Инструменты пользователя

Инструменты сайта


letsencrypt:letsencrypt

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия
Предыдущая версия
letsencrypt:letsencrypt [2020-08-03 11:10]
GreyWolf [Почта]
letsencrypt:letsencrypt [2021-10-04 16:37] (текущий)
GreyWolf [IdenTrust DST Root CA X3 2021-09-30]
Строка 5: Строка 5:
 Проект Let’s Encrypt создан для того, чтобы большая часть интернет-сайтов смогла перейти к шифрованным подключениям (HTTPS). В отличие от коммерческих центров сертификации,​ в данном проекте не требуется оплата,​ переконфигурация веб-серверов,​ использование электронной почты, обработка просроченных сертификатов,​ что делает процесс установки и настройки TLS-шифрования значительно более простым. Например,​ на типичном веб-сервере на базе Linux, требуется исполнить две команды,​ которые настроят HTTPS шифрование,​ получат и установят сертификат примерно за 20-30 секунд. Проект Let’s Encrypt создан для того, чтобы большая часть интернет-сайтов смогла перейти к шифрованным подключениям (HTTPS). В отличие от коммерческих центров сертификации,​ в данном проекте не требуется оплата,​ переконфигурация веб-серверов,​ использование электронной почты, обработка просроченных сертификатов,​ что делает процесс установки и настройки TLS-шифрования значительно более простым. Например,​ на типичном веб-сервере на базе Linux, требуется исполнить две команды,​ которые настроят HTTPS шифрование,​ получат и установят сертификат примерно за 20-30 секунд.
  
-Пакет с утилитами автонастройки и получения сертификата включён в официальные репозитарии дистрибутива [[debian:​debian|Debian]]. Разработчики популярных браузеров,​ Mozilla и Google намерены постепенно отказаться от поддержки незашифрованного протокола HTTP путём отказа от поддержки новых веб-стандартов для http-сайтов.+Пакет с утилитами автонастройки и получения сертификата включён в официальные репозитории дистрибутива [[debian:​debian|Debian]]. Разработчики популярных браузеров,​ Mozilla и Google намерены постепенно отказаться от поддержки незашифрованного протокола HTTP путём отказа от поддержки новых веб-стандартов для http-сайтов.
  
 https://​letsencrypt.org/​ https://​letsencrypt.org/​
Строка 88: Строка 88:
 https://​www.ssllabs.com/​ssltest/​analyze.html?​d=wiki.yola.ru https://​www.ssllabs.com/​ssltest/​analyze.html?​d=wiki.yola.ru
 </​code>​ </​code>​
 +</​hidden>​
  
-</​hidden>​ 
 ===== Debian 7 (wheezy) ===== ===== Debian 7 (wheezy) =====
 Настройка [[apache:​apache|Apache]] под [[debian:​debian|Debian]] 7 (wheezy). Настройка [[apache:​apache|Apache]] под [[debian:​debian|Debian]] 7 (wheezy).
Строка 95: Строка 95:
 [[https://​certbot.eff.org/#​debianwheezy-apache|Apache on Debian 7 (wheezy)]] [[https://​certbot.eff.org/#​debianwheezy-apache|Apache on Debian 7 (wheezy)]]
  
-FIXME +{{anchor:​mailservers}} 
- +====== Почтовые серверы ​======
- +
-====== Почта ======+
  
 +Использование сертификатов для почтовых серверов:​
   * [[dovecot:​dovecot#​letsencrypt|Dovecot]]   * [[dovecot:​dovecot#​letsencrypt|Dovecot]]
   * [[postfix:​postfix#​letsencrypt|Postfix]]   * [[postfix:​postfix#​letsencrypt|Postfix]]
Строка 112: Строка 111:
  
