Используем бесплатные SSL сертификаты для защиты Azure веб сайтов / Хабр

Вот уже почти 3 года существует центр сертификации Let’s Encrypt, позволяющий безвозмездно (то есть даром) получить сертификат X.509. С марта этого года поддерживаются даже wildcard сертификаты, позволяющие защищать все поддомены сразу, а не указывая конкретное название для каждого.

Сертификат типа DV (Domain Validation) выдается сроком на 90 дней. Имеется возможность обновлять сертификат (опять же бесплатно – без всяких заманух). Сертификаты более высокого уровня (Organization Validation или Extended Validation) сервисом не выдаются.
Let’s Encrypt использует протокол под названием ACME (Automated Certificate Management Environment). Поблагодарить за возможность получения бесплатного сертификат можно основных спонсоров в лице Electronic Frontier Foundation (EFF), Mozilla Foundation, Akamai, Cisco Systems.

Под катом вы можете прочитать о том, как бесплатно добавить сертификат SSL вашему Azure вебсайту.

Сертификат выдается на 3 месяца и было бы хорошо, если бы он как-то автоматически обновлялся. Azure расширение, которое я вам предлагаю использовать, содержит в себе встроенную фичу, которая с помощью WebJob будет обновлять сертификат, но для ее функционирование необходимо создать Blob storage. Имеется вариант расширения без автоматического обновления сертификата. Оно гораздо проще в настройке. Но я хочу разобрать более сложный вариант. Разобравшись с ним, вы сможете разобраться и с простым вариантом не обновляющим сертификат автоматически.

Самый недорогой вариант репликации это LRS (здесь нам какая-то навороченная репликация не нужна). Модель доступа cool так как доступ к данным будет происходить редко — всего раз в 3 месяца.

Нам необходима строка подключения к blob storage, которую можно найти здесь:

Значение этой строки подключения необходимо сохранить в Application Settings нашего App Service с типом Custom и следующими именами:

Теперь, когда мы создали blob, можно добавить в App Service расширение.

Зайдя в раздел Extensions вашего App Service и кликнув Add+ вы найдете 2 варианта. Один с WebJobs обновляет сертификат автоматически, второй нет. Раз мы создали blob то можем выбрать вариант с WebJobs.

Теперь можно зайти в расширение и кликнуть на Browse для того, чтобы открыть расширение

Или вариант не для ленивых — ввести в браузерную строку адрес https://имявашегосайта.scm.azurewebsites.net/letsencrypt/

Вам откроется окно со следующими настройками:

Теперь давайте разберемся с тем какие значения откуда брать. Вверху формы есть описание на английском, но я постараюсь объяснить скринами и небольшими комментариями.

Значение Tenant и SubscriptionId можно получить, зайдя в раздел биллинга

Кликнуть на подписку

Здесь вы можете увидеть как Subscription ID, так и наименование каталога по умолчанию чуть ниже. Каталог по умолчанию это и есть искомый Tenant.

С ClientID и ClientSecret чуть сложнее. Нам нужно создать своеобразный аккаунт, под которым могут выполнятся какие-то задачи — service principal. Войти в Azure с этим аккаунтом нельзя. Он предназначен только для выполнения каких-то внутренних задач.

Создаем его через Azure Active Directory – App Registrations

Кликаем + New application registration

Из данных созданного приложения уже можно взять Application ID – это искомый ClientID. Заходим в Settings и Keys

Вводим DESCRIPTION создаваемого ключа и нажимаем Save.

Копируем значение VALUE – это ClientSecret.

Service principal создан, но ему необходимо добавить права. Для этого необходимо зайти в группу ресурсов в которой находится App Service. Далее зайти в IAM

И добавить новое разрешение для созданного service principal с ролью Contributor

Теперь у нас есть права и все значения, необходимые для заполнения формы. ResourceGroupName – это имя группы в которой находится вам App Service. ServicePlanResourceGroupName – это имя группы которой находится service plan вашего App Service. Значение SiteSlotName можно не указывать если вы не используете Development Slots в App Service. А вот поставить флажок напротив Update Application Settings нужно.

Введя все что требуется нажимаем Next и на следующей странице нам показывается какая-то информация о существующих сертификатах (если мы вдруг повторяем процесс, то в списке что-то будет).

Мотаем дальше на Next и получаем возможность выбрать имена хостов:

Завершив запрос на новый сертификат можно убедится в его работоспособности зайдя на вебсайт и кликнув на замок рядом с сертификатом

Официальный англоязычный мануал можно найти здесь:
How to install and setup Let’s Encrypt on Azure Web Apps

🔐 Бесплатный SSL-сертификат Let’s Encrypt

Пропустить и перейти к содержимому

05.09.2020 Евгений Базаров SSL, Компания, Хостинг

Безопасность в Интернете – превыше всего. Чтобы обезопасить всех клиентов, HostPro предлагает бесплатно подключить к каждому домену Let’s Encrypt Certificate.

Let’s Encrypt ежедневно делает защиту сайтов для всех владельцев доступнее. Благодаря сервису вы можете перейти на HTTPS соединение сразу после регистрации домена. 

