Zainstalowanie certyfikatu SSL na swojej domenie jest niezbędnym krokiem, który powinieneś podjąć, aby zabezpieczyć swoją witrynę WordPress, a teraz dzięki Let ’ s Encrypt możesz go uzyskać za darmo.
Certyfikat SSL szyfruje połączenie między witryną a przeglądarką odwiedzających, dzięki czemu hakerzy nie mogą przechwytywać i wykradać danych osobowych. Zwykle certyfikaty SSL mogą być uciążliwe w instalacji i mogą stać się drogie, ale szybko się to zmienia.
Let ’ s Encrypt to nowy urząd certyfikacji open source, który jest wspierany przez najlepsze firmy, w tym Automattic, ludzi stojących za WordPress, a także Facebook, Mozilla, Chrome, Cisco i Sucuri. Celem projektu jest uczynienie instalacji certyfikatów SSL zautomatyzowaną i bezpłatną dla wszystkich.
Let ’ s Encrypt ma zautomatyzowany instalator o nazwie Certbot, który może pomóc Ci dodać certyfikat do witryny w ciągu kilku minut lub mniej. Certbot jest obecnie w publicznej wersji beta i możesz spodziewać się wielu zmian w oficjalnym wydaniu, ale obecna wersja jest wystarczająco stabilna, aby wypróbować ją w zakładach produkcyjnych.
Co To jest Let ’ s Encrypt, Certbot I SSL?
Certyfikaty SSL
Certyfikaty SSL (Secure Socket Layer) zostały stworzone w 1996 roku w celu szyfrowania połączenia między witryną a jej użytkownikiem końcowym, dzięki czemu dane przesyłane tam i z powrotem są bezpieczne. Szyfrowanie danych oznacza szyfrowanie czytelnego dla człowieka tekstu ciągami liter i cyfr, które można rozszyfrować tylko za pomocą tzw. tajnego klucza.
Szyfrowanie danych oznacza szyfrowanie czytelnego dla człowieka tekstu ciągami liter i cyfr, które można rozszyfrować tylko za pomocą tzw. tajnego klucza. Dopóki tajny klucz pozostaje ukryty, zaszyfrowane dane nie mogą być zrozumiane przez nikogo, co czyni je najbezpieczniejszym sposobem ochrony informacji przez internet.
Możesz stwierdzić, kiedy witryna ma zainstalowany certyfikat SSL, gdy zobaczysz zieloną kłódkę wyświetlaną na pasku adresu przeglądarki wraz z https prefiks do adresu URL odwiedzanej witryny, a nie standardowe http.
Certyfikaty SSL są instalowane na domenach i jeden certyfikat powinien być instalowany na domenę.
Witryna dołączona do domeny jest zabezpieczana szyfrowaniem, gdy certyfikat SSL jest aktywny. Bez względu na to, z jakiej przeglądarki lub urządzenia użytkownicy korzystają, aby uzyskać dostęp do witryny, o ile wprowadzają adres URL witryny https na początku ich połączenie jest szyfrowane i bezpieczne.
Korzystanie z certyfikatu SSL dla witryny WordPress oznacza, że Twoje dane, a także dane użytkowników, pozostają bezpieczne przed wzrokiem ciekawskich. Ponieważ WordPress jest szczególnie dużym celem dla hakerów ze względu na swoją popularność i przejrzystość, ważne jest, aby podjąć wszelkie odpowiednie kroki w celu zabezpieczenia witryny.
Podczas gdy sam WordPress jest bezpieczny, jeśli masz zainstalowaną najnowszą wersję, im więcej przeszkód możesz umieścić na drodze hakera, aby utrudnić jego ataki, tym mniejsza szansa, że Twoja witryna zostanie naruszona. Jednym ze sposobów na dodanie dodatkowej warstwy ochrony do witryny jest zainstalowanie certyfikatu SSL.
Każda witryna, która wymienia informacje z odwiedzającym, niezależnie od tego, czy jest to witryna eCommerce, czy akceptuje loginy użytkowników, potrzebuje certyfikatu SSL. Ponieważ wszystkie witryny WordPress wymagają zalogowania co najmniej jednego użytkownika, zaleca się, aby wszystkie witryny WordPress posiadały certyfikat SSL.
