Che cos'è la sfida Let's Encrypt DNS-01 e come utilizzarla per ottenere certificati SSL?

Che Cos E La Sfida Let S Encrypt Dns 01 E Come Utilizzarla Per Ottenere Certificati Ssl



Let's Encrypt è un'autorità di certificazione SSL (CA) gratuita e affidabile. Let's Encrypt utilizza politiche rigorose per verificare la proprietà di un dominio e fornisce certificati SSL solo per i domini verificati.

Per impostazione predefinita, Let's Encrypt utilizza la sfida HTTP-01 per verificare la proprietà. La sfida HTTP-01 inserisce un file nella Webroot del tuo server web e utilizza il nome DNS del server web per recuperare il file. Se il file può essere recuperato da Internet, l'autorità del nome di dominio viene verificata e viene emesso il certificato SSL. Ciò è positivo per la maggior parte dei server e degli utenti domestici che possono permettersi un indirizzo IP pubblico dal proprio provider di servizi Internet (ISP).

Ma cosa succede se desideri utilizzare i certificati Let’s Encrypt SSL per i nomi di dominio della tua rete domestica o privata/interna? Bene, nella maggior parte delle reti domestiche, ottenere un certificato SSL Let’s Encrypt è una sfida perché molto probabilmente il tuo ISP non ti fornirà un indirizzo IP pubblico. Pertanto, non sarai in grado di superare la sfida Let’s Encrypt HTTP-01 (poiché i tuoi computer/server non sono accessibili da Internet).





In questo caso, puoi utilizzare la sfida Let’s Encrypt DNS-01 per ottenere i certificati SSL per la tua rete domestica/interna. Con questo metodo, Let's Encrypt aggiunge un record DNS TXT per il 'sottodominio _acme-challenge.tuodominio.xyz' sul tuo server DNS e controlla se il record DNS TXT è disponibile da Internet. Se il record TXT corrisponde, sei verificato come proprietario del dominio e Let's Encrypt emette il certificato SSL.



Affinché la sfida Let's Encrypt DNS-01 funzioni e rinnovi automaticamente il certificato SSL, è necessario utilizzare un fornitore di servizi DNS (ad esempio CloudFlare, DigitalOcean) che esponga un'API che può essere utilizzata per aggiungere/rimuovere i record TXT sul server DNS.



Se il tuo registrar DNS (dove hai registrato il nome di dominio) non supporta tali servizi, puoi utilizzare un fornitore di servizi DNS di terze parti. Tutto quello che devi fare è cambiare l'indirizzo del server dei nomi DNS del tuo dominio dal server DNS del tuo registrar DNS all'indirizzo del server dei nomi DNS del fornitore di servizi DNS di terze parti desiderato.



Argomento dei contenuti:

  1. Elenco di provider DNS che si integrano facilmente con Let's Encrypt DNS Validation
  2. Elenco dei client Let's Encrypt ACME
  3. Modifica del server dei nomi DNS dal registrar del tuo dominio
  4. Vantaggi della convalida Let's Encrypt DNS-01
  5. Svantaggi della convalida Let's Encrypt DNS-01
  6. Conclusione
  7. Riferimenti

Elenco di provider DNS che si integrano facilmente con Let's Encrypt DNS Validation

La comunità Let's Encrypt ha compilato un file elenco dei provider DNS che espongono una sorta di API per aggiungere/rimuovere automaticamente i record DNS in modo che i client Let's Encrypt possano convalidare i nomi di dominio ed emettere i certificati SSL.

L'elenco dei provider DNS che si integrano facilmente con la convalida DNS Let's Encrypt è disponibile su questo link .



Elenco dei client Let's Encrypt ACME

Let's Encrypt client sono anche chiamati client ACME. ACME sta per Ambiente di gestione automatica dei certificati. ACME è un protocollo per automatizzare l'interazione tra il computer/server e l'autorità di certificazione (ad esempio Let's Encrypt).

I client Let's Encrypt ACME più popolari sono:

Modifica del server dei nomi DNS dal registrar del tuo dominio

Se il tuo registrar di dominio non è nell'elenco dei provider DNS che si integrano facilmente con Let's Encrypt, puoi utilizzare CloudFlare o altri provider di servizi DNS di terze parti. Tutto quello che devi fare è cambiare il nameserver DNS del tuo dominio dalla dashboard del tuo registrar di domini al nameserver DNS del fornitore di servizi DNS di terze parti che desideri utilizzare.

