Безопасность в интернете начинается с HTTPS

После установки SSL-сертификата Let's Encrypt и перевод работы NGiNX по протоколу HTTPs последнее, что необходимо сделать, — это настроить автоматическое обновление сертификатов. Политика Let's Encrypt такова, что свои бесплатные SSL-сертификаты они выдают сроком на 3 месяца (на самом деле, на 90 дней) аргументируя это тем, чтобы владельцы сайтов озаботились как раз этим самым автоматическим обновлением и просто забыли про то, что раз в год надо что-то покупать, встраивать и донастраивать. Хорошая политика! Мне нравится.

После того, как SSL-сертификаты от Let's Encrypt получены их можно смело прикручивать к NGiNX для того, чтобы сайт наконец-то начал работать по защищённому протоколу HTTPs. Для этого потребуется внести правки в конфиги виртуальных хостов, к которым получены SSL-сертификаты, поменять порт, который будет использоваться для приёма и передачи данных от клиента и сразу настроить редирект с HTTP на HTTPs (чтобы весь трафик впредь шёл в зашифрованном виде).

В этой статье рассмотрим процесс получения SSL-сертификата Let's Encrypt для домена с помощью Certbot. Для этого должны быть выполнены все настройки, описанные в предыдущей статье. Напомню, что все действия связаны с работой сервера, настроенного на работу в в связке Apache+NGiNX. Описанные действия должны работать и при одиночно установленном NGiNX. Все действия лучше проводить в описанной последовательности. Тесты должны проходить без ошибок.

После того, как в настройках плагина Webroot прописана папка, в которой будут храниться необходимые для проверки прав Certbot'ом на домен файлы для получения и обновления SSL-сертификатов Let's Encrypt (для перевода работы сайтов по протоколу HTTPs), нужно настроить веб-сервер NGiNX и поддерживаемые им виртуальные хосты для передачи этих файлов по запросу под всеми доменами, для которых требуется работа по HTTPs. Как это сделать и будет рассмотрено ниже в этой статье.

Для автоматического получения (и продления) SSL-сертификатов Let's Encrypt потребуется отдавать по запросу идентификационные данные. В этой статье рассмотрим, как настроить плагин Webroot после установки Certbot на сервер так, чтобы идентификация проходила в автоматическом режиме. Для этого потребуется прописать некоторые дополнительные настройки в конфигурационный файл letsencrypt.

Для того, чтобы получать бесплатные SSL сертификаты от Let's Encrypt для сайтов у себя на сервере, необходимо установить Certbot и путём простой команды зарегистрироваться введя свой емайл. О том, как проходит регистрация в Let's Encrypt с помощью Certbot и будет рассмотрено ниже.

Для того, чтобы сайты начали работать по протоколу HTTPs, (а этого требует веяние времени для того, чтобы усложнить жизнь мелким пакостникам, заставив их развиваться и искать другие пути, как можно напакостить), нужно установить SSL-сертификат для шифрования данных, которыми обмениваются браузер пользователя и сервер (и на пути между ними сидят мелкие пакостники). Для облегчения жизни администраторам и автоматизации работы с установкой бесплатных сертификатов от Let’s Encrypt проще всего воспользоваться утилитой от разработчиков Certbot.

«Нельзя, но если очень хочется, то можно,» — это про работу в Google Chrome по протоколу https при отсутствии сертификата SSL на сервере или когда сертификат просрочен или ещё каким способом исчерпавшим свою валидность. Например, при попытке зайти в ISP-менеджер на сервере без установленного SSL-сертификата, вываливается предупреждение от Google Chrome «Ошибка нарушения конфиденциальности». Что в таких случаях делать, рассмотрим ниже.