 [[https://​rusua.org.ua/​2017/​03/​10/​sertifikaty-letsencrypt-i-postfixcourier-popimap/​|Сертификаты Let’sEncrypt и Postfix,​Courier-pop/​imap или Dovecot | Блокнот обычного админа =)]] [[https://​rusua.org.ua/​2017/​03/​10/​sertifikaty-letsencrypt-i-postfixcourier-popimap/​|Сертификаты Let’sEncrypt и Postfix,​Courier-pop/​imap или Dovecot | Блокнот обычного админа =)]]
 +
 +====== Добавление домена ======
 +FIXME
 +
 +<code bash>
 +certbot --apache -d example.com -d www.example.com
 +</​code>​
 ====== Обновление сертификата ====== ====== Обновление сертификата ======
 Поскольку сертификат Let's Encrypt выдаётся на 90 дней, нужно настроить автоматическое обновление сертификата. Поскольку сертификат Let's Encrypt выдаётся на 90 дней, нужно настроить автоматическое обновление сертификата.
Строка 164: Строка 170:
 </​code>​ </​code>​
 ====== TLS-SNI-01 validation is reaching end-of-life ====== ====== TLS-SNI-01 validation is reaching end-of-life ======
-FIXME 
  
 Нужен ''​certbot''​ версии старше 0.28 Нужен ''​certbot''​ версии старше 0.28
Строка 193: Строка 198:
  
 [[https://​certbot.eff.org/​lets-encrypt/​debianjessie-apache|Install Certbot for Apache on Debian 8 (jessie)]] [[https://​certbot.eff.org/​lets-encrypt/​debianjessie-apache|Install Certbot for Apache on Debian 8 (jessie)]]
 +
 +====== IdenTrust DST Root CA X3 2021-09-30 ======
 +
 +30 сентября 2021 конец срока действия IdenTrust DST Root CA X3.
 +
 +Тест:
 +<code bash>
 +faketime -f '​@2021-10-01 00:​00:​00'​ curl https://​letsencrypt.org/​
 +</​code>​
 +
 +Чтобы проверить наличие сертификата ISRG Root X1 в числе доверенных:​
 +<code bash>
 +awk -v cmd='​openssl x509 -noout -subject'​ ' /​BEGIN/​{close(cmd)};​{print | cmd}' < /​etc/​ssl/​certs/​c
 +</​code>​
 +
 +**Решение**
 +  * Вариант 1: <​WRAP>​
 +\\ В файле ''/​etc/​ca-certificates.conf''​ нужно найти строчку:​
 +<​code>​
 +mozilla/​DST_Root_CA_X3.crt
 +</​code>​
 +и поставить в начало сроки символ "​!":​
 +<​code>​
 +!mozilla/​DST_Root_CA_X3.crt
 +</​code>​
 +Далее, необходимо выполнить команду:​
 +<code bash>
 +sudo update-ca-certificates
 +</​code>​
 +</​WRAP>​
 +  * Вариант 2: <​WRAP>​
 +Установить новый сертификат {{isrg_root_x1_2015-06-04_2035-06-04.pem|ISRG Root X1 (до 2035-06-04)}}. \\ [[https://​letsencrypt.org/​certs/​isrgrootx1.pem.txt|источник]],​ [[https://​censys.io/​certificates/​6d99fb265eb1c5b3744765fcbc648f3cd8e1bffafdc4c2f99b9d47cf7ff1c24f|источник 2]]
 +</​WRAP>​
 +
 +----
 +
 +[[https://​www.opennet.ru/​opennews/​art.shtml?​num=55875|Устаревание корневого сертификата IdenTrust приведёт к потере доверия к Let's Encrypt на старых устройствах]]
 +
 +[[https://​habr.com/​ru/​post/​580092/​|30 сентября:​ Let's Encrypt и конец срока действия IdenTrust DST Root CA X3 / Хабр]]
  
 ====== Ссылки ====== ====== Ссылки ======
Строка 222: Строка 266:
 [[https://​upcloud.com/​community/​tutorials/​secure-postfix-using-lets-encrypt/​|How to secure Postfix using Let's Encrypt - UpCloud]] [[https://​upcloud.com/​community/​tutorials/​secure-postfix-using-lets-encrypt/​|How to secure Postfix using Let's Encrypt - UpCloud]]
  
 +
 +**[[https://​wiki.calculate-linux.org/​ru/​lets_encrypt|wiki.calculate-linux:​ Let's Encrypt - получение бесплатного сертификата]]**
  
 {{tag>​Encryption}} {{tag>​Encryption}}
letsencrypt/letsencrypt.1596442229.txt.gz · Последние изменения: 2020-08-03 11:10 — GreyWolf