Lets Encrypt - Създайте безплатни SSL сертификати за бедни хора

Какво е SSL? Какво е Let's Encrypt? Ако създавате уебсайт с цел да печелите пари, моля, прочетете тази статия.

Преди да научите за Let's Encrypt, трябва да знаете какво е SSL, значението му за уебсайтовете и защо „бедните хора“ все още имат нужда от SSL за своите уебсайтове?

По-конкретно: Какво е SSL? Важен ли е SSL за уебсайтовете?

На този етап по подразбиране вече разбирате много добре SSL и търсите безплатен SSL за уебсайта си, така че е време да знаете за Let's Encrypt.

Какво е Let's Encrypt?

Let's Encrypt е безплатен, автоматизиран доставчик на SSL сертификати, който работи в полза на общността. Той се управлява от Internet Security Research Group (ISRG).

Let's Encrypt предоставя на администраторите на уебсайтове цифровия сертификат, необходим за активиране на HTTPS (SSL или TLS) за техния уебсайт, напълно безплатно и по възможно най-удобния за потребителя начин. Всичко се основава на целта за създаване на по-сигурна, частна и уважителна уеб среда за потребителите.

Let's Encrypt предоставя SSL сертификат за валидиране на домейн, което означава, че след инсталирането вашият уебсайт ще има синя ключалка в адресната лента на браузъра, когато потребителите го осъществят.

• Какви видове SSL сертификати има?

Ползи от използването на Let's Encrypt

• Безплатно: Докато притежавате име на домейн, можете да използвате Let's Encrypt, за да получите доверен сертификат, без да харчите нито стотинка.
• Автоматично: Софтуерът, работещ на уеб сървъра, може да взаимодейства с Let's Encrypt, за да получи бързо сертификати, да ги конфигурира сигурно за използване и автоматично да ги замени, когато е необходимо.
• Сигурно: Let's Encrypt ще действа като платформа, популяризираща най-доброто от TLS, както от страна на CA (Сертифициращ орган), така и помагайки на операторите на уебсайтове да защитят правилно своите сървъри.
• Прозрачност: Всички издадени или отменени сертификати ще бъдат публично записани и могат да бъдат проверявани от всеки.
• Без ограничения: Протоколът за автоматично издаване и подновяване ще бъде публикуван като публичен стандарт и може да бъде възприет от други.
• Сътрудничество: Подобно на други основни интернет протоколи, Let's Encrypt се стреми да бъде от полза за общността и не е под контрола на нито една организация.

Как Let's Encrypt генерира безплатни SSL сертификати?

Целта на Let's Encrypt и протокола ACME е да настроят HTTPS сървър и той автоматично да получи доверен сертификат в браузъра без човешка намеса. Това става чрез стартиране на мениджър на сертификати на уеб сървъра.

За да разберете как работи технологията Let's Encrypt, нека преминем през процеса на настройка на уебсайт https://example.com/ с мениджър на сертификати, който поддържа Let's Encrypt.

Има 2 стъпки в този процес. Първо, мениджърът ще докаже на CA, че уеб сървърът контролира име на домейн. След това мениджърът може да поиска, поднови или отмени сертификата за този домейн.

Потвърдете името на домейна:

Let's Encrypt идентифицира администрацията на сървъра с публичен ключ. Първият път, когато софтуерът за управление взаимодейства с Let's Encrypt, той генерира нова двойка ключове и доказва на Let's Encrypt CA, че сървърът контролира един или повече домейни. Това е подобно на традиционния процес на CA за създаване на акаунт и добавяне на име на домейн към този акаунт.

За да започне този процес, мениджърът иска от Let's Encrypt CA информацията, необходима, за да докаже, че контролира example.com. Let's Encrypt ще прегледа и направи заявки, трябва да го завършите, за да докажете, че имате контрол върху името на домейна. Имате две възможности:

• Предоставете DNS запис под името example.com
• Предоставете HTTP източника под известен URL адрес на https://example.com/

След като изпълни изискванията, Let's Encrypt ще предостави на мениджъра на сертификати частна двойка ключове, за да докаже, че контролира двойката ключове.

В този момент мениджърът поставя файл на пътя, посочен на уебсайта https://example.com. Мениджърът също така подписва частен ключ, който след завършване уведомява CA, че е приключил валидирането.

Следващата работа на CA е да провери дали дадените изисквания са изпълнени или не. CA проверява подписа, опитва се да изтегли файла от уеб сървъра и се уверява, че получава желаното съдържание.

Ако подписът е валиден, изискванията са изпълнени и мениджърът, идентифициран от публичния ключ, е упълномощен да служи като мениджър на сертификати за example.com. Двойката ключове, която мениджърът използва за example.com, се нарича "упълномощена двойка ключове".

Издаване и прекратяване на удостоверение

След като мениджърът разполага с „упълномощената двойка ключове“, искането, подновяването и отмяната на SSL сертификат става лесно, просто изпратете съобщението за управление на сертификата и подпишете с оторизираната двойка ключове.

За да получи сертификат за домейна, мениджърът генерира заявка за подписване на сертификат PKCS#10, която иска от Let's Encrypt CA да издаде сертификат за example.com с определен публичен ключ. Както обикновено, CSR включва подпис, използващ частния ключ, който съответства на публичния ключ в CSR. Мениджърът също така подписва CSR с ключа за упълномощаване за example.com, така че Let's Encrypt CA знае, че е упълномощен.

Когато Let's Encrypt CA получи заявката, той проверява и двата подписа. Ако всичко изглежда добре, той издава сертификат на example.com с публичния ключ от CSR и го връща на мениджъра.

Анулирането на сертификат работи по подобен начин. Мениджърът подписва заявката за отмяна с двойката ключове за оторизация за example.com и Let's Encrypt CA проверява дали заявката наистина е била разрешена. След това ще експортира информацията за анулиране на сертификата в обичайните канали за анулиране (като CRL, OCSP), разчитайки на трети страни, като браузъри, така че те да не приемат анулирания сертификат.

Софтуер за управление на SSL сертификати на Windows сървъри - Certify

Let's Encrypt е безплатна услуга за създаване на доверен SSL сертификат за вашия домейн, но повечето от инструментите са само от командния ред. Ако използвате Windows сървър, моля, инсталирайте Certify. Този софтуер предлага прост потребителски интерфейс за управление на SSL сертификати. Просто активирайте Certify на вашия IIS уеб сървър, за да започнете.

Изтеглете Certify безплатно

Основни характеристики на Certify:

• Лесен за монтаж
• Създавайте лесно заявки за сертификати, упълномощавайте и подновявайте нови сертификати
• Управление на сертификати и свързана информация
• Функцията за блокиране на IIS улеснява проследяването на най-добрите SSL практики за деактивиране на несигурни протоколи и шифри.

Надяваме се, че информацията в тази статия ще бъде полезна за тези, които правят уебсайтове, за да печелят повече доходи, както и за други администратори на уебсайтове.

Освен това можете да се обърнете към:

• Как да хоствате различни SSL на един IP адрес с помощта на IIS 8 SNI?
• Как да видите подробности за SSL сертификата в браузъра Chrome?