SSL tanúsítvány ingyen (Let's encrypt)


Ha a webszerverünket szeretnénk biztonságos HTTPS kapcsolaton is elérhetővé tenni, esetleg biztonságos csatornát biztosítani a levelezéshez (IMAPS, POP3S), akkor bizony kicsit a zsebünkbe kell nyúlnunk, és tizenezer Ft/domain áron bevásárolni egy (vagy pár) tanúsítványt. Legalábbis mostanáig. Nemrégiben ugyanis elindult egy Let's encrypt nevű projekt, ami teljesen valid tanúsítványt állít ki nekünk, ráadásul teljesen ingyen! Nemrégiben én is kipróbáltam, és gondoltam egy bejegyzésben pár mondatban leírom a tapasztalataimat. Szóval ő itt a projekt weboldala: https://letsencrypt.org/getting-started/ . Itt pár mondatban olvashatunk róla, hogy miről is van szó. A tanúsítvány beszerzéséhez egy certbot (https://certbot.eff.org/) nevű cuccra van szükség. Itt az oldal elején ha kiválasztjuk az oprendszert és a szervert (nálam ez ugye Debian volt és Apache), már ki is tolja a pár soros telepítési útmutatót. Nem túl nagy ördöngösség. Van itt külön apache modul, meg automatizált telepítés, meg minden mi szem szájnak ingere, de mivel én szeretem látni, mi történik a szerveremen, a legfapadosabb webroot+certonly módot választottam. Ebben a módban annyit csinál a script, hogy megadjuk a domaint, és megadjuk, hogy a fájlrendszerben hol található hozzá a webroot (pl.: example.com és /var/www). A script ide rak majd egy fájlt, és valamit kommunikál a let's encrypt szerverrel, aki HTTP-n benéz, hogy tényleg ott van-e a cucc. Ezzel bizonyítjuk, hogy az adott webhely a mienk. Ha a dolog rendben lement, a /etc-ben a megadott helyen (a végén kiírja, hogy hol) létrejönnek a megfelelő tanúsítvány fájlok. Ezeket szépen beállítja az ember az apache konfigokban, és puff böngészőben már látja is, hogy biztonságos a HTTPS oldal. El lehet felejteni a self signed certificate-eket, és tejelni sem kell többet a tanúsítványokért. Arra még érdemes odafigyelni, hogy az így kapott certificate csak pár hónapig érvényes, így hosszabbítgatni kell, de ezt is megoldja a certbot. Csak be kell tennünk a cron.monthly-ba, és többet nem lesz vele gondunk. Szóval hajrá, Let's encrypt!

#blog