Aby uzyskać więcej informacji na temat certyfikatów SSL i tego, jak mogą one pomóc w zabezpieczeniu witryny, sprawdź, jak korzystać z SSL i HTTPS w WordPress.
Szyfrujmy
Let ’ s Encrypt jest prowadzony przez Internet Security Research Group (ISRG), która jest kalifornijską korporacją pożytku publicznego i jest uznawana przez IRS jako organizacja zwolniona z podatku. Jest to zarejestrowany urząd certyfikacji, co oznacza, że jest jedną z autoryzowanych firm, które mogą wydawać certyfikaty SSL.
Jest to projekt open source, który ma na celu zabezpieczenie całej sieci. Let ’ s Encrypt doczekał się oficjalnej i stabilnej wersji 12 kwietnia 2016 r., która sprawiła, że wydawanie certyfikatów stało się otwarte i dostępne dla wszystkich witryn publicznych, a nie tylko środowisk testowych.
Standardowe certyfikaty są dostępne za darmo i nie są ograniczone do jednego, ale istnieje limit liczby certyfikatów, które można wystawić tygodniowo, ale o tym później.
Instalacja certyfikatu za pośrednictwem Let ’ s Encrypt jest szybka. W rzeczywistości jest to o wiele szybsze niż inne urzędy certyfikacji.
Zamiast czekać kilka godzin, aż wniosek zostanie zaakceptowany i certyfikat zostanie ostatecznie wydany, możesz użyć SSH i instalatora Certbot, aby wydać certyfikat dla swojej domeny w ciągu zaledwie kilku sekund. Cały proces Od początku do końca zwykle zajmuje zaledwie kilka minut, a nie godzin.
Certbot
Certbot to klient automatycznego środowiska zarządzania certyfikatami (Acme), który został udostępniony w publicznej wersji beta 12 maja 2016 roku. Po zainstalowaniu Certbota na serwerze za pośrednictwem SSH możesz wywołać jego polecenia, aby zainstalować i autoryzować certyfikaty SSL.
Wcześniej był znany jako klient Let ’ s Encrypt ACME, ale niedawno został przekazany Electronic Frontier Foundation (EFF), aby utrzymać i kontynuować rozwój klienta ACME. EFF jest organizacją non-profit, która została założona w 1990 roku i działa w celu obrony swobód obywatelskich w cyfrowym świecie i ochrony prywatności użytkowników.
Wymagania Serwera
Certbot w wersji beta jest na tyle stabilny, że można go używać w zakładach produkcyjnych, ale nie jest pozbawiony błędów, dlatego zaleca się dokładne przeprowadzenie testów w środowisku testowym przed zainstalowaniem certyfikatu na działającej witrynie.
Zgodnie z dokumentacją Let ’ s Encrypt i Certbot, aby zainstalować certyfikaty, musisz spełnić określone wymagania serwera:
„Klient Let’ s Encrypt obecnie działa tylko na systemach operacyjnych typu Unix, które zawierają Python 2.6 lub 2.7; Python 3.mam nadzieję, że wsparcie x zostanie dodane w przyszłości …. Wtyczka Apache wymaga obecnie systemu operacyjnego opartego na Debianie z augeas w wersji 1.0; dotyczy to Ubuntu 12.04+ i Debiana 7+.”
Nginx / 0.8.48+ jest również wysoce eksperymentalny i nie jest zawarty w wersji beta Certbota.
Musisz również uruchomić Certbot przez SSH i możesz użyć swojego ulubionego klienta SSH, takiego jak Terminal dla Mac OS X i PuTTY Dla Windows. Nie zapominaj, że Terminal jest fabrycznie zainstalowany, ale tak nie jest w przypadku PuTTY.
