Wczoraj zespół Let’s Encrypt dla wszystkich chętnych uruchomił możliwość darmowego podpisywania certyfikatów SSL.
Let’s Encrypt to pierwszego centrum autoryzacyjne (CA), które jest darmowe, automatyczne i od wczoraj otwarte dla wszystkich.
Projekt został stworzony w 2014 roku przez Internet Security Research Group (ISRG), którego członkami zarządu są m.in.:
- Josh Aas (Mozilla) — ISRG Executive Director
- Stephen Ludin (Akamai)
- Dave Ward (Cisco)
- J. Alex Halderman (University of Michigan)
- Jennifer Granick (Stanford Law School)
Kilka miesięcy temu rozpoczęły się zamknięte testy, a w październiku 2015 roku Let’s Encrypt stał się zaufany poprzez wzajemne podpisy z IdenTrust. Dzięki temu certyfikaty SSL Let’s Encrypt stały się zaufane i rozpoznawalne przez wszystkie ważne przeglądarki internetowe na rynku.
W okresie testów certyfikaty są ważne przez 90 dni, kilka dni przed końcem można wykonać renewal.
Stworzenie certyfikatu
Jest tylko jeden wymóg podczas tworzenia i podpisywania certyfikatu: musisz to zrobić na serwerze, gdzie faktycznie prowadzi Twoja domena. Podczas podpisywania Let’s Encrypt sprawdza czy nazwa domeny poprawnie się rozwija i prowadzi na maszynę, skąd uruchomiony jest program.
|
1 2 3 |
git clone https://github.com/letsencrypt/letsencrypt.git cd letsencrypt ./letsencrypt-auto certonly -d domena.pl |
Dodatkowo można użyć przełączników –email i –agree-tos, aby w 100% zautomatyzować ten proces. Uruchomienie letsencrypt-auto spowoduje doinstalowanie brakujących paczek (Python itp.), nie powinien mieć problemów na systemach Debian/Ubuntu.
Po weryfikacji wymagań zostaną wygenerowane klucze oraz dokonana autoryzacja. Dlatego musimy mieć wyłączone wszelkie usługi wykorzystujące port 80/443, ponieważ letsencrypt-auto będzie wykorzystywał ten port.
|
1 |
./letsencrypt-auto certonly -d mydomain.com --email me@example.com --agree-tos |
Jeśli wszystko pójdzie bez problemu, pliki związane z certyfikatem zostaną utworzone w katalogu /etc/letsencrypt/live/domena.pl/*.
Powinniśmy tam znaleźć 2048-bit certyfikat RSA TLS 1.2 z podpisem SHA-256.
Ostatni krok to podpięcie certyfikatu i klucza w naszym ulubionym web-serverze (np. nginx).
Po więcej szczegółów zapraszam do dokumentacji.
Let’s Encrypt – statystyki