Lets Encrypt — создайте бесплатные SSL-сертификаты для бедных людей

Что такое SSL? Что такое Let's Encrypt? Если вы создаете сайт с целью заработка, прочтите эту статью.

Прежде чем узнать о Let's Encrypt, вам необходимо знать, что такое SSL, его важность для веб-сайтов и почему «бедным людям» все еще нужен SSL для своих веб-сайтов?

В частности: что такое SSL? Важен ли SSL для веб-сайтов?

На данный момент вы по умолчанию уже очень хорошо разбираетесь в SSL и ищете бесплатный SSL для своего веб-сайта, поэтому пришло время узнать о Let's Encrypt.

Что такое Let's Encrypt?

Let's Encrypt — это бесплатный автоматизированный поставщик сертификатов SSL, который работает на благо сообщества. Он находится под управлением Исследовательской группы интернет-безопасности (ISRG).

Let's Encrypt предоставляет администраторам веб-сайтов цифровой сертификат, необходимый для включения HTTPS (SSL или TLS) на их веб-сайте, совершенно бесплатно и максимально удобным для пользователя способом. Все основано на цели создания более безопасной, конфиденциальной и уважительной веб-среды для пользователей.

Let's Encrypt предоставляет SSL-сертификат проверки домена. Это означает, что после установки ваш веб-сайт будет иметь синий замок в адресной строке браузера, когда пользователи получат к нему доступ.

• Какие типы SSL-сертификатов существуют?

Преимущества использования Let's Encrypt

• Бесплатно: если у вас есть доменное имя, вы можете использовать Let's Encrypt, чтобы получить доверенный сертификат, не тратя ни копейки.
• Автоматически: программное обеспечение, работающее на веб-сервере, может взаимодействовать с Let's Encrypt, чтобы быстро получать сертификаты, безопасно настраивать их для использования и автоматически заменять их при необходимости.
• Безопасность: Let's Encrypt будет выступать в качестве платформы, продвигающей лучшее от TLS, как со стороны CA (центра сертификации), так и помогая операторам веб-сайтов должным образом защищать свои серверы.
• Прозрачность: все выданные или отозванные сертификаты будут публично регистрироваться и могут быть проверены кем угодно.
• Никаких ограничений: протокол автоматического выпуска и продления будет опубликован как общедоступный стандарт и может быть принят другими.
• Сотрудничество. Как и другие базовые интернет-протоколы, Let's Encrypt стремится принести пользу сообществу и не находится под контролем какой-либо одной организации.

Как Let’s Encrypt генерирует бесплатные SSL-сертификаты?

Целью Let’s Encrypt и протокола ACME является настройка HTTPS-сервера и автоматическое получение доверенного сертификата в браузере без какого-либо вмешательства человека. Это делается путем запуска диспетчера сертификатов на веб-сервере.

Чтобы понять, как работает технология Let's Encrypt, давайте рассмотрим процесс настройки веб-сайта https://example.com/ с менеджером сертификатов, поддерживающим Let's Encrypt.

В этом процессе есть 2 шага. Сначала менеджер докажет ЦС, что веб-сервер контролирует доменное имя. Затем менеджер может запросить, обновить или отозвать сертификат для этого домена.

Подтвердите доменное имя:

Let's Encrypt идентифицирует администрацию сервера с помощью открытого ключа. При первом взаимодействии программного обеспечения управления с Let's Encrypt оно генерирует новую пару ключей и доказывает центру сертификации Let's Encrypt, что сервер контролирует один или несколько доменов. Это похоже на традиционный процесс CA по созданию учетной записи и добавлению доменного имени к этой учетной записи.

Чтобы инициировать этот процесс, менеджер запрашивает у центра сертификации Let's Encrypt информацию, необходимую для доказательства того, что он контролирует example.com. Let's Encrypt рассмотрит и отправит запросы. Вам необходимо выполнить их, чтобы доказать, что вы контролируете доменное имя. У вас есть два варианта:

• Укажите DNS-запись под именем example.com.
• Укажите источник HTTP по известному URL-адресу на https://example.com/.

После выполнения требований Let's Encrypt предоставит менеджеру сертификатов пару закрытых ключей, чтобы доказать, что он контролирует эту пару ключей.

В этот момент менеджер помещает файл по пути, указанному на сайте https://example.com. Менеджер также подписывает закрытый ключ, который по завершении уведомляет центр сертификации о завершении проверки.

Следующая задача ЦС — проверить, удовлетворены ли данные требования или нет. Центр сертификации проверяет подпись, пытается загрузить файл с веб-сервера и убедиться, что он получает желаемое содержимое.

Если подпись действительна, требования удовлетворены, и менеджер, определенный открытым ключом, имеет право выступать в качестве менеджера сертификатов для example.com. Пара ключей, которую использует менеджер сайта example.com, называется «парой авторизованных ключей».

Выдача и отзыв сертификата

Как только у менеджера появится «авторизованная пара ключей», запрос, продление и отзыв сертификата SSL станет простым: достаточно отправить сообщение управления сертификатом и подписать его с помощью авторизованной пары ключей.

Чтобы получить сертификат для домена, менеджер генерирует запрос на подпись сертификата PKCS#10, который просит центр сертификации Let's Encrypt выдать сертификат для example.com с указанным открытым ключом. Как обычно, CSR включает подпись с использованием закрытого ключа, соответствующего открытому ключу в CSR. Менеджер также подписывает CSR ключом авторизации для example.com, чтобы центр сертификации Let's Encrypt знал, что он авторизован.

Когда центр сертификации Let’s Encrypt получает запрос, он проверяет обе подписи. Если все в порядке, сайт example.com выдает сертификат с открытым ключом от CSR и возвращает его менеджеру.

Отзыв сертификата работает аналогичным образом. Менеджер подписывает запрос на отзыв с помощью пары ключей авторизации для example.com, а центр сертификации Let's Encrypt проверяет, действительно ли запрос был авторизован. Затем он экспортирует информацию об отзыве сертификата в обычные каналы отзыва (например, CRL, OCSP), полагаясь на третьи стороны, такие как браузеры, чтобы они не принимали отозванный сертификат.

Программное обеспечение для управления сертификатами SSL на серверах Windows — Certify

Let's Encrypt — это бесплатный сервис для создания доверенного SSL-сертификата для вашего домена, но большинство инструментов доступны только из командной строки. Если вы используете сервер Windows, установите Certify. Это программное обеспечение предлагает простой пользовательский интерфейс для управления сертификатами SSL. Просто включите Certify на своем веб-сервере IIS, чтобы начать работу.

Загрузите Сертификат бесплатно

Основные возможности Сертификации:

• Простота установки
• Легко создавайте запросы на сертификаты, авторизуйте и обновляйте новые сертификаты.
• Управление сертификатами и сопутствующей информацией
• Функция блокировки IIS позволяет легко отслеживать рекомендации SSL по отключению небезопасных протоколов и шифров.

Надеемся, информация в этой статье будет полезна тем, кто создает веб-сайты для получения большего дохода, а также другим администраторам веб-сайтов.

Дополнительно вы можете обратиться к:

• Как разместить разные SSL на одном IP-адресе с помощью IIS 8 SNI?
• Как просмотреть сведения о сертификате SSL в браузере Chrome?