Certyfikaty można instalować jako użytkownik root na serwerze, ale jeśli naprawdę nie chcesz instalować certyfikatów w katalogu root, jest to technicznie możliwe, jeśli spełniasz określone wymagania:
- Jeśli nie używasz
samodzielnywtyczka opisana poniżej, która wymaga bindowania portów 80 lub 443 - Jeśli nie używasz
apachelubnginxwtyczki, które muszą modyfikować konfiguracje serwera www
Nawet jeśli dotyczy to ciebie, nadal możesz nie uruchamiać Cerbota jako administratora, używając opcji letsencrypt-nosudo lub simp_le. Pamiętaj, że te opcje nie są tworzone i utrzymywane przez zespoły odpowiedzialne za Let ’ s Encrypt i Certbot, więc używasz ich na własne ryzyko.
Pamiętaj, aby zachować tę samą ostrożność podczas instalowania wtyczek w swojej witrynie WordPress, ponieważ żadne z nich nie są gwarantowane przez czas nieokreślony, nie są wolne od błędów lub zobacz regularne aktualizacje.
Należy pamiętać, że uruchomienie Certbota jako root może nie być możliwe na współdzielonym hostingu lub zarządzanym serwerze VPS i serwerze dedykowanym. To zależy od Twojego planu hostingowego i dostawcy. Jeśli nie masz pewności, czy jest to możliwe, skontaktuj się z gospodarzem, aby się upewnić.
Możesz również uzyskać więcej informacji na temat SSH, sprawdzając krótki przewodnik po terminalu i wierszu poleceń dla WordPress.
Jeśli masz włączony CDN w swojej witrynie za pośrednictwem Cloudflare, możesz napotkać błędy podczas instalowania certyfikatu. Można tego uniknąć, tymczasowo zawieszając Cloudflare. Po zakończeniu instalacji certyfikatu możesz wznowić usługę CDN.
Ograniczenia i lokalizacje
Warunki Odnowienia
Certyfikaty są ważne przez 90 dni i nie odnawiają się automatycznie, ale można zautomatyzować proces odnawiania za pomocą polecenia. Istnieją również ograniczenia dotyczące liczby certyfikatów, które można zainstalować przez określony czas.
Limity Stawek
Istnieje limit 500 na trzygodzinny okres rejestracji adresu IP i pięciu Certyfikatów na domenę i 300 oczekujących autoryzacji tygodniowo. Obowiązuje również limit 100 domen dla pojedynczego certyfikatu.
Istnieje również limit subdomen 20 i innych odmian dla pojedynczej domeny na tydzień oraz pięciu Certyfikatów na w pełni kwalifikowaną nazwę domeny (FQDN) ustawioną na tydzień. Oznacza to, że jeśli chcesz wystawić certyfikat dla maksymalnie 20 subdomen, możesz wystawić cztery kolejne certyfikaty dla dokładnie tej samej grupy subdomen, o ile nie przekracza ona 20 subdomen.
Na przykład, jeśli wystawisz certyfikat dla your-site.com, www.your-site.com, blog.your-site.com oraz store.your-site.com będziesz mógł wydać cztery kolejne certyfikaty dla tych samych domen w ciągu jednego tygodnia. Ponieważ będzie to łącznie 20 domen, po prostu osiągniesz limit.
Z drugiej strony, jeśli miałbyś wystawić certyfikat dla pięciu domen, możesz wystawić tylko trzy kolejne certyfikaty zawierające te same domeny w ciągu jednego tygodnia, ponieważ byłoby to równe 20 domen.
Obecnie certyfikaty SSL wildcard i Extended Validation (EV) nie są dostępne. Te typy certyfikatów mogą być rozważane w przyszłości, ale obecnie nie są one rozwijane w momencie, gdy zostało to napisane.
Mając to na uwadze, certyfikaty wildcard nie są tak bardzo potrzebne, ponieważ możesz zainstalować tyle certyfikatów, ile chcesz, o ile je rozłożysz, aby nie przekroczyć limitu szybkości.
Gdzie znajdują się Twoje Certyfikaty
Twoje certyfikaty są przechowywane w plikach na twoim serwerze. Na cert.pem plik zawiera certyfikat dla Twojego serwera, podczas gdy łańcuch.plik pem zawiera wszystkie inne certyfikaty. Na fullchain.pem plik zawiera wszystkie certyfikaty.
