Phenquestions
Een veilig internet is nu ieders eis. We geven de voorkeur aan HTTPS boven HTTP omdat HTTPS-verbindingen zijn beveiligd met SSL. Gegevens die via HTTPS worden verzonden, kunnen niet worden gezien door derden of tussenpartijen. De gegevens zijn versleuteld en alleen de echte client en de server kunnen de gegevens in niet-versleutelde originele vorm zien. Tegenwoordig geven zoekmachines ook beveiligde websites meer prioriteit en dus helpt het bij SEO.
Iedereen kan een SSL-certificaat maken met een paar commandoregels of met een paar muisklikken. Maar om te vertrouwen moet een certificaat worden verstrekt door een erkende certificeringsinstantie. Het proces van het behalen van een certificaat kost tijd en geld. Soms zijn de kosten erg hoog, afhankelijk van de certificeringsinstantie en uw vereisten.
U zou de gegevens tussen uw webapplicatie en de eindgebruikers kunnen versleutelen door zelf certificaten aan te maken. Maar zo gaat het niet in de wereld van domein- en serversysteem. Uw certificaat moet worden gecertificeerd door een vertrouwde derde partij. Maar het proces zou niet ingewikkeld moeten zijn als de toegang tot internet dat niet is. We zijn ook niet bereid om die extra kosten te betalen voor het verkrijgen van een certificaat dat we gratis met onze eigen hand kunnen maken.
Maar uiteindelijk kunnen we die derde partijen niet omzeilen. Webbrowsers en andere clienttoepassingen vertrouwen de certificaten die door onze eigen handen zijn gemaakt niet not. Ze vertrouwen degenen die zijn verstrekt en ondertekend door die derde partijen die certificeringsinstanties worden genoemd. We hebben een oplossing voor ons probleem. Er is een certificeringsinstantie (CA) genaamd Let's Encrypt die probleemloze (in behandeling zijnde) en gratis TLS/SSL-certificaten levert. U vraagt gewoon een certificaat voor uw website aan met behulp van verschillende methoden die in deze tutorial worden getoond om gratis certificaten voor uw domeinen te krijgen en u bent klaar om te gaan. In tegenstelling tot andere moeten de certificaten van Let's Encrypt elke drie maanden worden bijgewerkt (90 dagen om precies te zijn). U kunt een script op uw server of VPS uitvoeren om het certificaat na enige tijd automatisch bij te werken om dit verlengingsprobleem te beheren.
Let's Encrypt-certificaat verkrijgen
Als u uw website host op een VPS of op een platform waar u shell-toegang heeft, kunt u een certificaat verkrijgen bij de officiële Certbot ACME-client. Als u zich in een gedeelde hostingomgeving bevindt, moet uw hostingprovider geautomatiseerde ondersteuning bieden voor Let's Encrypt-certificaten. De meeste populaire shared hosting providers bieden ondersteuning voor Let's Encrypt-certificaten en vernieuwen het certificaat automatisch voor je. Als uw hostingprovider hiervoor geen geautomatiseerde ondersteuning biedt, kunt u hiervoor contact met hen opnemen. De meeste hostingproviders hebben ook enkele plaatsen in hun beheerderspaneel waar u uw certificaatbestanden kunt uploaden. Controleer in welke categorie je valt en ga dienovereenkomstig.
Certbot Let's Encrypt Client
Certbot is de populairste Let's Encrypt-client. Het is beschikbaar op de meeste grote Linux-distributies. Hier laat ik zien hoe je Certbot op een Ubuntu-machine installeert. Om de nieuwste versie van certbot te krijgen, voegt u de ppa-repository toe met de volgende opdracht:.
sudo add-apt-repository ppa:certbot/certbot
Werk de pakketlijst bij voor de nieuwe wijziging:
sudo apt-get update
Installeer nu certbot samen met zijn apache- en nginx-plug-ins:
sudo apt-get install certbot python-certbot-apache python-certbot-nginx
Certbot kan automatisch certificaten ophalen en configureren voor Apache en Nginx. Stel dat u een certificaat wilt ophalen voor www.voorbeeld.com en update de Apache-configuratie. U hoeft alleen de volgende opdracht uit te voeren:.
sudo certbot --apache -d www.voorbeeld.com
Certbot zal u enkele noodzakelijke vragen stellen, een uitdaging uitvoeren en het certificaat voor u ophalen. Het zal de configuratie voor de Apache-webserver bijwerken en Apache opnieuw laden. Om te testen of dingen goed werken of niet, bezoek https://www.voorbeeld.com.
