Pour beaucoup, Let's Encrypt est devenu une partie intégrante du développement Web et le renouvellement automatique des certificats tous les 90 jours est une procédure de routine. En fait, c'est maintenant l'autorité de certification la plus populaire sur Internet. C'est génial, mais aussi dangereux.
La question se pose: et si les serveurs Let's Encrypt cessaient temporairement de fonctionner? Je ne veux pas penser aux raisons possibles de l'échec. Mais il est conseillé de fournir une solution de secours. Autrement dit, le même centre de certification gratuit automatisé et pratique.
Heureusement, il existe des solutions de rechange. Au moins deux. Les mêmes autorités de certification automatisées gratuites inspirées de Let's Encrypt.
Protocole ACME
Toutes les communications avec Let's Encrypt ont lieu à l'aide du protocole ACME (Automated Certificate Management Environment). Il s'agit d'un protocole ouvert pour automatiser les interactions avec les autorités de certification. Il n'y a rien de spécifique à Let's Encrypt, il est pris en charge par plusieurs autres autorités de certification.
C'est maintenant le moment où de plus en plus d'autorités de certification commencent à travailler via ACME. Cela signifie que presque tous nos outils, scripts et processus pour obtenir des certificats de Let's Encrypt fonctionneront correctement avec d'autres autorités de certification prenant en charge ACME.
Pour reconstruire vers une autre autorité de certification, il vous suffit de changer l'adresse API dans les scripts configurés de
https://acme-v02.api.letsencrypt.org/directory(Let's Encrypt) à https://api.buypass.com/acme/directory(BuyPass, voir ci-dessous pour cela) ou autre.
AcheterPass
Nous avons besoin d'un CA qui répond à deux critères:
- ACME;
- .
Ces critères sont remplis par une autorité de certification norvégienne appelée BuyPass .
Le service gratuit s'appelle BuyPass Go SSL : émission et renouvellement automatiques des certificats + support ACME. De quoi as-tu besoin.
Le livre blanc explique comment configurer l'obtention et le renouvellement d'un certificat à l'aide de Certbot , un client officiel de l'Electronic Frontier Foundation pour travailler avec Let's Encrypt ou toute autre autorité de certification prenant en charge le protocole ACME.
L'inscription auprès du CA et l'obtention d'un certificat dans BuyPass sont élémentaires, comme dans le cas de Let's Encrypt, il n'y a pas de différence ici.
Inscription avec votre adresse e-mail pour les notifications ('YOUR_EMAIL') et acceptation des conditions d'utilisation (--agree-tos):
root@acme:~# certbot register -m 'YOUR_EMAIL' --agree-tos --server 'https://api.buypass.com/acme/directory'Obtention d'un certificat:
root@acme:~# certbot certonly --webroot -w /var/www/example.com/public_html/ -d example.com -d www.example.com --server 'https://api.buypass.com/acme/directory'Par la suite, si nécessaire, d'autres commandes Certbot sont utilisées pour révoquer un certificat (
revoke), renouveler les certificats expirés ( renew) et supprimer un certificat ( delete).
Il est recommandé de mettre la commande de renouvellement dans cron et de l'exécuter automatiquement pour vérifier les certificats expirés au cas où. Par exemple, comme ceci:
#Cron-job scheduled under root to run every 12th hour at a specified minute (eg. 23, change this to your preference)
23 */12 * * * /opt/certbot/certbot-auto renew -n -q >> /var/log/certbot-auto-renewal.logBuyPass a des limites sur ACME. La principale limite est le nombre de certificats pour un domaine enregistré (20 par semaine). Cela fait référence à la partie du domaine qui est achetée auprès d'un registraire de noms de domaine. Autrement dit, il s'agit de la limite pour tous les sous-domaines au total. Une autre limite est de 5 doublons par semaine. Il s'agit de la limite de certificats pour chaque sous-domaine spécifique. Il existe des limites d'erreurs de validation - 5 par compte, par hôte et par heure.
Demandes de point de terminaison limitent
new-reg, new-authzet new-cert20 par seconde. Limite de requête /directory: 40 par seconde.
Le nombre maximum d'autorisations dans le processus (autorisations en attente): 300 pièces.
Le client alternatif acme.sh peut être utilisé à la place de Certbot, qui est également initialement configuré pour Let's Encrypt, mais achemine facilement vers une autre autorité de certification prenant en charge ACME.
./acme.sh --issue --dns dns_cf -d example.com --server "https://api.buypass.com/acme/directory"ZeroSSL
Une autre autorité de certification qui délivre des certificats gratuits de 90 jours sous le protocole ACME est l'Austrian ZeroSSL .
Le programme acme.sh susmentionné prend en charge ZeroSSL, donc l'enregistrement est très simple:
acme.sh --register-account -m foo@bar.com --server zerosslEnsuite, une commande pour générer un certificat:
acme.sh --issue --dns dns_cf -d example.com --server zerosslIl n'y a aucune limite sur les appels d'API. Il y a d'autres avantages : cette CA donne des certificats gratuits non seulement pendant 90 jours, mais aussi pendant 1 an, il y a un tableau de bord Web et un support technique.
À propos, ZeroSSL génère des certificats même via l'interface Web, étape par étape avec la vérification du domaine par e-mail. Mais, bien sûr, cette méthode ne convient pas à l'automatisation.
Autres serveurs ACME
Voici une liste de tous les serveurs ACME connus. Il y en a encore peu, mais leur nombre augmente.
Let's Encrypt est une organisation exceptionnelle qui fait un excellent travail. Mais il est dangereux de mettre tous vos œufs dans le même panier. Plus l'autorité de certification travaille sous le protocole ACME et distribue des certificats gratuits en mode automatique, plus l'écosystème dans son ensemble est diversifié et fiable.
Let's Encrypt peut subir des temps d'arrêt ou suspendre temporairement son activité - puis Buypass et ZeroSSL viendront se couvrir. Avoir ces solutions de secours augmente en fin de compte la crédibilité de Let's Encrypt lui-même, car ce n'est plus un point de défaillance unique. Et changer le CA pour ACME est une question de quelques secondes.
Offre spéciale du centre de certification GlobalSign
