DŮVĚŘOVAT je slovo, které nás napadne, když mluvíme o certifikační autoritě. StartSSL, certifikační autorita, která poskytuje bezplatný SSL certifikát s platností jednoho roku pro nekomerční použití. Iniciativa, jejímž cílem bylo zabezpečit internetový provoz, nyní ztratila DŮVĚRU – StartSSL nedůvěřuje! CA ztratila důvěru během října 2016 – níže je prohlášení společnosti Mozilla. Podívejte se na níže uvedenou aktualizaci týkající se ukončení služby SSL společnosti StartCom.
Mozilla zjistila, že certifikační autorita (CA) s názvem WoSign měla řadu technických a manažerských selhání. A co je nejvážnější, zjistili jsme, že se starali o certifikáty SSL, aby se dostali do termínu, kdy CA přestanou vydávat certifikáty SHA-1 SSL do 1. ledna 2016. Mozilla navíc zjistila, že WoSign získal plné vlastnictví jiné CA s názvem StartCom a nepodařilo se jí zveřejnit to, jak to vyžadují zásady Mozilly.
Přečtěte si více.
Také prohlášení od společnosti Google.
Google zjistil, že dvě certifikační autority, WoSign a StartCom, nedodržely vysoké standardy očekávané od certifikačních autorit a Google Chrome jim již nebude důvěřovat
Přečtěte si více.
Mám certifikát SSL vydaný společností StartSSL, ovlivní to můj web?
Odpověď je ANO a NE .
Ano , pokud byl váš certifikát vydán po 21. říjnu 2016 00:00:00 UTC. Protože jim prohlížeče nedůvěřují.
Ne , pokud byl váš certifikát vydán před 21. říjnem 2016 00:00:00 UTC. Prohlížeče mohou nadále důvěřovat, pokud splňují zásady prohlížeče. Ale to je riskantní, protože nikdy nevíte, kdy jim prohlížeče přestanou důvěřovat.
Platnost certifikátu vydaného společností StartSSL brzy vyprší a jeho obnovení vyřeší problém?
Ne! Ve skutečnosti tento web používal certifikát vydaný společností StartSSL a měl být obnoven. A ve chvíli, kdy jsem se to pokusil obnovit, řekl StartSSL toto.
StartSSL CA byla nedůvěra v říjnu 2016 a za šest měsíců je duben 2017. Očekával jsem tedy, že společnost provedla nezbytné změny, aby byla v souladu se zásadami CA, a společnosti Google, Mozilla a Apple byly požádány o přehodnocení. Ale bohužel tomu tak nebylo. Obnovil jsem a nainstaloval(a) jsem nový certifikát, aby se mi zobrazilo pouze bezpečnostní upozornění prohlížeče.
Budou certifikáty StartSSL znovu důvěryhodné?
Snad po pár měsících. Ale už je to šest měsíců, co tomu bylo nedůvěřováno a certifikáty vydané ani po 6 měsících nejsou prohlížečem důvěryhodné. Odeslali žádost společnosti Google, Mozilla a Apple k opětovnému posouzení? Ani oficiální web StartSSL neuvádí, kdy bude autorita opět důvěryhodná, ale stále prodávají certifikáty. Prozatím se však použití StartSSL nedoporučuje.
Aktualizace z 2. prosince 2017: Služba StartSSL společnosti StartCom byla ukončena! Níže je e-mail od StartCom týkající se ukončení jejich služby.
Jaká je tedy alternativa?
Alternativy pro StartSSL
a) Můžete si zakoupit komerční certifikát od důvěryhodných poskytovatelů certifikátů.
(nebo)
b) Vyberte jiného bezplatného poskytovatele certifikátů – například LetsEncrypt.
Jak zabezpečit svůj web pomocí LetsEncrypt?
LetsEncrypt je bezplatná, automatizovaná a otevřená certifikační autorita, která poskytuje certifikát SSL s platností 90 dní.
Instalace certifikátu LetsEncrypt je velmi jednoduchá. Vše, co musíte udělat, je použít Certbot – skript, který automaticky požaduje certifikát od LetsEncrypt a povoluje HTTPS na vašem webu. Certbot podporuje Apache, Ngnix a Haproxy.
Krok 1 :Stáhněte si Certbot
# wget https://dl.eff.org/certbot-auto
Krok 2 :Nastavte oprávnění ke spuštění
# chmod a+x certbot-auto
Krok 3 :Zkontrolujte různé možnosti podporované skriptem.
