ΕΛ/ΛΑΚ | creativecommons.gr | mycontent.ellak.gr |
8ος Πανελλήνιος Διαγωνισμός Ανοικτών Τεχνολογιών στην Εκπαίδευση
Μάθε για το ελεύθερο λογισμικό!
freedom

Certbot και Let’s Encrypt υποστηρίζουν πλέον πιστοποιητικά για IP διευθύνσεις

Η ασφάλεια των διαδικτυακών υπηρεσιών αποτελεί βασική προτεραιότητα για κάθε σύγχρονη υποδομή. Μέχρι πρόσφατα, τα πιστοποιητικά TLS εκδίδονταν κυρίως για domain names. Ωστόσο, το Let’s Encrypt ανακοίνωσε μια σημαντική εξέλιξη: πλέον υποστηρίζει πιστοποιητικά για διευθύνσεις IP, καθώς και πιστοποιητικά πολύ μικρής διάρκειας.

Η νέα αυτή δυνατότητα υποστηρίζεται και από το Certbot, το δημοφιλές εργαλείο αυτοματοποίησης για τη διαχείριση πιστοποιητικών TLS.

Η ομάδα ανάπτυξης του Certbot στο Electronic Frontier Foundation εισήγαγε δύο βασικές βελτιώσεις που καθιστούν δυνατή την έκδοση πιστοποιητικών για IP:

  • το flag --preferred-profile, που παρουσιάστηκε στο Certbot 4.0
  • το νέο flag --ip-address, που προστέθηκε στο Certbot 5.3

Με αυτές τις προσθήκες, μπορείτε πλέον να χρησιμοποιήσετε το Certbot για να αποκτήσετε πιστοποιητικά TLS που συνδέονται απευθείας με διευθύνσεις IP.

Πώς να αποκτήσετε πιστοποιητικό για IP με το Certbot

Για να εκδώσετε ένα πιστοποιητικό για μια διεύθυνση IP χρησιμοποιώντας το Certbot, θα πρέπει να εγκαταστήσετε την έκδοση 5.4 ή νεότερη.

Στη συνέχεια εκτελέστε την ακόλουθη εντολή:






sudo certbot certonly --staging





Η εντολή αυτή ζητά ένα πιστοποιητικό από το staging environment του Let’s Encrypt, το οποίο χρησιμοποιείται για δοκιμές.





Αφού επιβεβαιώσετε ότι η διαδικασία λειτουργεί σωστά, μπορείτε να εκτελέσετε την ίδια εντολή χωρίς το --staging για να λάβετε ένα δημόσια αξιόπιστο πιστοποιητικό.





Διάρκεια ισχύος των πιστοποιητικών





Τα πιστοποιητικά IP που εκδίδονται μέσω Let’s Encrypt χρησιμοποιούν το προφίλ:










shortlived





Αυτό σημαίνει ότι έχουν διάρκεια ισχύος μόλις 6 ημερών.





Ο λόγος είναι η ενίσχυση της ασφάλειας μέσω πολύ συχνών ανανεώσεων, μειώνοντας τον κίνδυνο κατάχρησης σε περίπτωση διαρροής πιστοποιητικού.





Περιορισμοί της λειτουργίας





Προς το παρόν, το Certbot υποστηρίζει μόνο την έκδοση (issuing) πιστοποιητικών για IP addresses και όχι την αυτόματη εγκατάστασή τους στους web servers.





Για τον λόγο αυτό θα πρέπει να ρυθμίσετε χειροκίνητα τον server σας ώστε να φορτώνει τα αρχεία πιστοποιητικών από:










/etc/letsencrypt/live/<ip address>/fullchain.pem
/etc/letsencrypt/live/<ip address>/privkey.pem





Η πλήρης αυτοματοποίηση αυτής της διαδικασίας βρίσκεται ακόμη υπό ανάπτυξη.





Χρήση της λειτουργίας Webroot





Η προτεινόμενη μέθοδος έκδοσης πιστοποιητικών είναι το webroot plugin.





Σε αυτή τη λειτουργία:





    

  1. Το Certbot δημιουργεί ένα challenge file.
    2. 




  2. Το αρχείο τοποθετείται στον webroot του server.
    3. 




  3. Ο web server εξυπηρετεί το αρχείο ώστε να επαληθευτεί η κυριότητα της IP.
    4. 






Το πλεονέκτημα της μεθόδου είναι ότι δεν απαιτείται διακοπή λειτουργίας του web server.





Εναλλακτικά plugins





Υπάρχουν επίσης δύο ακόμη διαθέσιμες επιλογές.





Manual plugin





Το plugin --manual λειτουργεί παρόμοια με το webroot, αλλά απαιτεί χειροκίνητη παρέμβαση.





Το Certbot θα σταματήσει προσωρινά και θα περιμένει να τοποθετήσετε το challenge αρχείο στον server.
Εναλλακτικά μπορείτε να χρησιμοποιήσετε custom scripts (hooks) για αυτοματοποίηση.





Standalone plugin





Το plugin --standalone δημιουργεί έναν προσωρινό web server που απαντά στο challenge.





Πλεονεκτήματα:





    

  • Πολύ εύκολη εγκατάσταση
    • 






Μειονεκτήματα:





    

  • Πρέπει να σταματήσει προσωρινά οποιοσδήποτε web server χρησιμοποιεί τη θύρα 80
    • 






Plugins που δεν υποστηρίζονται ακόμη





Τα plugins:





    

  • nginx
    • 




  • apache
    • 






δεν υποστηρίζουν ακόμη την αυτόματη εγκατάσταση πιστοποιητικών για IP addresses.





Η υποστήριξη αυτή αναμένεται σε μελλοντικές εκδόσεις.





Αυτόματη ανανέωση πιστοποιητικών





Επειδή τα πιστοποιητικά έχουν διάρκεια μόλις 6 ημέρες, η αυτόματη ανανέωση είναι απολύτως απαραίτητη.





Οι περισσότερες εγκαταστάσεις του Certbot ενεργοποιούν αυτόματα τη διαδικασία renewal. Ωστόσο, στην περίπτωση πιστοποιητικών IP, θα πρέπει να ορίσετε ένα:










--deploy-hook





Το hook αυτό θα επαναφορτώνει τον web server σας ώστε να χρησιμοποιεί το νέο πιστοποιητικό.





Μπορείτε να το ρυθμίσετε μέσω της εντολής:










certbot reconfigure





Η δυνατότητα έκδοσης TLS πιστοποιητικών για διευθύνσεις IP αποτελεί ένα σημαντικό βήμα για τη βελτίωση της ασφάλειας στο διαδίκτυο.





Με τη συνεργασία του Let’s Encrypt και του Certbot, οι διαχειριστές συστημάτων μπορούν πλέον να προστατεύουν υπηρεσίες που βασίζονται απευθείας σε IP addresses, χωρίς να απαιτείται domain name.





Παρόλο που η πλήρης αυτοματοποίηση εγκατάστασης δεν έχει ακόμη υλοποιηθεί, η νέα αυτή δυνατότητα ανοίγει τον δρόμο για περισσότερες ασφαλείς και ευέλικτες υποδομές δικτύου.





Πηγή άρθρου: https://www.eff.org/

					

		
				
				




								

						
	


	
	
		

		
Leave a Comment