Бесплатные сертификаты для доменов от Let’s Encrypt

Использовать зашифрованный канал при передачи данных между клиентом и сервером с последнее время уже становится правилом хорошего тона. Очень много личной информации пользователи доверяют онлайн-сервисам. Если владельцы сервисов могут обеспечить их сохранность в рамках сервера или дата-центра, то при передачи данных по сети злоумышленники могут легко перехватить их.

Решить эту проблему может установка безопасного соединения между клиентом и сервером. На HTTP-сервере должны находиться сертификат открытого ключа, который будет использоваться для шифрования. Этот сертификат подтверждает факт соответствия ключа и домена или принадлежность ключа персоне или организации, владеющей сайтом.

Сертификаты выпускают специальные центры сертификации (Certification Authorities). Они проверяют данные, которые вы им предоставили и присылают подписанный ими сертификат. По степени тщательности проверки данных в центре сертификации сертификаты принято делить на три группы:

  1. сертификаты для домена;
  2. сертификаты для организации;
  3. сертификаты с расширенной проверкой данных.

Выпуская сертификат для домена, центр сертификации проверяет только то, что лицо, подавшее заявку на выпуск, обладает полномочиями управлять этим доменом. Как правило, в этом случае просят указать определённую DNS-запись в домене или сообщить код, отправленный на служебный почтовый ящик. Это самый примитивный способ проверки, который может быть выполнен в автоматическом режиме.

Let’s Encrypt

Новый центр сертификации Let’s Encrypt запустил сервис по выпуску и обновлению сертификатов для доменов, который требует минимальное количество ручной работы. Администратор сервер запускает скрипт, который связывается с центром сертификации, проходит требуемые проверки и сохраняет полученные сертификаты на диск. Для популярных серверов Apache и Nginx даже будут внесены соответствующие изменения в конфигурации.

Подробнее процесс установки описан в инструкции.

Самое приятное, что этот сервис абсолютно бесплатный.

Проверка правильности конфигурации

Во время настройки сервера я рекомендую сверяться с чеклистом:

Чеклист настройки TLS

И проверить настройки сервера с помощью онлайн-сервиса.

Плюсы и минусы

Бесплатные TLS-сертификаты прекрасно подходят для «домашних» проектов, блогов и некоммерческих сайтов.

Но из-за того, что сертификат для домена не гарантирует принадлежность сайта конкретной организации или частному лицу, использовать их для корпоративных сайтов или защиты платёжных данных не стоит. Увы, сертификаты, дающие зелёную подсветку адресной строки, можно только купить.

Переходи на HTTPS!

И в заключении хочу поделиться слайдами и видео моей презентации «Переходи на HTTPS!»

Выступление на ChellyJS в Челябинске

Слайды

Выступление на 4front в Минске

Слайды