Lets Encrypt - створюйте безкоштовні сертифікати SSL для бідних людей

Що таке SSL? Що таке Let's Encrypt? Якщо ви створюєте веб-сайт з метою заробляти гроші, будь ласка, прочитайте цю статтю.

Перш ніж дізнатися про Let's Encrypt, вам потрібно знати, що таке SSL, його важливість для веб-сайтів і чому «бідним людям» все ще потрібен SSL для їхніх веб-сайтів?

Зокрема: що таке SSL? Чи важливий SSL для веб-сайтів?

На даний момент за замовчуванням ви вже дуже добре розумієте SSL і шукаєте безкоштовний SSL для свого веб-сайту, тому настав час дізнатися про Let's Encrypt.

Що таке Let's Encrypt?

Let's Encrypt — це безкоштовний автоматизований постачальник сертифікатів SSL, який працює на користь спільноти. Ним керує дослідницька група безпеки в Інтернеті (ISRG).

Let's Encrypt надає адміністраторам веб-сайтів цифровий сертифікат, необхідний для ввімкнення HTTPS (SSL або TLS) для їхнього веб-сайту, абсолютно безкоштовно та максимально зручним способом. Усе базується на меті створення більш безпечного, приватного та шанобливого веб-середовища для користувачів.

Let's Encrypt надає SSL-сертифікат перевірки домену, який означає, що після інсталяції ваш веб-сайт матиме синій замок в адресному рядку браузера, коли користувачі відвідуватимуть його.

• Які існують типи сертифікатів SSL?

Переваги використання Let's Encrypt

• Безкоштовно: якщо у вас є доменне ім’я, ви можете використовувати Let’s Encrypt, щоб отримати довірений сертифікат, не витрачаючи ні копійки.
• Автоматично: програмне забезпечення, запущене на веб-сервері, може взаємодіяти з Let's Encrypt, щоб швидко отримати сертифікати, безпечно налаштувати їх для використання та автоматично замінити їх у разі потреби.
• Безпека: Let's Encrypt діятиме як платформа, що просуває найкраще з TLS як на стороні CA (сертифікаційного центру), так і допомагаючи операторам веб-сайтів належним чином захищати свої сервери.
• Прозорість: усі видані або відкликані сертифікати будуть публічно зареєстровані та зможуть перевірити будь-хто.
• Жодних обмежень: протокол автоматичної видачі та поновлення буде опубліковано як загальнодоступний стандарт і може бути прийнятий іншими.
• Співпраця: як і інші основні Інтернет-протоколи, Let's Encrypt прагне принести користь спільноті та не знаходиться під контролем жодної організації.

Як Let's Encrypt створює безкоштовні сертифікати SSL?

Мета Let's Encrypt і протоколу ACME — налаштувати HTTPS-сервер і автоматично отримати довірений сертифікат у браузері без втручання людини. Це робиться за допомогою запуску менеджера сертифікатів на веб-сервері.

Щоб зрозуміти, як працює технологія Let's Encrypt, розглянемо процес налаштування веб-сайту https://example.com/ із менеджером сертифікатів, який підтримує Let's Encrypt.

У цьому процесі є 2 кроки. По-перше, менеджер доведе ЦС, що веб-сервер контролює доменне ім’я. Потім менеджер може запитати, оновити або відкликати сертифікат для цього домену.

Підтвердити доменне ім'я:

Let's Encrypt ідентифікує адміністрацію сервера за допомогою відкритого ключа. Коли програмне забезпечення для керування вперше взаємодіє з Let's Encrypt, воно генерує нову пару ключів і доводить ЦС Let's Encrypt, що сервер контролює один або більше доменів. Це схоже на традиційний процес CA створення облікового запису та додавання доменного імені до цього облікового запису.

Щоб ініціювати цей процес, менеджер запитує у Let's Encrypt CA інформацію, необхідну для підтвердження того, що він контролює example.com. Let's Encrypt перегляне та надішле запити, вам потрібно виконати його, щоб підтвердити, що ви контролюєте доменне ім’я. У вас є два варіанти:

• Надайте запис DNS під назвою example.com
• Надайте джерело HTTP за відомою URL-адресою на https://example.com/

Після виконання вимог Let's Encrypt надасть менеджеру сертифікатів пару закритих ключів, щоб підтвердити, що він контролює пару ключів.

У цей момент менеджер розміщує файл за шляхом, указаним на сайті https://example.com. Менеджер також підписує закритий ключ, який після завершення повідомляє ЦС про завершення перевірки.

Наступна робота ЦС — перевірити, чи виконано задані вимоги чи ні. ЦС перевіряє підпис, намагається завантажити файл із веб-сервера та переконається, що він отримує потрібний вміст.

Якщо підпис дійсний, вимоги задоволено, і менеджер, визначений відкритим ключем, уповноважений служити менеджером сертифікатів для example.com. Пара ключів, яку використовує менеджер для example.com, називається «авторизованою парою ключів».

Видача та анулювання сертифіката

Коли менеджер отримає «авторизовану пару ключів», запит, оновлення та відкликання сертифіката SSL стає простим, просто надішліть повідомлення про керування сертифікатом і підпишіть авторизованою парою ключів.

Щоб отримати сертифікат для домену, менеджер генерує запит на підписання сертифіката PKCS#10, який просить центр сертифікації Let's Encrypt видати сертифікат для example.com із зазначеним відкритим ключем. Як зазвичай, CSR містить підпис із використанням закритого ключа, який відповідає відкритому ключу в CSR. Менеджер також підписує CSR ключем авторизації для example.com, щоб Let's Encrypt CA знав, що його було авторизовано.

Коли Let's Encrypt CA отримує запит, він перевіряє обидва підписи. Якщо все виглядає добре, він видає сертифікат example.com із відкритим ключем із CSR і повертає його менеджеру.

Подібним чином працює відкликання сертифіката. Менеджер підписує запит на відкликання парою ключів авторизації для example.com, а Let's Encrypt CA перевіряє, чи запит дійсно авторизовано. Потім він експортує інформацію про відкликання сертифіката в звичайні канали відкликання (наприклад, CRL, OCSP), покладаючись на сторонні сторони, наприклад браузери, щоб вони не прийняли відкликаний сертифікат.

Програмне забезпечення для керування сертифікатами SSL на серверах Windows – Certify

Let's Encrypt — це безкоштовна служба для створення надійного сертифіката SSL для вашого домену, але більшість інструментів доступні лише для командного рядка. Якщо ви використовуєте сервер Windows, інсталюйте Certify. Це програмне забезпечення пропонує простий інтерфейс користувача для керування сертифікатами SSL. Просто ввімкніть Certify на веб-сервері IIS, щоб розпочати роботу.

Завантажте Certify безкоштовно

Основні можливості Certify:

• Легко встановити
• Легко створюйте запити на сертифікати, авторизуйтеся та оновлюйте нові сертифікати
• Керуйте сертифікатами та пов’язаною інформацією
• Функція блокування IIS дозволяє легко відстежувати найкращі методи SSL для вимкнення незахищених протоколів і шифрів.

Сподіваємось, інформація в цій статті буде корисною для тих, хто створює веб-сайти для отримання більшого доходу, а також для інших адміністраторів веб-сайтів.

Крім того, ви можете звернутися до:

• Як розмістити різні SSL на одній IP-адресі за допомогою IIS 8 SNI?
• Як переглянути деталі сертифіката SSL у браузері Chrome?