Internet prezentacije postaju sve više interaktivnije. Nekada su to bile fiksne strane, informativnog karaktera, sada sajtovi traže više akcija od strane korisnika. Neminovnost je da korisničke podatke treba zaštitii, a jedan od načina je upotreba SSL sertifikata.
Šta je SSL sertifikat
SSL je skraćenica od Secure Socket Layer. Iako je trenutno u upotrebi verzija TLS (Transport Layer Security), još uvek je SSL termin koji označava enkriptovani protok informacija na internetu.
Vrste SSL sertifikata
Postoji nekoliko vrsti sertifikata, a razlikuju se po nivoima sigurnosti, tj garancijom kuće koja je izdala sertifikat. Mogu se sertifikovati sami sajtovi, ali i kompanije.
Sertifikat koji pravi sam server nije potpisan i pregledači će izbaciti poruku da sadržaj nije bezbedan. Da bi se ovo izbeglo, do sada se pribegavalo kupovini različitih sertifikata. Najširi krug korisnika je gledao da uzme što jeftiniji sertifikat, a to nekada nije moglo bez par stotina dolara. Trenutno u ponudi postoje sertifikati za par dolara.
Par godina unazad postoji nastojanje da se odrade besplatni sertifikati, ali do sada ni jedan nije bio pouzdan ili je servis bio previše opterećen.
Projekat Let’s Encrypt nudi besplatnu sertifikaciju koju možete odraditi na sopstvenom serveru, uz posredovanje Internet Security Research Group (ISRG).
Zašto primeniti SSL sertifikaciju
SSL je obavezan kada je elektronska trgovina ili bankarstvo u pitanju. Takođe, postaje neophodan kada imate korisničke podatke na sajtu, počev od registracije, logina, ažuriranja podataka.
Iako postoje tvrdnje da će SSL biti obavezan na svim sajtovima, ubeđen sam da će to važiti za sajtove sa interakcijom. Novinski portali uglavnom pružaju informacije u jednom smeru, a SSL može dodatno da ih uspori (merenja su vršena putem nekoliko sistema za merenje odziva, brzine i količine prenetih podataka).
Let’s Encrypt
U svakom slučaju, ukoliko vam je potreban sertifikat, Let’s Encrypt je preporučljiva alternativa. Za sada je u beta fazi, neke stvari se odvijaju sporo, ali ipak progresivno.
Instalacija
Instalacija je veoma prosta i ide u par koraka:
$ git clone https://github.com/letsencrypt/letsencrypt
$ cd letsencrypt
$ ./letsencrypt-auto --help
Sistemi koji su trenutno podržani jesu Debian i derivati, Apache2 web server, kao i Virtualmin panel. To ne znači da nije moguće podržati i druge sisteme uz malo veštine.
Nakon instalacije, sledeći korak može biti:
./letsencrypt-auto --apache
čime se startuje servis i pretražuju apache virtual hostovi. Svi pronaženi domeni i poddomeni su u opciji za dobijanje sertifikata. Neophodno je da DNS zapisi budu na istoj IP kao i server.
Alternativno, ukoliko koristite nginx ili neki drugi servis, možete pokrenuti:
./letsencrypt-auto certonly --standalone -d example.com -d www.example.com
Pre toga je potrebno zaustaviti servis koji je na portu 80. Postoji eksperimentalni modul za nginx, ali on do sada nije operativan.
Detaljnije o ovim operacijama na stranicama https://letsencrypt.org/howitworks/, a pogledajte i dokumentaciju https://community.letsencrypt.org/c/docs/
Virtualmin
Iako tek nedavno najavljena, već se pojavila podrška za ovaj popularni panel (Virtualmin GPL je besplatan). Trenutno ne pruža previše opcija, ali aktiviranjem SSL modula (za apache) možete lako zameniti generisani nepotpisani sertifikat, Let’s Encrypt sertifikatom. Ono što mi je zasmetalo, a nadam se da će uskoro biti rešeno, jeste što se sertifikat generiše samo za čisti domen, a ne i za www zapis. Takođe, često će vam zatrepati gomila poddomena.
Da bi uopšte proradio modul, potrebno je da i lokacija bude “u putanji”:
mv letsencrypt /opt/
ln -s /opt/letsencrypt/
ln -s /opt/letsencrypt/letsencrypt-auto /bin/letsencrypt
Stoga sam pripremio skript za brzo rešavanje ovog problema. Uz male izmene se može koristiti i u drugim situacijama, npr za nginx, ili kopiranje sertifikata za sam webmin interfejs.
DMN='gvozden.info'
USR='agvozden'
rm /etc/apache2/sites-available/*.lock
letsencrypt-auto certonly --apache -d $DMN -d www.$DMN
cd /home/$USR/
rm ssl.*
ln -s /etc/letsencrypt/live/$DMN/cert.pem ssl.cert
ln -s /etc/letsencrypt/live/$DMN/privkey.pem ssl.key
ln -s /etc/letsencrypt/live/$DMN/fullchain.pem ssl.ca
chown -h $USR ssl*
service apache2 reload
U slučaju da pregazite sertifikat onim bez www, ovom skriptom možete lako vratiti dodatne zapise. Ukoliko ne koristite apache onda --apache
zamenite sa certonly --standalone
. Možete dodati na kraj niza još poddomena, ili domena, uz atribut -d.
How to Secure Apache with Free Let’s Encrypt SSL Certificate on Ubuntu and Debian
http://www.tecmint.com/install-free-lets-encrypt-ssl-certificate-for-apache-on-debian-and-ubuntu/
Hvala ti na ovome. Odlican tekst i svakako od velike pomoci.
Pozdrav
Sve je vise sajtova koji koriste ovaj SSL sertifikat. Koliko je zaista dobar?