# ./certbot-auto -h
Skript podporuje plugin pro webové servery, jak je uvedeno níže:
--apache Use the Apache plugin for authentication & installation --standalone Run a standalone webserver for authentication --nginx Use the Nginx plugin for authentication & installation --webroot Place files in a server's webroot folder for authentication --manual Obtain certs interactively, or using shell script hooks
Ve výchozím nastavení skript získá a nainstaluje certifikát na váš aktuální webový server. V případě, že potřebujete certifikát získat a nechcete jej instalovat na webový server, použijte pouze možnost, jak je uvedeno níže:
# ./certbot-auto --apache certonly
Testování a běh nasucho: Níže uvedené možnosti lze použít k vyžádání zkušebního certifikátu a provedení zkušebního obnovení certifikátu nasucho.
--test-cert Obtain a test cert from a staging server --dry-run Test "renew" or "certonly" without saving any certs to disk
Certbot nepodporuje více virtuálních hostitelů v jednom konfiguračním souboru
certbot skript potřebuje, aby byly všechny vaše domény nakonfigurovány v samostatném konfiguračním souboru virtuálních hostitelů. Například jsem nastavil VirtualHosts pro všechny své domény (včetně primární domény a subdomén) v httpd.conf soubor – jeden soubor obsahující více vhostů. V tomto případě certbot skriptu se podařilo získat certifikát pro všechny domény, ale nedokázal se ověřit pro instalaci na webový server. Podle tohoto vlákna bylo chování záměrné, aby se předešlo chybám při instalaci certifikátů. Pokud tedy máte v jednom souboru nakonfigurováno více virtuálních hostitelů, musíte jej před spuštěním certbot-auto rozdělit do různých souborů virtuálních hostitelů příkaz.
Získejte certifikát od LetsEncrypt and Install
# ./certbot-auto Obtaining a new certificate Performing the following challenges: tls-sni-01 challenge for domaina.com tls-sni-01 challenge for sub.domainb.com Waiting for verification... Cleaning up challenges Generating key (2048 bits): /etc/letsencrypt/keys/0000_key-certbot.pem Creating CSR: /etc/letsencrypt/csr/0000_csr-certbot.pem Deploying Certificate for domaina.com to VirtualHost /etc/httpd/conf.d/domaina-com.conf Deploying Certificate for domainb.com to VirtualHost /etc/httpd/conf.d/domainb-com.conf
Kde jsou certifikáty uloženy?
Všechny živé certifikáty budou uloženy pod /etc/letsencrypt/live/ . Prohlédněte si také další adresáře v /etc/letsencrypt .
[letsencrypt] # ls accounts archive csr keys live options-ssl-apache.conf renewal
Jaká je platnost certifikátů vydaných LetsEncrypt?
Použijte openssl příkaz k ověření platnosti certifikátu, jak je uvedeno níže:
# openssl x509 -startdate -enddate -in /etc/letsencrypt/live/domaina.com/cert.pem notBefore=May 4 09:29:00 2017 GMT notAfter=Aug 2 09:29:00 2017 GMT
Obnovit certifikáty
Vzhledem k tomu, že platnost certifikátu vydaného Let’s Encrypt vyprší za 90 dní, musíte certifikát před vypršením platnosti automaticky obnovit. „obnovení Možnost ‘ vám umožní obnovit certifikáty a –suchý provoz vám pomůže simulovat proces obnovy.
$./certbot-auto renew
Simulovat obnovení certifikátu:
$./certbot-auto renew --dry-run ------------------------------------------------------------------------------- Processing /etc/letsencrypt/renewal/domaina.com.conf ------------------------------------------------------------------------------- Cert not due for renewal, but simulating renewal for dry run Renewing an existing certificate Performing the following challenges: tls-sni-01 challenge for domaina.com Waiting for verification... Cleaning up challenges Generating key (2048 bits), not saving to file Creating CSR: not saving to file ------------------------------------------------------------------------------- new certificate deployed with reload of apache server; fullchain is /etc/letsencrypt/live/domaina.com/fullchain.pem ------------------------------------------------------------------------------- ** DRY RUN: simulating 'certbot renew' close to cert expiry ** (The test certificates below have not been saved.) Congratulations, all renewals succeeded. The following certs have been renewed: /etc/letsencrypt/live/domaina.com/fullchain.pem (success) ** DRY RUN: simulating 'certbot renew' close to cert expiry ** (The test certificates above have not been saved.) IMPORTANT NOTES: - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal.
Nastavení úlohy Cron pro automatické obnovení certifikátu
# crontab -e
A přidejte následující řádky:
0 0 * * * /usr/bin/certbot-auto renew 30 13 * * * /usr/bin/certbot-auto renew
Poznámka :Nezapomeňte nastavit správnou cestu na certbot-auto skript a zajistěte cron probíhá dvakrát denně. No, certbot-auto neprovede nic, pokud certifikát není určen k obnovení.