sertifikāti

[LvSnor]

Tehniski ir tā ka mūsdienās vajag https protokolu. Un visiem kas mēģina likt ar rokām sertifikātus, tas var izlikties kā nebeidzams murgs. Bet pateicoties Let's Encrypt - Free SSL/TLS Certificates letsencrypt.org tas ir kluvis pavisam īpaši viegli pateicoties https://certbot.eff.org/ un viņa python pieslēgumam. Un Voila kubele.lv ir https://kubele.lv

Kods:

apt install certbot python-certbot-apache;
certbot --apache

vai pa vienam domainam

Kods:

certbot --apache -d your-domain.com -d www.your-domain.com

un tad laiku pa laikam nedrīkst aizmirst ievadīt cron darbu, kas atjauno sertifikātu, ja tā lietošanas laiks ir zem 30 dienām.

Kods:

--renew-hook "systemctl reload apache2"

iekš cron

Kods:

/etc/cron.d/certbot

kurā ir sekojošais ieraksts:
/etc/cron.d/certbot

Kods:

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(43200))' && certbot -q renew --renew-hook "systemctl reload apache2"

Lai pārbaudītu vari izmantot

Kods:

--dry-run

ar slēdzīti:

Kods:

certbot renew --dry-run

Un ja nav kļūdas, tas nozīme, ka viss strādā lieliski.

Iedvesmojos no: https://linuxhint.com/setup_free_ssl_cer...he_debian/

[LvSnor]

Deploying Let's Encrypt's New Issuance Chains

Apr 12, 2024 • Kruti Sutaria

On Thursday, June 6th, 2024, we will be switching issuance to use our new intermediate certificates. Simultaneously, we are removing the DST Root CA X3 cross-sign from our API, aligning with our strategy to shorten the Let’s Encrypt chain of trust. We will begin issuing ECDSA end-entity certificates from a default chain that just contains a single ECDSA intermediate, removing a second intermediate and the option to issue an ECDSA end-entity certificate from an RSA intermediate. The Let’s Encrypt staging environment will make an equivalent change on April 24th, 2024.
https://letsencrypt.org/2024/04/12/chang...nce-chains

[LvSnor]

Kad Let’s Encrypt, bezmaksas sertifikātu iestāde, sāka izdot 90 dienu TLS sertifikātus vietnēm, tas tika uzskatīts par drosmīgu gājienu, kas palīdzēja ekosistēmai virzīties uz īsāku sertifikātu dzīves laiku. Iepriekš sertifikātu iestādes parasti izdeva sertifikāta kalpošanas laiku, kas ilgst gadu vai ilgāk. Izmantojot 4.0, CertBot tagad atbalsta Let’s Encrypt jauno spēju pēc sešu dienu sertifikātiem, izmantojot ACME profilus un dinamisku atjaunošanu:

1/3 no mūža palicis
1/2 no mūža palicis, ja kalpošanas laiks ir īsāks par 10 dienām

Ir daži, nozīmīgi iemesli, kāpēc īsāks laiks ir labāks:

Ja tiek apdraudēta sertifikāta privātā atslēga, kompromiss nevar ilgt tik ilgi.
Ar īsāku sertifikātu dzīves ilgumu tiek mudināta automatizācija. Kas atvieglo tīmekļa serveru stabilu drošību.
Sertifikātu atsaukšana ir vēsturiski pārslaina. Dzīves ilgums 10 dienas un neļauj novērst nepieciešamību atsaukties uz atsaukšanas procesu un tikt galā ar turpmāku kompromitētas atslēgas izmantošanu.

Ir debates par to, cik īsi vajadzētu būt šiem dzīves periodiem, bet ar ACME profiliem jums var būt noklusējuma vai “klasiskā” šifrēšanas pieredze (90 dienas) vai sākt aktīvi izmantot citus profila veidus, izmantojot CertBot ar-par-Prefered-Profile un-prasmīgu profilu karodziņiem. Sešu dienu sertifikātiem varat izvēlēties “īslaicīgu” profilu.

Šīs jaunās iespējas ir tikai sākums modernajām funkcijām, kuras ekosistēma var atbalstīt, un mēs priecājamies, ka mums ir dinamisks atjaunošanas laiks, lai sāktu piesaistīt veiklāku tīmekli, kas atvieglo labāku drošību un elastīgas iespējas ikvienam. Paldies sabiedrībai un Certbot komandai par to, ka tas notika!
https://www.eff.org/deeplinks/2025/04/ce...ived-certs