Ilmainen Let’s Encrypt https-sertifikaatti www-palvelimeen

Paranna hakukonenäkyvyyttä siirtymällä suojattuun https-yhteyteen!

Let’s Encrypt on projekti, jonka tavoitteena on muuttaa internet taas vähän turvallisemmaksi. Keinona on automatisoida PKI-sertifikaattien tuottaminen, jolloin niiden hinta saadaan alas. Itse Let’s Encrypt jakaa sertifikaatteja ilmaiseksi, joskin (pienetkin) lahjoitukset ovat tervetulleita. Google puolestaan edistää https-yhteyksien yleistymistä nostamalla suojattuja sivustoja ylemmäksi hakutuloksissa. Chrome-selain varoittelee suojaamattomista sivustoista.

Helpointa Let’s Encryptin sertifikaatin käyttöönotto on, jos palveluntarjoaja tukee sitä suoraan – sitä kannattaa kysyä. Vaikka sivuston ylläpitokäyttöliittymässä olisi vain linkkejä maksullisen sertifikaatin tilaamiseen, voi hyvin kysyä miksei Let’s Encrypt ole mukana.

Omaa palvelinta ylläpidettäessä pitää nähdä vähän enemmän vaivaa. Let’s Encryptin automaatio tarkoittaa, ettei sertifikaattia voi tilata miltään web-sivulta. Palvelimella pitää olla skripti, joka hakee ja päivittää sertifikaatin automaattisesti. EFF:in tarjoama valmis CertBot tekee tämän helpoksi yleisimpien Unix-tyyppisten käyttöjärjestelmien osalta. Käyttöönotto ja asennus riippuu web-palvelimesta ja käyttöjärjestelmästä, mutta web-sivulta nämä voi valita ja saa sitten ohjeet juuri omaan ympäristöön. Windowsille on useita vaihtoehtoja sertifikaatin ylläpitoon.

Yleisesti ottaen web-sivustolle pitää tehdä piilohakemisto .well-known, jonne skripti tallentaa tunnisteen sertifikaatin hakemisen tai päivityksen ajaksi. Tällä tavoin Let’s Encrypt tietää, että pyyntö tulee oikeasta domainista. Tämä saattaa aiheuttaa pulmia, sillä sertifikaattiin tulevan domainin pitää olla ulkoverkosta tavoitettavissa http-pyynnöllä. Esimerkiksi sisäisen intranetin sertifikaattia ei voi tällä tavalla ylläpitää ilman erikoisvirityksiä tai ylipäätään suojata muita kuin http-palveluja, elleivät ne sijaitse samalla palvelimella http:n kanssa.

Sertifikaatin hakemisen jälkeen skripti tallentaa julkisen ja salaisen avaimen levylle. Paikan voi asetuksissa vaihtaa, mutta oletuskin kelpaa hyvin, kunhan huomaa laittaa oikeat polut web-palvelimen asetuksiin. Sertifikaatti on voimassa vain 90 päivää, mutta onneksi skripti uusii sen automaattisesti ilman vaivannäköä. Let’s Encrypt suosittelee skriptin suorittamista kahdesti päivässä, jotta sertifikaatti varmasti pysyy voimassa. Yleensä skripti ei siis tee mitään, joten se ei juuri kuormita palvelinta.

Tämän sivuston sertifikaatti on haettu Let’s Encryptiltä. Sen näkee klikkaamalla osoiterivin lukkoa tai mitä symbolia käyttämäsi selain nyt näyttääkään.

Linkkejä:

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

This site uses Akismet to reduce spam. Learn how your comment data is processed.