Twoje tajne klucze są przechowywane w privkey.pem i powinny być trzymane w tajemnicy przed wszystkimi. W przeciwnym razie twój certyfikat może zostać wykorzystany i zinfiltrowany przez hakerów.
Wszystkie te pliki znajdują się w / etc / letsencrypt / live / domain/. Podczas odnawiania, / etc / letsencrypt / live/ jest aktualizowany w celu odzwierciedlenia najnowszych zmian i plików.
Instalacja Certbota
Istnieje kilka zależności, które należy zainstalować przed dodaniem Certbota. Podczas gdy niektóre systemy mają je wstępnie zainstalowane, nie wszystkie mają. Możesz dowiedzieć się, czy chcesz zainstalować zależności i znaleźć konkretne polecenie, którego potrzebujesz, przechodząc do strony internetowej Certbot.
W polach rozwijanych wybierz typ serwera internetowego i oprogramowanie operacyjne, aby wyświetlić dodatkowe informacje, których potrzebujesz.
Szczegóły są wyświetlane w polach rozwijanych, więc musisz trochę przewinąć w dół, aby wyświetlić polecenie potrzebne do instalacji zależności, a po tym wszystkim możesz zainstalować Certbot.
Polecenia, które mają to zrobić, są wymienione na tej samej stronie witryny Certbot, pod informacjami o zależnościach. Na tej stronie powinieneś również zobaczyć polecenia automatycznego odnawiania.
Możesz śmiało wprowadzić te polecenia przez SSH, aby zainstalować Certbot. Po zakończeniu możesz rozpocząć instalowanie certyfikatów SSL.
Instalowanie certyfikatów SSL
Podczas instalowania certyfikatów można wprowadzić domeny w łańcuchu. Oznacza to, że w jednym certyfikacie można uwzględnić wszystkie odmiany jednej domeny. Jest to idealne rozwiązanie na przykład dla subdomen.
Zamiast tworzyć nowy certyfikat dla każdej subdomeny, możesz utworzyć jeden certyfikat i zawierać wiele subdomen, o ile nie przekroczysz limitu szybkości opisanego powyżej.
Na przykład można utworzyć certyfikat dla your-site.com, www.your-site.com, blog.your-site.com, store.your-site.com oraz login.your-site.com.
Należy pamiętać, że nie należy umieszczać wszystkich oddzielnych witryn w jednym certyfikacie, takim jak your-site.com, domain.com oraz example.com. Taka konfiguracja wystawi certyfikat pod your-site.com a pozostałe wymienione po nim odgradzałyby certyfikat z wymienionej domeny jako pierwszej.
Powoduje to błędy podczas próby odwiedzenia https://domain.com oraz https://example.com. Twój certyfikat będzie wyświetlany jako nieprawidłowy, a odwiedzający zobaczą komunikat o błędzie przeglądarki informujący ich, że nie można bezpiecznie przeglądać Twojej witryny.
Aby tego uniknąć, upewnij się, że wszystkie całkowicie różne domeny mają certyfikaty wydane dla nich osobno lub zawierają ścieżkę pliku dla każdej witryny. Mając na uwadze te informacje, możesz śmiało instalować certyfikaty bez błędów, a więcej szczegółów na ten temat wyjaśniono później.
Ponadto po zainstalowaniu pierwszego certyfikatu zostaniesz poproszony o podanie adresu e-mail i zaakceptowanie Warunków korzystania z usługi. Za każdym razem, gdy instalujesz certyfikat po tej wstępnej konfiguracji, nie musisz nadal wpisywać adresu e-mail i akceptować warunków.
Metoda 1: serwery z zainstalowanymi pakietami natywnymi
Niektóre firmy hostingowe, takie jak SiteGround i DreamHost, mają Let ’ s Encrypt zawarte w Panelu sterowania. Jeśli masz tę opcję, możesz automatycznie zainstalować certyfikaty, przechodząc tę trasę.