Ti abbiamo mostrato il processo di modifica del server dei nomi DNS (sul server DNS di CloudFlare) per uno dei nostri domini dalla dashboard/sito web del nostro registrar di domini (dove abbiamo registrato il nostro nome di dominio) nello screenshot seguente. Il processo dovrebbe essere simile per il tuo registrar di domini. Per ulteriori informazioni, leggi la documentazione del tuo registrar di domini o contattalo.

Vantaggi della convalida Let's Encrypt DNS-01

I vantaggi della convalida DNS-01 di Let’s Encrypt sono:

  • Non richiede un indirizzo IP pubblico/accessibile da Internet o un server web.
  • Puoi usarlo per emettere certificati SSL per nomi di dominio con caratteri jolly (ad esempio *.nodekite.com, *.linuxhint.com).
  • Funziona bene per più server web.

Svantaggi della convalida Let's Encrypt DNS-01

Sebbene vi siano molti vantaggi della convalida Let’s Encrypt DNS-01, ci sono anche alcuni svantaggi:

  • Affinché la convalida DNS-01 funzioni, è necessario conservare la chiave/token API del fornitore di servizi DNS sul server che un client Let's Encrypt utilizzerà per creare un record TXT sul server DNS per la convalida DNS-01. Poiché la chiave/token API viene conservata sul server, se il server viene violato, esiste la possibilità che la chiave/token API venga compromessa.
  • Dopo che il client Let's Encrypt aggiunge un record TXT sul server DNS, è necessario del tempo per propagare le modifiche ad altri server dei nomi DNS in tutto il mondo. Il client Let's Encrypt deve attendere che le modifiche si propaghino ai nameserver DNS comuni in tutto il mondo per verificare la proprietà del dominio. Se il tuo fornitore di servizi DNS non fornisce il tempo di propagazione del DNS nell'API, il client Let's Encrypt non saprà quanto tempo attendere affinché le modifiche DNS si propaghino ad altri server dei nomi in tutto il mondo. In tal caso, la convalida DNS potrebbe scadere e Let’s Encrypt potrebbe non riuscire a emettere un certificato SSL.

Conclusione

In questo articolo, abbiamo discusso della sfida Let’s Encrypt DNS-01 e del perché utilizzarla al posto della sfida HTTP-01 predefinita per verificare la proprietà di un nome di dominio. Abbiamo anche discusso i requisiti per superare la sfida Let’s Encrypt DNS-01 per ottenere un certificato SSL Let’s Encrypt. Abbiamo elencato i fornitori di servizi DNS che si integrano bene con Let's Encrypt e i client Let's Encrypt ACME che puoi utilizzare per eseguire la convalida DNS dal tuo computer/server. Infine, abbiamo discusso i vantaggi e gli svantaggi della convalida DNS Let’s Encrypt.

Riferimenti:

Altro

Categoria

Messaggi Popolari

MySQL – Come inserire una nuova riga solo se i dati non esistono

HKEY_USERS | Come abbinare un profilo utente alle cartelle

Come eseguire JDownloader su Raspberry Pi

Come impostare un tag personalizzato in Discord Nitro

Correzione: impossibile sbloccare le cartelle bloccate dal menu Start di Windows 7 - Winhelponline

Come implementare il passthrough SSL in HAProxy

Che cos'è Clear-Variable (Microsoft.PowerShell.Utility)?

Redis MGET

Redis SCHEDA

Cos'è event.target in JavaScript?

Test Python non uguale

[Risolto] Windows Modules Installer Worker Windows 10 High CPU

Come aumentare i bassi degli altoparlanti utilizzando il condensatore

Come eseguire il porting sull'API Buffer.from()/Buffer.alloc() in Node.js?

Qual è la proprietà in hasOwnProperty() in JavaScript

Cosa fanno schermate, colori e spaziatura nel tema Tailwind?

Evidenzia la riga corrente in Emacs

Come installare Dropbox su Fedora Linux

Invoke-Expression: il cmdlet dell'esecutore universale di PowerShell

Come creare barre di scorrimento verticali con 'window.open()' in JavaScript?