Phenquestions
Una Internet segura es la demanda de todos ahora. Preferimos HTTPS sobre HTTP ya que las conexiones HTTPS están protegidas con SSL. Los datos enviados a través de HTTPS no pueden ser vistos por terceros o intermediarios. Los datos están encriptados y solo el cliente real y el servidor pueden ver los datos en forma original sin encriptar. Hoy en día, los motores de búsqueda también dan más prioridad a los sitios web seguros y, por lo tanto, ayudan en el SEO.
Cualquiera puede crear un certificado SSL con pocas líneas de comando o con unos pocos clics del mouse. Pero, un certificado, para ser confiable, debe ser proporcionado por alguna autoridad certificadora reconocida. El proceso de obtención de un certificado requiere tiempo y dinero. A veces, el costo es muy alto según la autoridad de certificación y sus requisitos.
Puede cifrar los datos entre su aplicación web y los usuarios finales creando certificados usted mismo. Pero, las cosas no van así en el mundo del dominio y sistema de servidor. Su certificado debe estar certificado por un tercero de confianza. Pero el proceso no debería ser complicado cuando el acceso a internet no es. Tampoco estamos dispuestos a pagar esos costos adicionales por obtener un certificado que podríamos hacer con nuestra propia mano de forma gratuita.
Pero, al final del día, no podemos eludir a esos terceros. Los navegadores web y otras aplicaciones cliente no confían en los certificados hechos por nuestras propias manos. Confían en los proporcionados y firmados por esos terceros llamados autoridades de certificación. Tenemos una solución a nuestro problema. Existe una autoridad de certificación (CA) llamada Let's Encrypt que proporciona certificados TLS / SSL sin problemas (en proceso) y sin costo alguno. Simplemente solicite un certificado para su sitio web utilizando los diferentes métodos que se muestran en este tutorial para obtener certificados gratuitos para sus dominios y estará listo para comenzar. A diferencia de otros, los certificados proporcionados por Let's Encrypt deben actualizarse cada tres meses (90 días para ser precisos). Puede ejecutar algún script en su servidor o VPS para actualizar el certificado automáticamente después de un intervalo para administrar este problema de renovación.
Obtención del certificado Let's Encrypt
Si está alojando su sitio web en un VPS o en una plataforma donde tiene acceso shell, puede obtener un certificado con el cliente oficial de Certbot ACME. Si se encuentra en un entorno de alojamiento compartido, su proveedor de alojamiento debe proporcionar soporte automatizado para los certificados Let's Encrypt. Los proveedores de alojamiento compartido más populares brindan soporte para los certificados Let's Encrypt y renuevan el certificado automáticamente por usted. Si su proveedor de alojamiento no proporciona soporte automatizado para eso, puede contactarlo para hacer esto. Además, la mayoría de los proveedores de alojamiento tienen algunos lugares en su panel de administración donde puede cargar sus archivos de certificado. Verifique en qué categoría pertenece y vaya en consecuencia.
Certbot Let's Encrypt Client
Certbot es el cliente Let's Encrypt más popular. Está disponible en la mayoría de las principales distribuciones de Linux. Aquí, estoy mostrando cómo instalar Certbot en una máquina Ubuntu. Para obtener la última versión de certbot, agregue el repositorio ppa con el siguiente comando.
sudo add-apt-repository ppa: certbot / certbot
Actualice la lista de paquetes para el nuevo cambio:
sudo apt-get update
Ahora, instale certbot junto con sus complementos apache y nginx:
sudo apt-get install certbot python-certbot-apache python-certbot-nginx
Certbot puede recuperar y configurar automáticamente certificados para Apache y Nginx. Digamos que desea recuperar un certificado para www.ejemplo.com y actualice la configuración de Apache. Solo necesitas ejecutar el siguiente comando.
sudo certbot --apache -d www.ejemplo.com
Certbot le hará algunas preguntas necesarias, ejecutará un desafío y recuperará el certificado por usted. Actualizará la configuración del servidor web Apache y volverá a cargar Apache. Para comprobar si las cosas funcionan correctamente o no, visite https: // www.ejemplo.com.