Certificaten vernieuwen
Let's Encrypt-certificaten zijn slechts 90 dagen geldig. U moet de certificaten dus meerdere keren per jaar bijwerken. Het is heel eenvoudig om certificaten bij te werken met certbot. Voer de volgende opdrachten uit om alle certificaten op uw server bij te werken:
sudo certbot vernieuwen
Maar het is geen goede manier om dat handmatig bij te werken. Als je een managed/shared hosting hebt en dat platform heeft ingebouwde ondersteuning om de Let's Encrypt-certificaten bij te werken, dan hoef je niets met de hand te doen. Wanneer je dit doet op een VPS, dedicated server of een ander systeem waar je shell-toegang hebt, dan kun je cron gebruiken om deze taak periodiek te automatiseren.
Let's Encrypt gebruiken met andere clients
ACME is een open protocol. Het heeft ook goede documentatie. Er zijn veel clients voor Let's Encrypt-certificaten en velen zijn in ontwikkeling. Als je interesse hebt in het ontwikkelen van een klant, kun je dat gemakkelijk op je eigen manier doen. Als je een beetje Python kent, kun je de broncode van certbot bekijken en een aangepaste voor jezelf maken. Er is ook een lijst met ACME-clients op de website van Let's Encrypt.
Ga naar deze link om de lijst te bekijken en te beslissen welke alternatieve oplossing je wilt gebruiken. Bijna geen van hen heeft alle zoetheid van certbot. Maar sommige hebben een aantal unieke kenmerken die u kunnen aantrekken. Als je een programmeur bent en een aantal unieke vereisten hebt, probeer die dan zelf te implementeren.
Handmatige methode:
Sommige hostingproviders staan alleen handmatig uploaden van certificaten toe. In dat geval moet u de certificaten handmatig ophalen van Let's Encrypt en ze uploaden via uw hostingbeheerdersdashboard (of welk mechanisme ze ook bieden). Om het certificaatbestand op te halen, moet u de 'manual' certbot-plug-in gebruiken en de parameter 'certonly' specificeren. Met de handmatige methode moet je bewijzen dat het domein waarvoor je een certificaat aanvraagt echt van jou is. De plug-in kan de http-, dns- of de tls-sni-uitdaging gebruiken. U kunt de -voorkeursuitdagingen optie om de uitdaging van uw voorkeur te kiezen. Als je de voorkeur geeft aan http methode, dan zal het je vragen om een bestand met gespecificeerde inhoud in een map van je website/webserver te plaatsen. Verifieer uw eigendom en beantwoord andere vragen om uw certificaat te krijgen.
certbot certonly --manual
U kunt ook opdrachtregelparameters opgeven om akkoord te gaan met de servicevoorwaarden en het certificaat te vernieuwen.
Als je pech hebt
Sommige hostingproviders bieden geen manier om die extra 's' aan uw 'http' toe te voegen - ik bedoel, ze bieden geen manier om ssl-certificaten toe te voegen. Voor sommigen moet u de certificaatbestanden handmatig uploaden. Een voorbeeld is Google App Engine en een ander is OpenShift. Maar het is een gedoe om het certificaat elke 90 dagen opnieuw te uploaden. Misschien vergeet je het soms. Nogmaals, als je meer dan een of twee websites hebt, is de kans groter dat je het vergeet. Ook als u niet vertrouwd bent met de opdrachtregel of niet vertrouwd bent met het werken met de servers via SSH-shells, heeft u opnieuw pech.
Conclusie
Let's Encrypt heeft het leven van webmasters gemakkelijker gemaakt door een manier te bieden om de certificaten onmiddellijk te verkrijgen in plaats van te wachten op goedkeuring van de CA's na het indienen van het verzoek. Een ander voordeel is dat je het allemaal gratis krijgt. Met al het goede, vergeet niet om het certificaat elke 90 dagen bij te werken. Anders kunnen uw gebruikers een rood signaal krijgen en kunt u daardoor wat publiek/klanten verliezen. U kunt het certificaat ook om de paar dagen vernieuwen, maar dat kan de limiet bereiken en het kan zijn dat u uw certificaat enige tijd niet verlengt. Dus wees voorzichtig met het gebruik van zo'n geweldige service.
