StartSSL Distrusted (Terminato), Migra a LetsEncrypt!

Google ha stabilito che due CA, WoSign e StartCom, non hanno mantenuto gli standard elevati previsti per le CA e non saranno più considerate attendibili da Google Chrome

Leggi di più.

Ho un certificato SSL emesso da StartSSL, questo influirà sul mio sito web?

La risposta è SI e NO .

Sì , se il tuo certificato è stato emesso dopo il 21 ottobre 2016 00:00:00 UTC. Perché non sono considerati affidabili dai browser.

No , se il tuo certificato è stato emesso prima del 21 ottobre 2016 alle 00:00:00 UTC. I browser potrebbero continuare a essere attendibili fintanto che rispettano le norme del browser. Ma è rischioso, perché non sai mai quando i browser smetteranno di fidarsi anche di quelli.

Il certificato emesso da StartSSL sta per scadere e rinnovarlo risolverà il problema?

No! In effetti, questo sito utilizzava un certificato emesso da StartSSL e doveva essere rinnovato. E nel momento in cui ho provato a rinnovarlo, questo è ciò che ha detto StartSSL.

StartSSL CA è stata screditata durante ottobre 2016 e sei mesi da allora è aprile 2017. Quindi mi aspettavo che l'azienda avesse apportato le modifiche necessarie per conformarsi alle politiche di CA e la riconsiderazione è stata richiesta a Google, Mozilla e Apple. Ma purtroppo non era così. Ho rinnovato e installato il nuovo certificato per visualizzare solo gli avvisi di sicurezza dal browser.

I certificati StartSSL saranno di nuovo attendibili?

Si spera dopo pochi mesi. Ma sono passati sei mesi da quando è stato diffidato e i certificati emessi anche dopo 6 mesi non sono considerati attendibili dai browser. Hanno presentato la richiesta di riconsiderazione a Google, Mozilla e Apple? Anche il sito Web ufficiale di StartSSL non dice quando l'autorità sarà nuovamente attendibile, ma stanno ancora vendendo certificati. Tuttavia, per ora, l'utilizzo di StartSSL non è consigliato.

Aggiornamento 02-dic-2017: Il servizio StartSSL di StartCom è terminato! Di seguito è riportata la posta di StartCom relativa alla cessazione del servizio.

Allora, qual è l'alternativa?

Alternative per StartSSL

a) Puoi acquistare un certificato commerciale da fornitori di certificati affidabili.

(o)

b) Scegli un altro fornitore di certificati gratuito, come LetsEncrypt.

Come proteggere il tuo sito Web utilizzando LetsEncrypt?

LetsEncrypt è un'autorità di certificazione gratuita, automatizzata e aperta che fornisce un certificato SSL con una validità di 90 giorni.

L'installazione del certificato LetsEncrypt è piuttosto semplice. Tutto quello che devi fare è utilizzare Certbot – uno script che richiede automaticamente il certificato da LetsEncrypt e abilita HTTPS sul tuo sito web. Certbot supporta Apache, Ngnix e Haproxy.

Passaggio 1 :Scarica Certbot

# wget https://dl.eff.org/certbot-auto

Passaggio 2 :imposta il permesso di esecuzione

# chmod a+x certbot-auto

Passaggio 3 :Controlla le varie opzioni supportate dallo script.

# ./certbot-auto -h

Lo script supporta plug-in per server Web come mostrato di seguito:

 --apache Use the Apache plugin for authentication & installation
 --standalone Run a standalone webserver for authentication
 --nginx Use the Nginx plugin for authentication & installation
 --webroot Place files in a server's webroot folder for authentication
 --manual Obtain certs interactively, or using shell script hooks

Per impostazione predefinita, lo script otterrà e installerà il certificato nel tuo attuale server web. Nel caso, se hai solo bisogno di ottenere il certificato e non vuoi installarlo nel server web, usa certonly opzione come mostrato di seguito:

# ./certbot-auto --apache certonly

Test e prova a secco:  Le opzioni seguenti possono essere utilizzate per richiedere un certificato di prova ed eseguire una prova a secco per testare i rinnovi dei certificati.