Renovar Certificados
Los certificados Let's Encrypt son válidos solo por 90 días. Por lo tanto, debe actualizar los certificados varias veces al año. Es muy fácil actualizar certificados con certbot. Ejecute los siguientes comandos para actualizar todo el certificado en su servidor:
sudo certbot renovar
Pero no es una buena forma de actualizar eso manualmente. Si está en un alojamiento administrado / compartido y esa plataforma tiene soporte integrado para actualizar los certificados de Let's Encrypt, entonces no necesita hacer nada a mano. Cuando esté haciendo esto en un VPS, servidor dedicado o algún sistema donde tenga acceso al shell, entonces puede usar cron para automatizar esta tarea periódicamente.
Uso de Let's Encrypt con otros clientes
ACME es un protocolo abierto. También tiene buena documentación. Hay muchos clientes para los certificados Let's Encrypt y muchos están en desarrollo. Si tiene interés en desarrollar un cliente, puede hacerlo fácilmente a su manera. Si conoce un poco de Python, puede mirar el código fuente de certbot y hacer uno personalizado para usted. También hay una lista de clientes de ACME en el sitio web de Let's Encrypt.
Visite este enlace para obtener la lista y decidir qué solución alternativa desea utilizar. Casi ninguno de ellos tiene toda la dulzura de certbot. Pero, algunos de ellos tienen algunas características únicas que pueden atraerlo. Además, si es un programador y tiene algunos requisitos únicos, intente implementarlos usted mismo.
Método manual
Algunos proveedores de alojamiento solo permiten la carga manual de certificados. En ese caso, debe recuperar los certificados manualmente de Let's Encrypt y cargarlos a través de su panel de administración de alojamiento (o cualquier mecanismo que proporcionen). Para recuperar el archivo de certificado, debe usar el complemento certbot 'manual' y especificar el parámetro 'certonly'. Con el método manual tienes que demostrar que el dominio para el que estás solicitando certificado es verdaderamente tuyo. El complemento puede usar el desafío http, dns o tls-sni. Puedes usar el -retos-preferidos opción para elegir el desafío de su preferencia. Si prefieres el http luego le pedirá que coloque algún archivo con contenido especificado en algún directorio de su sitio web / servidor web. Verifique su propiedad y responda otras preguntas para obtener su certificado.
certbot certonly --manual
También puede especificar parámetros de línea de comando para aceptar los términos de servicio y renovar el certificado.
Cuando tienes mala suerte
Algunos proveedores de alojamiento no proporcionan forma de agregar esas 's' adicionales a su 'http'; quiero decir, no brindan ninguna forma de agregar certificados ssl. Para algunos, debe cargar manualmente los archivos de certificado. Un ejemplo es Google App Engine y otro es OpenShift. Pero es complicado volver a cargar el certificado cada 90 días. A veces puedes olvidar. Nuevamente, si tiene más de uno o dos sitios web, es más probable que lo olvide. Además, si no se siente cómodo con la línea de comandos o no se siente cómodo trabajando con los servidores a través de shells SSH, entonces vuelve a tener mala suerte.
Conclusión
Let's Encrypt ha facilitado la vida de los webmasters al proporcionar una forma de obtener los certificados al instante en lugar de esperar la aprobación de las CA después de enviar la solicitud. Otro beneficio es que lo obtienes todo gratis. Con toda la bondad, solo recuerde actualizar el certificado antes de cada 90 días. De lo contrario, sus usuarios pueden recibir una señal roja y, como resultado, puede perder algo de audiencia / clientes. También puede renovar el certificado cada pocos días, pero eso puede llegar al límite y es posible que no renueve su certificado por algún tiempo. Por lo tanto, tenga cuidado al usar un servicio tan bueno.