Wiele platform ma również zainstalowane pakiety natywne, dzięki czemu można łatwiej instalować i wydawać certyfikaty. Możesz sprawdzić w swojej firmie hostingowej, czy tak jest w przypadku planu, na którym się znajdujesz, a jeśli tak, musisz sprawdzić witrynę Certbot, jak opisano powyżej.
Witryna powinna zawierać listę odpowiednich poleceń do zainstalowania certyfikatu.
Metoda 2: Samodzielny Wtyczka do stron testowych
Przed zainstalowaniem certyfikatu w aktywnej witrynie zaleca się najpierw wypróbowanie go w środowisku testowym. Na samodzielny Wtyczka Certbot może być użyta właśnie do tego celu.
Gdy używasz tej opcji, musisz zabić porty 80 lub 443 na serwerze przed zainstalowaniem certyfikatu. Porty te są używane do załadowania witryny i powoduje to błąd w Certbot, jeśli oba te porty są uruchomione.
Port 80 służy do obsługi witryny z domyślnym żądaniem HTTP, a port 443 ładuje witrynę za pomocą protokołu SSL, dzięki czemu można użyć portu 443, aby odwiedzający mogli nadal uzyskać dostęp do witryny bez HTTPS podczas instalacji certyfikatu.
Ponieważ polecenia zatrzymywania i restartowania portów różnią się w zależności od typu używanego oprogramowania operacyjnego, należy zapoznać się z dokumentacją typu serwera w celu uzyskania odpowiednich poleceń.
Po zamknięciu żądanego portu możesz wprowadzić jedną z poniższych komend, aby umożliwić Certbot korzystanie z wybranego portu:
-- standalone-supported-challenges http-01aby użyć portu 80-- samodzielne-obsługiwane-wyzwania tls-sni-01aby użyć portu 443
Następnie sprawdź stronę internetową Certbot, w jaki sposób powinieneś wywołać Certbot. Zastąp certbot poniżej z nazwą polecenia, którego chcesz użyć:
W powyższym poleceniu dla każdej z wymienionych domen wystawiany jest pojedynczy certyfikat, ponieważ dla nich została ustawiona ścieżka. Na / var / www / example katalog webroot będzie ścieżką dla dwóch pierwszych domen, które zostaną połączone i / var / www / inne to będzie ścieżka dla dwóch drugich.
Możesz wymienić jedną ścieżkę, a następnie wszystkie inne domeny, jeśli wszystkie są powiązane, lub możesz wyświetlić ścieżkę między każdą domeną, aby nadać każdej z nich całkowicie oddzielny certyfikat.
Mając to na uwadze, pamiętaj, aby zastąpić to, czego potrzebujesz, w tym / var / www / example/ oraz / var / www / inne ścieżki jak i domeny www.example.com, example.com, other.example.net oraz another.other.example.net. Zastąp je w razie potrzeby własnymi ścieżkami i nazwami domen.
Twoje certyfikaty powinny zostać wydane w tym momencie, gdy Certbot zakończy działanie i możesz je przetestować przed wydaniem certyfikatów do swoich witryn na żywo za pomocą wtyczki Webroot Certbot.
Metoda 3: Webroot Wtyczka dla zakładów produkcyjnych
Wtyczka Webroot Certbot jest doskonała do instalowania i wydawania certyfikatów na aktywnych witrynach, ponieważ nie musisz zamykać portów, które obsługują Twoją witrynę. Oznacza to, że możesz wydawać certyfikaty bez konieczności martwienia się o wyłączenie witryny podczas tego procesu.
Podobnie jak w przypadku samodzielnej wtyczki, sprawdź stronę internetową Certbot, w jaki sposób powinieneś wywołać Certbot.
Zastąp certbot poniżej z nazwą polecenia, którego chcesz użyć:
Podobnie jak w przypadku samodzielnej wtyczki, domeny wymienione po ścieżce są wydawane pojedynczym certyfikatem. W powyższym przykładzie, www.example.com oraz example.com są wydawane jeden certyfikat w ramach ścieżki / var / www / example/ oraz domeny other.example.net oraz another.other.example.net są wydawane zaświadczenia w ramach ścieżki / var / www / inne.
