Публичная организация Internet Security Research Group которая владеет сервисом Let’s Encrypt. Предоставляет бесплатные криптографические сертификаты X.509 для TLS шифрования (HTTPS). Который вы можете совершенно бесплатно получить и перевести ваш сайт на HTTPS. Процесс выдачи сертификатов полностью автоматизирован.
Проект Let’s Encrypt создан для того, чтобы большая часть интернет-сайтов смогла перейти к шифрованным подключениям (HTTPS). В отличие от коммерческих центров сертификации, в данном проекте не требуется оплата, переконфигурация веб-серверов, использование электронной почты, обработка просроченных сертификатов, что делает процесс установки и настройки TLS-шифрования значительно более простым. Например, на типичном веб-сервере на базе Linux, требуется исполнить две команды, которые настроят HTTPS шифрование, получат и установят сертификат примерно за 20-30 секунд. Поскольку корневой сертификат IdenTrust предустановлен в большинстве операционных систем и браузеров в качестве доверенного корневого сертификата, выдаваемые проектом Let’s Encrypt сертификаты проходят проверку и принимаются клиентами
Так как процесс полностью автоматический для получения сертификата придется поставить ACME client для работы с ACME protocol. На сайте проекта рекомендуют использовать Certbot ACME client.
Установка и настройка достаточна проста :
Так как в обычном репозитории Debian этого клиента нету, нам придется добавить backports-репозитория Jessie.
echo ‘deb http://ftp.debian.org/debian jessie-backports main’ | sudo tee /etc/apt/sources.list.d/backports.list
Обновим индекс пакетов и установим пакет :
sudo apt-get update
sudo apt-get install python-certbot-apache -t jessie-backports
-t=target_release
Далее надо выполнить всего лишь одну команду, которая автоматически получит сертификат и настроит Apache на работу с ним )
sudo certbot —apache
С начало вас спросят для каких хостов настроить, пишем цифру, жмем ентр.
Which names would you like to activate HTTPS for?
Далее предложат принят лицензионное соглашение :
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.1.1-August-1-2016.pdf. You must agree
in order to register with the ACME server at
https://acme-v01.api.letsencrypt.org/directory
——————————————————————————-
(A)gree/(C)ancel: a
Далее предложат использовать http и https или только https :
Please choose whether HTTPS access is required or optional.
——————————————————————————-
1: Easy — Allow both HTTP and HTTPS access to these sites
2: Secure — Make all requests redirect to secure HTTPS access
Вот собственно и все. Сертификат получен, сайт работает с https. Сертификат действует 90 дней, и его надо периодически обновлять. Для этого есть специальная команда :
sudo certbot renew —dry-run
Если боитесь забыть , можете добавить в CRON команду :
certbot renew
Так же не забудьте разрешить 443 порт в брандмауэре если это необходимо :
iptables -I INPUT -p tcp —dport 443 -j ACCEPT
Надеюсь благодаря таким проектам весь Интернет перейдет на защищенное соединение )
Denian / Ubuntu. На других Linux дистрибутивах установка может отличаться.