HTTPS - розширення протоколу HTTP, для підтримки шифрування з метою підвищення безпеки. За даними компанії Mozilla на Січень 2017 го року частка зашифрованого трафіку вперше перевищила частку незашифрованого, переданого по HTTP. Раніше ж Mozilla і Google оголосили, що найближчим часом в нових версіях Mozilla Firefox і Google Chrome веб-сайти, які використовують незахищений протокол позначатимуться як «небезпечні».
Рішення спірне, враховуючи той факт, що переважна більшість Центрів Сертифікації (Certificate Authority, CA) видають їх після оплати певної суми, яка лише відносно недавно перестала бути тризначної. На сьогодні цілком реально за 5-10 доларів придбати найпростіший сертифікат, який не підтверджує нічого, крім того факту, що DNS записи доменного імені дійсно вказують на той сервер, на якому розміщений певний веб-сайт, тим самим захищаючи користувачів від можливого фішингу. Якщо веб-сайт не пропонує послуг, пов'язаних з оплатою і передачею конфіденційної інформації, то такого сертифіката цілком достатньо.
Однак і таку суми не кожен готовий платити. Хоча б по тому, що по суті своїй такий сертифікат мало чим відрізняється від самоподпісанного і основна його перевага лише в тому, що браузер не буде лаятися на те, що талон не виписаний авторизованим CA. При цьому ситуація, коли найпопулярніші браузери почнуть позначати протокол HTTP як «небезпечний» (а по суті так і є), змусить навіть власників особистих блогів задуматися про перехід на HTTPS.
На сьогодні і до недавнього часу існувало три CA, що видають ssl-сертифікати безкоштовно. був першим і довгий час єдиним. Рівня такого сертифіката цілком достатньо для переважної більшості блогів, форумів та інших ресурсів, до сих пір сидять на HTTP.
Однак після продажу StartCom китайському CA WoSign і останнього, коли по технічну помилку був виписаний сертифікат на кореневої домен GitHub.com особі, ніяким боком не має відношення до керівництва ресурсу, в відповідних колах почався шторм. І оскільки WoSign мало активно висловлював покаяння і практично ніяк не намагався виправити ситуацію, заявивши, що буде відкликати сертифікати, помилково видані з використанням діри, тільки за запитом власників цих сертифікатів (!), Під роздачу потрапив і StartCom, так як кореневі сертифікати у них і у WoSign виписані з використанням одних і тих же алгоритмів. Починаючи з січня 2017 го року в нових версіях браузерів Google, Mozilla і Apple сертифікати, видані StartCom після кінця жовтня 2016- го року, позначені як «недовірених». Тобто нічим не відрізняються від самоподпісанного.
Але на щастя для рядових власників цілком пересічних форумів і блогів, залишився третій CA, який видає сертифікати безкоштовно. Процес видачі сертифікатів в корені відрізняється від усього того, що використовують інші CA. Адміністратору ресурсу не потрібно заводити аккаунт і будь-яким чином взаємодіяти з ресурсом Let's Encrypt. Все що потрібно - це доступ до власного сервера по ssh і 5-10 хвилин вільного часу.
Приступимо.
Рекомендована Let's Encrypt і підходяща для більшості користувачів програма -. Це програма, встановлена ​​на сервер, здатна практично повністю автоматизувати процес отримання, а так само продовження сертифікатів. Що важливо, так як сертифікати Let's Encrypt мають досить короткий термін життя - три місяці. Certbot працює тільки в UNIX-Like операційних системах (Linux, * BSD і Mac OS X) і підтримує кілька типів веб-серверів, серед яких Apache і Nginx. Але перелік не обмежується цими двома. В даному прикладі я використовую Ubuntu 16.04 і Apache. Для інших конфігурацій подивіться інструкції на офіційному сайті проекту.
Встановлюємо Sertbot.
sudo apt install python-letsencrypt-apache
Щоб не порушити роботу активних сайтів і в уникненні конфліктів конфігурації, переконайтеся що конфігураційні файли HTTP хостів у вас в порядку, а конфігураційні файли HTTPS хостів (якщо такі вже є) відключіть. Sertbot сам створить конфігурацію на основі наявних HTTP хостів, якщо потрібно, підключить модуль ssl, додасть хости HTTPS і перезавантажить Apache.
Запускаємо Sertbot.
sudo letsencrypt --apache
Дотримуйтесь інструкції в терміналі. Вам буде запропоновано вказати адресу вашої діючої електронної пошти, а так само доменні імена зі списку активних хостів. Sertbot переконається, що DNS записи доменних імен ваших хостів збігаються з IP адресою сервера, на якому Serbot запущений, згенерує сертифікати, створить віртуальні HTTPS хости і пропише в них шлях до сертифікатів. В кінці Sertbot запропонує вписати редирект для HTTP хостів, що буде перенаправляти всі запити до них на HTTPS. Вирішуйте самі. Вся процедура займає не більше хвилини; по завершенні процедури нічого робити не потрібно. Все встановлено і працює.
Оновлення.
Sertbot може бути налаштований на оновлення сертифікатів, термін дії яких добігає кінця. Оскільки сертифікати дійсні лише 90 днів, то дана опція рекомендована до використання. Особливо, якщо у вас багато хостів і сертифікати на них виписані в різний час. Перевірити стан даної опції можна за допомогою такої команди:
sudo letsencrypt renew --dry-run --agree-tos
У поточній версії Serbot під Ubuntu 16.04 є невеликий баг, в зв'язку з яким вам вилетить повідомлення про те, що при реєстрації сертифікатів не вказано email. приклад:
2017-02-07 17: 06: 06,662: WARNING: letsencrypt.client: Registering without email!
Повідомлення можна проігнорувати. Це не як не вплине на процес оновлення. Дочекайтеся завершення команди. Висновок приблизно наступний:
Congratulations, all renewals succeeded. The following certs have been renewed: /etc/letsencrypt/live/yourdomain.name/fullchain.pem (success) ** DRY RUN: simulating 'letsencrypt renew' close to cert expiry ** (The test certificates above have not been saved. ) IMPORTANT NOTES: - Your account credentials have been saved in your Let's Encrypt configuration directory at / etc / letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Let's Encrypt so making regular backups of this folder is ideal.
Тут так само рекомендується періодично робити бекап директорії / etc / letsencrypt, так як в ній зберігаються всі сертифікати і ключі.
Ви можете виконувати команду «letsencrypt renew» вручну, або налаштувати її автоматичне виконання за допомогою cron або systemd. В цьому випадку розробники рекомендують запускати її двічі в день. Це ніяк не вплине на ті сертифікати, термін яких далекий від закінчення. Але дозволить уникнути неприємностей з простроченими, або відкликаними сертифікатами.

___
Tatyana K.