Gdy wprowadzasz polecenie dla swoich witryn, powinieneś wyświetlić listę ścieżek dla każdej z powiązanych domen. Aby zainstalować certyfikaty dla oddzielnych domen, wprowadź ścieżkę dla jednej domeny, a następnie powtórz ją dla innych domen, dla których chcesz wydać certyfikat w poleceniu one.
Możesz również wprowadzić jedną ścieżkę i jedną domenę i wprowadzić polecenie w ten sposób dla każdej z domen, które chcesz zainstalować certyfikaty.
Mając to na uwadze, pamiętaj, aby zastąpić / var / www / example/ oraz / var / www / inne z prawdziwymi ścieżkami do Twoich stron i www.example.com, example.com, other.example.net oraz another.other.example.net z rzeczywistymi nazwami domen w razie potrzeby.
Gdy Certbot zakończy uruchamianie polecenia, twój certyfikat SSL powinien zostać wydany i możesz sprawdzić nowo zabezpieczoną witrynę.
Metoda 4: Wtyczka stworzona przez społeczność lub oficjalna
Możesz także zainstalować certyfikat z jedną z wielu wtyczek stworzonych przez społeczność. Pamiętaj tylko, aby zachować ostrożność przy wyborze i instalacji, ponieważ każdy może tworzyć i publikować wtyczkę.
Listę wtyczek Certbot stworzonych przez innych członków społeczności open source możesz znaleźć na stronie Wiki Let ’ s Encrypt.
Odnawianie i cofanie certyfikatów
Aby odnowić certyfikat i skonfigurować automatyczne odnawianie, Sprawdź witrynę internetową Certbot, jak opisano powyżej, aby zainstalować Certbot. Po wejściu na serwer WWW i system operacyjny zostaną wyświetlone polecenia odnowienia.
Aby odwołać certyfikat, możesz wprowadzić następujące polecenie:
Pamiętaj, aby wymienić certbot z rzeczywistą nazwą polecenia, które strona internetowa Certbot poprosiła cię o użycie i zastąpienie your-site.com oraz your-site.net z domenami, w których chcesz unieważnić certyfikat.
Jeśli chcesz odwołać więcej niż jeden certyfikat na raz, wpisz spację na końcu, a następnie - d, przestrzeń i inna dziedzina. Jeśli chcesz odwołać certyfikat Tylko dla jednej domeny, Usuń - d your-site.net z powyższego polecenia.
Wrapping Up
Prawdopodobnie pojawi się wiele zmian, które wprowadzą Certbot, więc dobrym pomysłem jest częste sprawdzanie dokumentacji Let 's Encrypt i Certbot, a także strony internetowej Let’ s Encrypt w celu aktualizacji.
Po dodaniu certyfikatu SSL do witryny możesz zmusić wszystkich odwiedzających witrynę do korzystania z niego. Aby uzyskać szczegółowe informacje na temat tego, jak to skonfigurować, sprawdź jeden z naszych innych postów, jak korzystać z SSL i HTTPS w WordPress.
Jeśli napotkasz problemy i potrzebujesz pomocy z Certbot lub Let ’ s Encrypt, możesz zajrzeć na forum społeczności.
Ponadto dodanie certyfikatu SSL do witryny może spowodować, że obrazy nie będą wyświetlane, ponieważ ich adres URL ulegnie zmianie, ale możesz sprawdzić zastępowanie linków do obrazów w WordPress po zainstalowaniu certyfikatu SSL, aby uzyskać szczegółowe informacje na temat naprawienia tego błędu.
Prawdopodobnie jedną z najbardziej ekscytujących części Let ’ s Encrypt jest to, że możesz użyć naszej wtyczki do mapowania domen, aby zainstalować jeden certyfikat i zastosować go do wszystkich witryn w sieci. Możesz dowiedzieć się więcej na ten temat w naszym poście jak używać jednego certyfikatu SSL dla całej sieci Multisite.
Tagi:
