VERTRAUEN ist das Wort, das uns in den Sinn kommt, wenn wir über Zertifizierungsstelle sprechen. StartSSL, eine Zertifizierungsstelle, die ein kostenloses SSL-Zertifikat mit einer Gültigkeit von einem Jahr für die nicht-kommerzielle Nutzung bereitstellt. Eine Initiative, die darauf abzielte, den Internetverkehr zu sichern, hat jetzt das VERTRAUEN verloren – StartSSL misstraut! Die Zertifizierungsstelle hat im Oktober 2016 deutlich an Vertrauen verloren – unten ist die Erklärung von Mozilla. Achten Sie auf das unten stehende Update bezüglich der Beendigung des SSL-Dienstes von StartCom.
Mozilla hat entdeckt, dass eine Zertifizierungsstelle (CA) namens WoSign eine Reihe von technischen und Verwaltungsfehlern hatte. Am schlimmsten ist, dass wir festgestellt haben, dass sie SSL-Zertifikate zurückdatierten, um die Frist zu umgehen, in der Zertifizierungsstellen die Ausstellung von SHA-1-SSL-Zertifikaten bis zum 1. Januar 2016 einstellen. Außerdem entdeckte Mozilla, dass WoSign den vollen Besitz einer anderen Zertifizierungsstelle namens StartCom erworben hatte und dies nicht tat geben Sie dies gemäß den Richtlinien von Mozilla offen.
Lesen Sie mehr.
Außerdem die Erklärung von Google.
Google hat festgestellt, dass zwei CAs, WoSign und StartCom, die hohen Standards, die von CAs erwartet werden, nicht eingehalten haben und Google Chrome nicht mehr vertrauen wird
Lesen Sie mehr.
Ich habe ein von StartSSL ausgestelltes SSL-Zertifikat, wirkt sich dies auf meine Website aus?
Die Antwort ist JA und NEIN .
Ja , wenn Ihr Zertifikat nach dem 21. Oktober 2016 00:00:00 UTC ausgestellt wurde. Weil ihnen die Browser nicht vertrauen.
Nein , wenn Ihr Zertifikat vor dem 21. Oktober 2016 00:00:00 UTC ausgestellt wurde. Die Browser können weiterhin vertrauen, solange sie die Browserrichtlinie einhalten. Aber das ist riskant, weil man nie weiß, wann die Browser diesen ebenfalls nicht mehr vertrauen.
Das von StartSSL ausgestellte Zertifikat läuft bald ab und durch seine Verlängerung wird das Problem gelöst Problem?
Nein! Tatsächlich verwendete diese Website ein Zertifikat, das von StartSSL ausgestellt wurde und zur Erneuerung fällig war. Und in dem Moment, als ich versuchte, es zu erneuern, sagte StartSSL Folgendes.
StartSSL CA wurde im Oktober 2016 misstraut und sechs Monate danach ist April 2017. Daher habe ich erwartet, dass das Unternehmen die notwendigen Änderungen vorgenommen hat, um die CA-Richtlinien einzuhalten, und Google, Mozilla und Apple haben eine erneute Überprüfung beantragt. Aber leider war das nicht der Fall. Ich habe das neue Zertifikat erneuert und installiert, um nur die Sicherheitswarnung des Browsers zu sehen.
StartSSL-Zertifikaten wird wieder vertraut?
Hoffentlich nach ein paar Monaten. Aber es ist sechs Monate her, dass ihm misstraut wurde, und selbst nach 6 Monaten ausgestellte Zertifikate werden von den Browsern nicht als vertrauenswürdig eingestuft. Haben sie den Antrag zur erneuten Prüfung an Google, Mozilla und Apple übermittelt? Selbst die offizielle Website von StartSSL sagt nicht, wann der Behörde wieder vertraut wird, aber sie verkauft immer noch Zertifikate. Derzeit wird jedoch von der Verwendung von StartSSL abgeraten.
Aktualisierung vom 2. Dezember 2017: Der StartSSL-Dienst von StartCom wurde beendet! Unten ist die Mail von StartCom bezüglich der Beendigung des Dienstes.
Also, was ist die Alternative?
Alternativen für StartSSL
a) Sie können ein kommerzielles Zertifikat von einem vertrauenswürdigen Zertifikatsanbieter kaufen.
(oder)
b) Wählen Sie einen anderen kostenlosen Zertifikatsanbieter – wie LetsEncrypt.
Wie sichert man seine Website mit LetsEncrypt?
LetsEncrypt ist eine kostenlose, automatisierte und offene Zertifizierungsstelle, die ein SSL-Zertifikat mit einer Gültigkeit von 90 Tagen bereitstellt.
Die Installation des LetsEncrypt-Zertifikats ist ziemlich einfach. Sie müssen lediglich Certbot verwenden – ein Skript, das automatisch ein Zertifikat von LetsEncrypt anfordert und HTTPS auf Ihrer Website aktiviert. Certbot unterstützt Apache, Ngnix und Haproxy.
Schritt 1 :Certbot herunterladen
# wget https://dl.eff.org/certbot-auto
Schritt 2 :Ausführungsberechtigung setzen
# chmod a+x certbot-auto
Schritt 3 :Sehen Sie sich die verschiedenen Optionen an, die vom Skript unterstützt werden.
# ./certbot-auto -h
Das Skript unterstützt Plugins für Webserver wie unten gezeigt:
--apache Use the Apache plugin for authentication & installation --standalone Run a standalone webserver for authentication --nginx Use the Nginx plugin for authentication & installation --webroot Place files in a server's webroot folder for authentication --manual Obtain certs interactively, or using shell script hooks
Standardmäßig ruft das Skript Zertifikate ab und installiert sie auf Ihrem aktuellen Webserver. Falls Sie nur ein Zertifikat benötigen und es nicht auf dem Webserver installieren möchten, verwenden Sie certonly Option wie unten gezeigt:
# ./certbot-auto --apache certonly
Testen und Probelauf: Die folgenden Optionen können verwendet werden, um ein Testzertifikat anzufordern und einen Probelauf durchzuführen, um Zertifikatserneuerungen zu testen.
--test-cert Obtain a test cert from a staging server --dry-run Test "renew" or "certonly" without saving any certs to disk
Certbot unterstützt nicht mehrere virtuelle Hosts in einer einzigen Konfigurationsdatei
Der certbot Das Skript erfordert, dass alle Ihre Domänen in einer separaten Konfigurationsdatei für virtuelle Hosts konfiguriert werden. Zum Beispiel hatte ich VirtualHosts für alle meine Domains (einschließlich der primären Domain und Subdomains) in httpd.conf eingerichtet file – eine einzelne Datei, die mehrere vhosts enthält. In diesem Fall der certbot Das Skript konnte ein Zertifikat für alle Domänen abrufen, konnte sich jedoch nicht für die Installation auf dem Webserver authentifizieren. Laut diesem Thread war das Verhalten beabsichtigt, um Fehler bei der Installation von Zertifikaten zu vermeiden. Wenn Sie also mehrere virtuelle Hosts in einer einzigen Datei konfiguriert haben, müssen Sie diese auf verschiedene virtuelle Hosts aufteilen, bevor Sie certbot-auto ausführen Befehl.
Zertifikat von LetsEncrypt erhalten und installieren
# ./certbot-auto Obtaining a new certificate Performing the following challenges: tls-sni-01 challenge for domaina.com tls-sni-01 challenge for sub.domainb.com Waiting for verification... Cleaning up challenges Generating key (2048 bits): /etc/letsencrypt/keys/0000_key-certbot.pem Creating CSR: /etc/letsencrypt/csr/0000_csr-certbot.pem Deploying Certificate for domaina.com to VirtualHost /etc/httpd/conf.d/domaina-com.conf Deploying Certificate for domainb.com to VirtualHost /etc/httpd/conf.d/domainb-com.conf
Wo werden die Zertifikate gespeichert?
Alle Live-Zertifikate werden unter /etc/letsencrypt/live/ gespeichert . Checken Sie auch andere Verzeichnisse unter /etc/letsencrypt aus .
[letsencrypt] # ls accounts archive csr keys live options-ssl-apache.conf renewal
Was ist die Gültigkeit von Zertifikaten, die von LetsEncrypt ausgestellt wurden?
Verwenden Sie openssl Befehl, um die Gültigkeit des Zertifikats wie unten gezeigt zu überprüfen:
# openssl x509 -startdate -enddate -in /etc/letsencrypt/live/domaina.com/cert.pem notBefore=May 4 09:29:00 2017 GMT notAfter=Aug 2 09:29:00 2017 GMT
Zertifikate erneuern
Da das von Let’s Encrypt ausgestellte Zertifikat in 90 Tagen abläuft, müssen Sie das Zertifikat automatisch erneuern, bevor es abläuft. Die Schaltfläche „erneuern ‘-Option ermöglicht es Ihnen, die Zertifikate zu erneuern und –dry-run Option hilft Ihnen, den Erneuerungsprozess zu simulieren.
$./certbot-auto renew
Zertifikatserneuerung simulieren:
$./certbot-auto renew --dry-run ------------------------------------------------------------------------------- Processing /etc/letsencrypt/renewal/domaina.com.conf ------------------------------------------------------------------------------- Cert not due for renewal, but simulating renewal for dry run Renewing an existing certificate Performing the following challenges: tls-sni-01 challenge for domaina.com Waiting for verification... Cleaning up challenges Generating key (2048 bits), not saving to file Creating CSR: not saving to file ------------------------------------------------------------------------------- new certificate deployed with reload of apache server; fullchain is /etc/letsencrypt/live/domaina.com/fullchain.pem ------------------------------------------------------------------------------- ** DRY RUN: simulating 'certbot renew' close to cert expiry ** (The test certificates below have not been saved.) Congratulations, all renewals succeeded. The following certs have been renewed: /etc/letsencrypt/live/domaina.com/fullchain.pem (success) ** DRY RUN: simulating 'certbot renew' close to cert expiry ** (The test certificates above have not been saved.) IMPORTANT NOTES: - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal.
Richten Sie den Cron-Job für die automatische Zertifikatserneuerung ein
# crontab -e
Und fügen Sie die folgenden Zeilen hinzu:
0 0 * * * /usr/bin/certbot-auto renew 30 13 * * * /usr/bin/certbot-auto renew
Hinweis :Denken Sie daran, den richtigen Pfad zu certbot-auto festzulegen -Skript und sorgen Sie für cron wird zweimal täglich gefahren. Nun, das certbot-auto wird nichts tun, es sei denn, das Zertifikat muss erneuert werden.