed,
Press ENTER to continue

เมื่อคุณเพิ่มบันทึกกับผู้ให้บริการ DNS ENTERของคุณตี จากนั้นคุณจะต้องตั้งค่างาน CRON เพื่อต่ออายุใบรับรองของคุณโดยอัตโนมัติ เนื่องจากมีการใช้การตรวจสอบความถูกต้องของ DNS คุณจะไม่ต้องกังวลเกี่ยวกับการเปลี่ยนเส้นทางตามที่คุณต้องการhttp-01(พอร์ต80ไปยังพอร์ต443)