С начала 2016 года, когда корпорация Google впервые порекомендовала всем владельцам сайтов переводить свои ресурсы на безопасный скрипт HTTPS, популярность SSL увеличилась в разы: по состоянию на август 2018 года, процент сайтов, использующих безопасное соединение, увеличился с 44% до 74%.  

Это стало возможным благодаря подходу Let’s Encrypt – кроме того, что SSL доступен бесплатно, способ получения его крайне прост: для того, чтобы подключить сертификат вам не потребуется много времени, а процесс установки был максимально упрощен.

Установить Let’s Encrypt Certificate на сайт можно непосредственно через cPanel – установка проводится один раз, а для каждого домена допускается собственный SSL, действие которого ограничивается сроком в 90 дней.

Чтобы у клиентов не вызывало сложностей с повторным продлением, мы реализовали возможность автоматического обновления Let’s Encrypt Certificate через расширение в cPanel.

За 30 дней до истечения срока плагин начнет обращаться к вам за последующим обновлением – вне зависимости от выбранного действия, вам на почту, указанную в аккаунте панели cPanel, будет отправлено уведомление.

Еще раз: Let’s Encrypt Certificate – бесплатный SSL, вам не нужно своевременно оплачивать его.

Успех SSL Let’s Encrypt невероятен: 21 марта 2018 года официальный Twitter сообщил о том, что количество активных доменов, использующих сертификаты их выдачи, перевалило за 70 миллионов.

Воспользовавшись сертификатом, вы сможете перевести свой сайт на вторую версию протокола HTTP/2. Выполнив это, ресурс получит сразу ряд преимуществ. Let’s Encrypt Certificate:

  • обеспечивает безопасность передаваемых данных, исключая их воровство и перехват их третьими лицами;
  • повысит доверие к сайту со стороны посетителей;
  • делает поисковые системы более лояльными, продвигая сайт в поиске, выставляя приоритетнее ресурсов, работающих не по защищенному соединению;
  • вместо «Ненадежный» домен получит статус «Защищено» и обзаведется зеленым замочком.

Установка сертификата не вызовет никаких проблем. Чтобы узнать как это сделать, смотрите наше видео:

Бесплатный SSL доступен с тарифами Linux Хостинг, PRO-Linux Хостинг, Linux VPS, а также для ряда других услуг.

бесплатных сертификатов SSL от LetsEncrypt | Ашок Вишвакарма

По мере того, как Интернет развивается и становится неотъемлемой частью нашей повседневной жизни, его безопасность становится критически важной для всех нас. Использование Интернета во всем мире выросло с 16% до 47% всего за несколько лет. Доступ к продуктам и сервисам, таким как Google, Facebook, YouTube, осуществляется более 13 миллионов раз в секунду.

Каждый раз, когда мы подключаемся к Интернету, мы отправляем и получаем большое количество информации, которая путешествует по открытой сети, доступной каждому. Данные, которыми обмениваются с помощью HTTP, находятся в текстовом формате, который любой может легко прочитать и использовать не по назначению. Технология, используемая для решения этой проблемы, называется шифрованием, которое шифрует передаваемые данные открытого текста.

Еще одной проблемой в Интернете является идентификация, поскольку Интернет широко открыт для всех. Кто что отправляет и что они должны получить в ответ, является серьезной проблемой для владельцев данных.

SSL (Secure Sockets Layer) — это технология, которая решает как проблемы в Интернете, так и обеспечивает доступ к тем же URL-адресам HTTPS для доступа к защищенному контенту в Интернете.

SSL

Протокол Secure Sockets Layer (SSL) и Transport Layer Security (TLS) является наиболее широко используемым сегодня протоколом безопасности. По сути, это протокол, обеспечивающий безопасный канал между двумя машинами, работающими через Интернет или внутреннюю сеть.

HTTPS (HTTP Secure)

Согласно Википедии

HTTP Secure (HTTPS) является расширением протокола передачи гипертекста (HTTP) для безопасного обмена данными по компьютерной сети и широко используется в Интернете. В HTTPS протокол связи шифруется протоколом Transport Layer Security (TLS) или его предшественником Secure Sockets Layer (SSL). Поэтому протокол также часто называют HTTP через TLS [3] или HTTP через SSL.

В общем, SSL — это безопасный транспортный уровень в сети, позволяющий нам шифровать общую информацию, чтобы только вовлеченные стороны могли понять то же самое, а HTTPS — это коммуникационный протокол для Интернета, созданный с использованием SSL для решения проблемы шифрования — скрытия того, что происходит. пересылаются с одного компьютера на другой, Идентификация — чтобы убедиться, что компьютер, с которым вы разговариваете, является тем, которому вы доверяете.

В общем, двумя основными процессами HTTPS являются создание доверия в сети и шифрование всего, чем они делятся друг с другом.

Построение доверия

Доверие требуется для проверки того, уполномочена ли вовлеченная сторона получать передаваемую информацию, что делается с использованием сертификатов, которые мы используем в HTTPS, а также помогает продолжить шифрование, согласившись с логикой шифрования.

Отправка сертификата

В контексте браузера, когда между сервером и браузером устанавливается доверие, сервер отправляет сертификат, содержащий открытый ключ логики шифрования, который браузер сохраняет и использует для шифрования и дешифрования передаваемой информации.

Шифрование

После того, как сертификат получен и установлен браузером, с помощью того же открытого ключа, который содержится в сертификате, он шифрует данные, отправляемые на сервер, а также расшифровывает данные, отправляемые сервером.

Раньше использование этих сертификатов было дорогостоящим и не использовалось всеми, поэтому уменьшите стоимость. Проект LetsEncrypt начался с единственной целью — предоставить всем бесплатный SSL-сертификат и защитить Интернет для всех. Компании и технологические гиганты, такие как Mozilla, Cisco, Chrome, Facebook и другие, становятся главными спонсорами проекта.

Начало работы с LetsEncrypt

Чтобы начать работу с LetEncrypt и у вас есть SSH-доступ к вашему серверу, вам необходимо установить CertBot на свой сервер, выполнив следующие действия:

  1. Перейдите на https://certbot. eff.org
  2. Выберите свой HTTP-сервер (Apache, Nginx и т. д.)
  3. Выберите серверную ОС (Ubuntu, CentOs и т. д.)
  4. Следуйте документации

Дальнейшие шаги для (Nginx в Ubuntu 16.04-xenial)

Установите Certbot

 sudo apt-get update 
sudo apt-get install software-properties-common
sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install python-certbot-nginx

Certbot имеют Плагин Nginx для установки сертификата с помощью приведенной ниже команды

 sudo certbot --nginx 

В этом списке будут перечислены все доменные имена вместе с субдоменами, которые есть в вашей конфигурации Nginx.

Выберите один или несколько доменов для включения HTTPS, это также внесет необходимые изменения в вашу конфигурацию Nginx.

Мы агрессивно используем Интернет, и наша обязанность — защищать его с помощью HTTPS. Крупные технологические компании вынуждают пользоваться их услугами.

Итак, давайте зашифруем каждый проект, который мы разработали до сих пор, а также поделимся этим с другими.

Ура!

Как настроить и установить бесплатные SSL-сертификаты — База знаний

За последний год одним из наших главных преимуществ в Name Hero были наши бесплатные и автоматические SSL-сертификаты на базе Let’s Encrypt.

Поскольку наличие SSL-сертификата (https) на веб-сайте в 2018 году является практически стандартным, клиентам нравится тот факт, что им не нужно платить или делать что-то сложное, чтобы активировать его на своем веб-сайте.

В то же время нам нравится эта функция, поскольку она позволяет нам создавать еще более безопасную сетевую инфраструктуру для наших клиентов и их посетителей, делая Интернет в целом более безопасным.

Однако, оглядываясь назад на нашу очередь заявок за последние 60 дней, один из наиболее часто задаваемых вопросов касается этих бесплатных и автоматических сертификатов SSL.

Поскольку они все еще довольно «новые», есть некоторая путаница, которую я хотел помочь прояснить в этом руководстве:

Требования для бесплатных сертификатов SSL

Существуют два основных требования к домену или субдомену для получения автоматический сертификат SSL:

  1. DNS Must Resolve — проверьте свой веб-сайт с помощью нашего инструмента DNSHero, чтобы убедиться, что на нем нет красного. Чтобы модуль работал, домен должен разрешаться на наши серверы имен или серверы имен вашего торгового посредника. Если вы недавно изменили свои серверы имен, вы должны дать им полные 24 часа, чтобы они распространились по всему Интернету.
  2. . Файл htaccess должен быть доступен для записи — Чтобы Let’s Encrypt мог проверить ваш веб-сайт, он должен иметь возможность записи в ваш файл .htaccess в вашем каталоге /public_html/. Если вы настроили его, вам может потребоваться временно переименовать его в .htaccess1, пока сертификат не будет сгенерирован.

Если эти два условия были выполнены, бесплатный и автоматический сертификат SSL будет создан в течение 24 часов, в большинстве случаев в течение часа или двух.

Как проверить свой бесплатный SSL-сертификат

Есть два способа проверить, есть ли на вашем сайте бесплатный SSL-сертификат:

Проверить внутри cPanel:

Один из самых простых способов — войти на сайт cPanel нажмите SSL/TLS -> Создать, просмотреть, загрузить или удалить сертификаты SSL.

Вы должны увидеть следующую таблицу:

 

Если эмитент не говорит Let’s Encrypt, это означает, что веб-сайт не использует автоматически сгенерированный сертификат SSL. Если он говорит «самоподписанный», вы можете щелкнуть ссылку «Удалить», чтобы автоматический установщик заменил его.

Если два вышеуказанных условия соблюдены, Let’s Encrypt должен сгенерировать.

Проверка внутри Web Host Manager:

Если у вас есть пакет Reseller Hosting или VPS Hosting с нами, вы можете легко проверить сертификаты в Web Host Manager -> Manage SSL Hosts:

Как и в случае опции в cPanel вы хотите убедиться, что эмитент говорит Let’s Encrypt.