Ssl let s encrypt что это
Как работает Let’s Encrypt
Последнее обновление: 18 окт. 2019 г.
Для понимания технологии, разберём настройку домена https://example.com/ агентом сертификатов Let’s Encrypt, состоящую из двух этапов.
На первом этапе агент уведомляет Центр Сертификации о правах администратора сервера на доменное имя. На втором этапе, после подтверждения прав на домен, агент может запрашивать, обновлять и отзывать сертификаты.
Проверка домена
Let’s Encrypt идентифицирует web-сервер с запущенным агентом по открытому ключу. Открытый и закрытый ключи генерируются агентом перед первым подключением к Центру сертификации Let’s Encrypt. После подключения агента к Центру Сертификации, создаётся аккаунт администратора сервера. В созданный аккаунт добавляются доменные имена, которыми владеет администратор, аналогично тому, как это происходит в платных Центрах Сертификации.
Одновременно с тестированием прав администратора на домен, Let’s Encrypt проверяет права агента на открытый и закрытый ключи. Let’s Encrypt отправляет агенту одноразовый пароль, который агент должен подписать закрытым ключом и отослать обратно.
Далее, Центр Сертификации проверяет, всё ли было сделано верно: корректную цифровую подпись на одноразовом пароле, возможность скачать созданный файл по URI, а также его содержимое.
Выпуск и отзыв сертификатов
После авторизации ключевой пары, запрос, обновление и отзыв сертификатов становится делом одной минуты—агент просто посылает текстовые сообщения в Центр сертификации
В статье рассмотрим плюсы и минусы бесплатного Let’s Encrypt, для кого подойдет, как получить и установить его на сайт с панелью Plesk 12.5
Let’s Encrypt— бесплатный, автоматизированный проект, с открытым CA (certificate authority — центр сертификации).
ОСНОВНЫЕ ПРЕИМУЩЕСТВА
бесплатно: любой владелец сайта (в частности, доменного имени) может получить и установить доверенный TLS-сертификат Let’s Encrypt (TLS — наследник SSL);
автоматизация: все функции установки, конфигурации и обновления проводятся в автоматическом режиме;
безопасность: все методы шифрования Let’s Encrypt отвечают текущим стандартам;
прозрачность: публичная доступность информации о выпуске и отзыве каждого сертификата для любого желающего;
свободно: будет использован принцип open standard для протоколов взаимодействия с CA (certificate authority).
ПРОГРАММНАЯ РЕАЛИЗАЦИЯ
УСТАНАВЛИВАЕМ SSL СЕРТИФИКАТ LET’S ENCRYPT (ИНСТРУКЦИЯ)
выбрать нужные опции и после нажатия кнопки «Установить», установка произойдёт менее чем за минуту.
Стоит заметить, что существуют некоторые ограничения на генерацию сертификата:
О НЕДОСТАТКАХ LET’S ENCRYPT
Если вы выбрали способ обновления вручную, то следите четко за сроками и вовремя перевыпускайте сертификат. Иначе рискуете получить наплыв недовольных пользователей сайта и их последующий отток.
Так, при помощи Let’s Encrypt нельзя создать следующие типы сертификатов:
ЗАКЛЮЧЕНИЕ
Подводя итоги, можно сказать, что Центр Сертификации Let’s Encrypt достаточно успешный проект, популярность которого растет с каждым годом среди пользователей сети.
И если вам нужен простой сертификат для одного домена, вы обладаете соответствующими навыками администрирования, а также если нет необходимости в SSL с проверкой компании (OV- organization validation) или наличие зеленой адресной строки и указания названия компании в сертификате, то данный сертификат можно использовать.
Сертификат Let’s Encrypt — что это
Let’s Encrypt — это глобальный некоммерческий центр сертификации, который начал работу с две тысячи пятнадцатого года. Выпускает криптографические сертификаты для TLS-шифрования (HTTPS). В этой статье мы расскажем, зачем нужны SSL-сертификаты, какие преимущества и недостатки у сертификата от Let’s Encrypt. Начнем!
Зачем нужен SSL-сертификат Let’s Encrypt
SSL-сертификат — это цифровая подпись сайта, которая требуется для безопасного соединения. Посмотрите в строку браузера.
На нашем сайте подключен SSL-сертификат: строка — Сертификат (действительный). И есть значок «Безопасное подключение». Это значит, что данные, которые оставляют клиенты на нашем сайте, защищены специальным шифрованием и недоступны мошенникам и прочим злоумышленникам.
Сертификаты Let’s Encrypt — это обычные сертификаты, которые подтверждают домен. Они предназначены для любых серверов с доменным именем: веб-серверов, почтовых серверов, FTP-серверов и других.
Как работает SSL
Объясним простыми словами.
Такой сертификат обязателен для сайтов, на которых можно осуществить оплату онлайн. С его помощью персональные данные клиентов (например, информация о банковских картах) не попадет в руки мошенников.
Преимущества Let’s Encrypt
Недостатки Let’s Encrypt
Платные аналоги
Существуют и платные SSL-сертификаты.
Sectigo — это крупнейший Центр Сертификации в мире. В Макхост вы можете приобрести Sectigo Positive SSL (для сайтов типа domen.ru, www.domen.ru или домен.рф) за 990 рублей в год. А также Sectigo SSL Wildcard (для всех поддоменов *.domen.ru) за 8490 рублей в год.
Thawte — центр сертификации, основанный в 1995 году. У нас можно купить сертификат Thawte EV SSL с расширенной валидацией (domen.ru и www.domen.ru) за 15000 рублей в год.
Заключение
Таким образом, SSL-сертификаты от Let’s Encrypt подходят как для молодых сайтов, так и для крупных проектов — по качеству шифрования проблем нет. Однако, если вам нужна расширенная валидация, придется приобрести платный аналог.
На виртуальном хостинге в Макхост вы можете автоматически сгенерировать сертификат Let’s Encrypt:
Если у вас остались вопросы, задавайте их в комментариях. Специалисты технической поддержки ответят на них в ближайшее время.
Часто задаваемые вопросы
Последнее обновление: 22 дек. 2019 г. | Вся документация
Внимание! Английская версия сайта была обновлена, перевод неактуален ( 23 апр. 2020 г. ) Просмотреть на английском
Этот раздел состоит из двух частей:
Общие вопросы
Какие услуги предлагает Let’s Encrypt?
Let’s Encrypt предлагает сертификаты с подверждением домена (Domain Validation, DV). Мы не выпускаем сертификаты с подтверждением организации (Organization Validation, OV) или сертификаты высокой надёжности (Extended Validation, EV), потому что не можем пока автоматизировать выдачу таких сертификатов.
Чтобы начать, посетите страницу документации Приступая к работе.
Сколько стоят услуги Let’s Encrypt? Это действительно бесплатно?
Иногда, компании-интеграторы (например хостеры) могут взимать номинальную плату для покрытия административных и управленческих расходов по интеграции с Let’s Encrypt.
Какую техническую поддержку вы предлагаете?
Сайт с сертификатом Let’s Encrypt используется для фишинга / вредоносного ПО / мошенничества/…, что мне делать?
Мы рекомендуем уведомить об этом сервисы Google Safe Browsing и Microsoft Smart Screen, которые способны эффективно защитить пользователей Интернета. Ниже ссылка на форму сообщения::
Хотите узнать больше? Ознакомьтесь со статьёй из нашего блога.
Технические вопросы
Примет ли мой браузер сертификаты от Let’s Encrypt?
Да, большинство браузеров и операционных систем доверяют нашим сертификатам. Для подробной информации обратитесь к реестру совместимости.
Пригодны ли сертификаты Let’s Encrypt для других целей, нежели SSL/TLS для сайтов?
Для шифрования электронной почты и подписи исполняемого кода нужны сертификаты иного типа, который Let’s Encrypt пока не предоставляет.
Let’s Encrypt создаёт или хранит закрытые ключи для моих сертификатов на своих серверах?
Закрытые ключи всегда создаются и управляются на ваших собственных серверах, а не на серверах Центров Сертификации Let’s Encrypt.
Каков срок действия сертификатов Let’s Encrypt? Какое время они будут считаться действительными?
Наши сертификаты действительны в течение 90 дней с момента выпуска. Почему именно 90 дней? Узнайте в статье из нашего блога.
Не существует способа изменить эту величину, без всяких исключений. Мы рекомендуем автоматически обновлять сертификаты каждые 60 дней.
Планирует ли Let’s Encrypt выпускать сертификаты с подтверждением организации (Organization Validation, OV) или сертификаты высокой надёжности (Extended Validation, EV)?
Нет, мы не планируем выпускать OV или EV сертификаты.
Могу ли я получить сертификат для нескольких доменных имён (SAN или UCC сертификаты)?
Да, один и тот же сертификат Let’s Encrypt может содержать несколько доменных имён, используя механизм Subject Alternative Name (SAN).
Выпускает ли Let’s Encrypt сертификаты с возможностью подстановки (wildcard-сертификаты)?
Да. Такие сертификаты выпускаются на основе протокола ACMEv2 с проверкой доменов по методу DNS-01. Узнайте подробности в статье на форуме сообщества.
Существует ли ACME-клиент Let’s Encrypt для моей операционной системы?
Есть множество реализаций ACME-клиента. Скорее всего, для вашей операционной системы найдётся рабочее решение. На начальном этапе мы рекомендуем использовать Certbot.
Могу ли я использовать имеющийся закрытый ключ, или запрос в Центр Сертификации (Certificate Signing Request, CSR)?
Какие IP-адреса использует Let’s Encrypt для проверки моего web-сервера?
Мы не публикуем такой список IP-адресов, потому что эти IP-адреса могут измениться в любое время. В перспективе, мы будем выполнять проверку web-сервера с нескольких IP-адресов одновременно. Обратите внимание на этот пост для получения подробной информации.
Все письма и запросы направляйте по адресу:
Использование Let’s Encrypt для внутренних серверов
Let’s Encrypt — это центр сертификации, который предоставляет бесплатные сертификаты в полностью автоматизированном процессе. Эти сертификаты выдаются по протоколу ACME. За последние два года в Интернете широко использовалась технология Let’s Encrypt — более 50% веб-сертификатов SSL / TLS теперь выдает Let’s Encrypt.
В этом посте описывается, как выдавать сертификаты Let’s Encrypt для внутренних серверов.
Хотя и существует множество инструментов для автоматического обновления сертификатов для общедоступных веб-серверов (certbot, simp_le, я писал о том, как это сделать), трудно найти какую-либо полезную информацию о том, как выдавать сертификаты для внутренних серверов, не подключенных к Интернету, и / или устройства с Let’s Encrypt.
В Datto мы выдали сертификат на каждую из наших 90 000+ устройств BCDR, использующих именно этот механизм.
Hello Hacker News, впервые на главной странице HN! Для меня это большая честь! Я ответил на все вопросы в разделе комментариев.
Если вы ищете реализацию этой идеи, вам может быть интересен localtls. Я сам не тестировал, но похоже, что он делает то же самое, что я здесь описываю.
Итак, действительно волшебными ингредиентами для выдачи сертификатов для внутренних компьютеров, не подключенных к Интернету, являются:
Выделенная зона DNS для всех ваших внутренних устройств, например xi8qz.example.com и динамический DNS-сервер для управления этой зоной (здесь: example.com )
Клиент ACME, способный использовать DNS-запрос Let’s Encrypt для подтверждения права собственности на домен.
Пример: внутренний сервер 10.1.1.4, он же. xi8qz.example.com
На следующей диаграмме показано, как мы реализовали интеграцию Let’s Encrypt для наших устройств резервного копирования Datto. Каждое устройство (читайте: внутренний сервер) находится за NAT и имеет собственный локальный IP-адрес.
Общий подход прост: устройство регулярно обращается к нашему серверу управления, чтобы обеспечить доступ к нему через его собственный поддомен. Если его локальный IP-адрес изменяется, он запускает обновление своего собственного поддомена. Кроме того, он регулярно проверяет, действителен ли сертификат, и запрашивает обновление, если он устарел.