 --test-cert         Obtain a test cert from a staging server
 --dry-run          Test "renew" or "certonly" without saving any certs to disk

Certbot non supporta più host virtuali in un unico file di configurazione

Il certbot script richiede che tutti i tuoi domini siano configurati in un file di configurazione degli host virtuali separato. Ad esempio, ho configurato VirtualHosts per tutti i miei domini (inclusi il dominio principale e i sottodomini) in httpd.conf file – un singolo file contenente più vhost. In questo caso, il certbot lo script è stato in grado di ottenere il certificato per tutti i domini, ma non è stato in grado di autenticarsi per l'installazione nel server web. Secondo questo thread, il comportamento era intenzionale per evitare errori durante l'installazione dei certificati. Quindi, se hai più host virtuali configurati in un unico file, devi dividerlo in diversi file di host virtuali prima di eseguire certbot-auto comando.

Ottieni il certificato da LetsEncrypt e installa

# ./certbot-auto
 Obtaining a new certificate
 Performing the following challenges:
 tls-sni-01 challenge for domaina.com
 tls-sni-01 challenge for sub.domainb.com
 Waiting for verification...
 Cleaning up challenges
 Generating key (2048 bits): /etc/letsencrypt/keys/0000_key-certbot.pem
 Creating CSR: /etc/letsencrypt/csr/0000_csr-certbot.pem
 Deploying Certificate for domaina.com to VirtualHost /etc/httpd/conf.d/domaina-com.conf
 Deploying Certificate for domainb.com to VirtualHost /etc/httpd/conf.d/domainb-com.conf

Dove sono archiviati i certificati?

Tutti i certificati live verranno archiviati in /etc/letsencrypt/live/ . Controlla anche altre directory in /etc/letsencrypt .

[letsencrypt] # ls
accounts archive csr keys live options-ssl-apache.conf renewal

Qual ​​è la validità dei certificati emessi da LetsEncrypt?

Usa openssl comando per verificare la validità del certificato come mostrato di seguito:

# openssl x509 -startdate -enddate -in /etc/letsencrypt/live/domaina.com/cert.pem
notBefore=May 4 09:29:00 2017 GMT
notAfter=Aug 2 09:29:00 2017 GMT

Rinnova certificati

Poiché il certificato emesso da Let's Encrypt scadrà tra 90 giorni, è necessario rinnovarlo automaticamente prima che scadano. Il 'rinnovo L'opzione ' ti consentirà di rinnovare i certificati e –dry-run l'opzione ti aiuterà a simulare il processo di rinnovo.

$./certbot-auto renew

Simula il rinnovo del certificato:

$./certbot-auto renew --dry-run
-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/domaina.com.conf
-------------------------------------------------------------------------------
Cert not due for renewal, but simulating renewal for dry run
Renewing an existing certificate
Performing the following challenges:
tls-sni-01 challenge for domaina.com
Waiting for verification...
Cleaning up challenges
Generating key (2048 bits), not saving to file
Creating CSR: not saving to file
-------------------------------------------------------------------------------
new certificate deployed with reload of apache server; fullchain is
/etc/letsencrypt/live/domaina.com/fullchain.pem
-------------------------------------------------------------------------------
** DRY RUN: simulating 'certbot renew' close to cert expiry
** (The test certificates below have not been saved.)
Congratulations, all renewals succeeded. The following certs have been renewed:
/etc/letsencrypt/live/domaina.com/fullchain.pem (success)
** DRY RUN: simulating 'certbot renew' close to cert expiry
** (The test certificates above have not been saved.)
IMPORTANT NOTES:
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.

Setup Cron job per il rinnovo automatico del certificato

# crontab -e

E aggiungi le righe seguenti:

0 0 * * * /usr/bin/certbot-auto renew
30 13 * * * /usr/bin/certbot-auto renew

Nota :Ricorda di impostare il percorso corretto su certbot-auto script e assicurati cron viene eseguito due volte al giorno. Bene, il certbot-auto non farà nulla a meno che il certificato non debba essere rinnovato.