Für viele ist Let's Encrypt ein wesentlicher Bestandteil der Webentwicklung geworden, und die automatische Erneuerung von Zertifikaten alle 90 Tage ist ein Routineverfahren. Tatsächlich ist es heute die beliebteste Zertifizierungsstelle im Internet. Es ist toll, aber auch gefährlich.
Es stellt sich die Frage: Was ist, wenn Let's Encrypt-Server vorübergehend nicht mehr funktionieren? Ich möchte nicht über die möglichen Gründe für das Scheitern nachdenken. Es ist jedoch ratsam, einen Fallback bereitzustellen. Das heißt, das gleiche praktische automatisierte kostenlose Zertifizierungszentrum.
Zum Glück gibt es Fallbacks. Mindestens zwei. Dieselben kostenlosen automatisierten Zertifizierungsstellen nach dem Vorbild von Let's Encrypt.
ACME-Protokoll
Die gesamte Kommunikation mit Let's Encrypt erfolgt über das ACME-Protokoll (Automated Certificate Management Environment). Es ist ein offenes Protokoll zur Automatisierung von Interaktionen mit Zertifizierungsstellen. Let's Encrypt ist nicht spezifisch, es wird von mehreren anderen Zertifizierungsstellen unterstützt.
Jetzt ist der Moment gekommen, in dem immer mehr Zertifizierungsstellen beginnen, über ACME zu arbeiten. Dies bedeutet, dass fast alle unsere Tools, Skripte und Prozesse zum Abrufen von Zertifikaten von Let's Encrypt problemlos mit anderen Zertifizierungsstellen funktionieren , die ACME unterstützen.
Um auf eine andere Zertifizierungsstelle wiederherzustellen, müssen Sie nur die API-Adresse in den konfigurierten Skripten von
https://acme-v02.api.letsencrypt.org/directory(Let's Encrypt) in https://api.buypass.com/acme/directory(BuyPass, siehe unten) oder eine andere ändern.
BuyPass
Wir brauchen eine Zertifizierungsstelle, die zwei Kriterien erfüllt:
- ACME;
- .
Diese Kriterien werden von einer norwegischen Zertifizierungsstelle namens BuyPass erfüllt .
Der kostenlose Service heißt BuyPass Go SSL : automatische Ausstellung und Erneuerung von Zertifikaten + ACME-Unterstützung. Was du brauchst.
In diesem Whitepaper wird erläutert, wie Sie das Abrufen und Erneuern eines Zertifikats mit Certbot , einem offiziellen Client der Electronic Frontier Foundation, für die Zusammenarbeit mit Let's Encrypt oder einer anderen Zertifizierungsstelle , die das ACME-Protokoll unterstützt, einrichten.
Die Registrierung bei der Zertifizierungsstelle und das Erhalten eines Zertifikats in BuyPass sind elementar, da im Fall von Let's Encrypt hier kein Unterschied besteht.
Registrierung mit Ihrer E-Mail-Adresse für Benachrichtigungen ('YOUR_EMAIL') und Zustimmung zu den Nutzungsbedingungen (--agree-tos):
root@acme:~# certbot register -m 'YOUR_EMAIL' --agree-tos --server 'https://api.buypass.com/acme/directory'Zertifikat erhalten:
root@acme:~# certbot certonly --webroot -w /var/www/example.com/public_html/ -d example.com -d www.example.com --server 'https://api.buypass.com/acme/directory'Anschließend werden bei Bedarf andere Certbot-Befehle verwendet, um ein Zertifikat (
revoke) zu widerrufen , abgelaufene Zertifikate ( renew) zu erneuern und ein Zertifikat ( delete) zu löschen .
Es wird empfohlen, den Erneuerungsbefehl in cron zu platzieren und automatisch auszuführen, um abgelaufene Zertifikate für alle Fälle zu überprüfen. Zum Beispiel so:
#Cron-job scheduled under root to run every 12th hour at a specified minute (eg. 23, change this to your preference)
23 */12 * * * /opt/certbot/certbot-auto renew -n -q >> /var/log/certbot-auto-renewal.logBuyPass hat einige Einschränkungen für ACME. Das Hauptlimit ist die Anzahl der Zertifikate für eine registrierte Domain (20 pro Woche). Dies bezieht sich auf den Teil der Domain, der von einem Domainnamen-Registrar gekauft wurde. Dies ist die Grenze für alle Subdomains insgesamt. Ein weiteres Limit sind 5 Duplikate pro Woche. Dies ist die Beschränkung der Zertifikate für jede bestimmte Subdomain. Validierungsfehler sind begrenzt - 5 pro Konto, pro Host und pro Stunde.
Endpoint - Anfragen begrenzen
new-reg, new-authzund new-cert: 20 pro Sekunde. Begrenzung der Anfragen auf /directory: 40 pro Sekunde.
Die maximale Anzahl von Berechtigungen im Prozess (ausstehende Berechtigungen): 300 Stück.
Ein anderer Client acme.sh kann anstelle von Certbot verwendet werden, das ursprünglich auch für Let's Encrypt konfiguriert ist, aber mit ACME-Unterstützung problemlos an eine andere Zertifizierungsstelle weitergeleitet werden kann.
./acme.sh --issue --dns dns_cf -d example.com --server "https://api.buypass.com/acme/directory"ZeroSSL
Eine weitere Zertifizierungsstelle, die kostenlose 90-Tage-Zertifikate im Rahmen des ACME-Protokolls ausstellt , ist die österreichische ZeroSSL .
Das oben genannte Programm acme.sh unterstützt ZeroSSL, sodass die Registrierung sehr einfach ist:
acme.sh --register-account -m foo@bar.com --server zerosslAls nächstes ein Befehl zum Generieren eines Zertifikats:
acme.sh --issue --dns dns_cf -d example.com --server zerosslAPI-Aufrufe sind unbegrenzt. Es gibt noch weitere Vorteile : Diese Zertifizierungsstelle bietet nicht nur 90 Tage lang kostenlose Zertifikate, sondern auch 1 Jahr lang ein Web-Dashboard und technischen Support.
Übrigens generiert ZeroSSL Zertifikate sogar über eine Webschnittstelle, Schritt für Schritt mit der Domainüberprüfung per E-Mail. Diese Methode eignet sich natürlich nicht für die Automatisierung.
Andere ACME-Server
Hier ist eine Liste aller bekannten ACME-Server. Es gibt noch wenige von ihnen, aber die Zahl wächst.
Let's Encrypt ist eine hervorragende Organisation, die großartige Arbeit leistet. Aber es ist gefährlich, alle Eier in einen Korb zu legen. Je mehr die Zertifizierungsstelle unter dem ACME-Protokoll arbeitet und kostenlose Zertifikate im automatischen Modus verteilt, desto vielfältiger und zuverlässiger ist das gesamte Ökosystem.
Bei Let's Encrypt kann es zu Ausfallzeiten kommen oder die Aktivität vorübergehend unterbrechen - und dann werden Buypass und ZeroSSL zur Absicherung eingesetzt. Diese Fallbacks erhöhen letztendlich die Glaubwürdigkeit von Let's Encrypt selbst, da es sich nicht mehr um einen einzigen Fehlerpunkt handelt. Das Ändern der Zertifizierungsstelle für ACME dauert nur wenige Sekunden.
Sonderangebot des GlobalSign-Zertifizierungszentrums