Вот немного подробностей об этом процессе:
Участники этого процесса:
| Порядок прохождения запроса на сертификат |
|---|
| 1. Проверка, если локальный IP-адрес изменился |
| 2. Обновление записи DNS для xi8qz.example.com с 10.1.1.4. |
| 3. Установка запись A для xi8qz.example.com на 10.1.1.4. |
| xi8qz.example.com теперь резолвится до 10.1.1.4 |
| 4. Если необходимо продление, генерация CSR для xi8qz.example.com |
| 5. Запрос продления с CSR для xi8qz.example.com |
| 6. Запрос DNS-запрос для xi8qz.example.com (new-aithz) |
| 7. URL запроса DNS и токен |
| 8. Установка записи TXT для acme challenge.xi8qz.example.com. |
| 9. Уведомление о размещении вызова (вызов) |
| 10. Подтверждение вызов |
| 11. Убедждение, что вызов был подтвержден (повтор до успешного завершения). |
| 12. Запрос сертификат с CSR (new-cert) |
| 13. Сертификат (и цепочка) |
| 14. Сертификат (и цепочка) |
2.1. Предварительные требования: назначение домена для каждой машины (шаги 1-3)
Как упоминалось выше, нам нужно дать каждому устройству правильное доменное имя, чтобы иметь возможность подтвердить право собственности на Let’s Encrypt, поэтому нам нужно купить домен (здесь: example.com ) и делегировать его NS-записи нашему серверу DDNS:
Вдобавок к этому нам нужна возможность динамически добавлять и удалять записи из него (через какой-то API). Я ранее писал о том, как развернуть собственный DDNS-сервер, если вам интересно.
После того, как все это настроено, нам нужно убедиться, что запись A машины обновляется при изменении ее IP-адреса. Для нашей внутренней машины давайте назначим xi8qz.example.com в качестве домена. Если все работает правильно, вы сможете разрешить этот домен по его IP-адресу, используя обычный DNS-запрос:
2.2. Запрос сертификата (шаги 4-14)
Предполагая, что теперь вы полностью контролируете зону DNS для example.com и можете быстро редактировать ее динамически, у вас все готово для фактической выдачи сертификатов для вашего локального домена устройства через Let’s Encrypt.
После авторизации запроса (важный шаг, не показанный на схеме!), Управляющий сервер запрашивает DNS-запрос для данного домена из ACME API через вызов Pre-Authorization / new-authz API (шаг 6). ACME API отвечает запросом DNS (шаг 7). Если все идет хорошо, это выглядит примерно так:
Используя этот ответ, управляющий сервер должен установить запись DNS TXT на _acme-challenge.xi8qz.example.com (шаг 8) и уведомить ACME API о том, что ответ на запрос был размещен (шаг 9).
После того, как ответ на запрос был проверен с помощью Let’s Encrypt (шаг 10-11), сертификат можно, наконец, запросить с помощью CSR (шаг 12-13).
После того, как Let’s Encrypt ответит сертификатом, вы увидите на проводе что-то вроде этого:
Этот сертификат затем возвращается в машину (шаг 14). После перезапуска веб-сервера устройства / сервера к его веб-интерфейсу можно будет получить доступ через HTTPS в браузере или из командной строки:
Рекомендации по развертыванию: ограничения скорости Let’s Encrypt.
Важно отметить, что если вы планируете реализовать этот механизм для большого количества серверов, вы используете staging среды Let’s Encrypt для тестирования и, что более важно, учитываете лимиты выдачи сертификатов.
По умолчанию Let’s Encrypt позволяет выдавать только 20 сертификатов (в 2018 году) в неделю для одного и того же домена или одной и той же учетной записи. Чтобы увеличить это число, вы должны либо запросить более высокий лимит выдачи, либо добавить свой домен в список общедоступных суффиксов (обратите внимание: добавление вашего домена здесь имеет другие последствия!).
Из-за этих ограничений скорости жизненно важно, чтобы вы распределили начальное развертывание настолько, чтобы оставаться ниже ограничения скорости, и чтобы вы оставили достаточно места для добавления будущих серверов. Также рассмотрите возможность продления в первоначальном плане развертывания.
Резюме
Как видите, это не так уж и сложно.
Сначала мы присвоили каждому устройству (так называемому внутреннему серверу) публичное доменное имя, используя наш собственный динамический DNS-сервер и выделенную зону DNS. Используя домен, назначенный серверу (здесь: xi8qz.example.com ), мы затем использовали предложение бесплатного сертификата Let’s Encrypt и их запрос DNS, чтобы выпустить сертификат для этого сервера.
Сделав это для всех внутренних серверов, мы можем обеспечить безопасную связь в нашей внутренней ИТ-инфраструктуре без необходимости развертывания настраиваемого сертификата CA или необходимости платить за сертификаты.