Protokół sieciowy SSL zaprojektowany został z myślą o bezpiecznej transmisji zaszyfrowanego strumienia danych. W przypadku WWW, czyli w architekturze klient-server, zabezpieczanie transmisji można przedstawić w następujący sposób. Przeglądarka nawiązując połączenie z serwerem HTTP(zabezpieczonym SSL), dokonuje weryfikacji serwera oraz inicjuje proces ustalania kluczy i algorytmów szyfrujących. W praktyce oznacza to konieczność posiadania klucza prywatnego wraz certyfikatem wystawionym przez zaufane centrum certyfikacji.

Nieszyfrowana komunikacja z serwerem WWW może być w prosty sposób podsłuchana przez każdego, kto w niej pośredniczy. Istnieje również drugi aspekt, który należy wziąć pod uwagę rozważając zabezpieczenie własnej strony protokołem SSL. Chodzi mianowicie o zapowiedź Google, z której wynika chęć promowania tego tupu stron w wynikach wyszukiwania.
W tym artykule dowiesz się w jaki sposób pozyskać certyfikat oraz skonfigurować HTTPS w cPanel na przykładzie Webd.pl.

Jakich narzędzi potrzebujesz?

W celu otrzymania certyfikatu SSL wystawionego przez Let’s Encrypt konieczny będzie dowolny linux oraz program certbot-auto. Jeśli nie posiadasz linuxa możesz np. zainstalować go na maszynie wirtualnej, co też opisuje poniższy wpis:

Jeśli posiadasz już dostęp do linux, to kolejnym krokiem będzie pobranie certbot-auto.

user@webserver:~$ wget https://dl.eff.org/certbot-auto
user@webserver:~$ chmod a+x ./certbot-auto
user@webserver:~$ ./certbot-auto --help

Generowanie certyfikatu typu Widlcard

Poniższe polecenie pozwala wygenerować certyfikat na konkretną domenę (w tym przypadku better-coding.com), jak również wszystkie jej poddomeny (Wildcard).

./certbot-auto certonly --manual --preferred-challenges dns -d *.better-coding.com -d better-coding.com

Po wykonaniu polecenia zostaniemy poinformowani o tym, że nasz adres IP zostanie zarejestrowana i udostępniona publicznie. W przypadku certyfikatu generowanego na maszynie wirtualnej nie ma żadnych obaw o naszą prywatności i bezpieczeństwo.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
NOTE: The IP of this machine will be publicly logged as having requested this
certificate. If you're running certbot in manual mode on a machine that is not
your server, please ensure you're okay with that.

Are you OK with your IP being logged?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Kolejnym krokiem jest weryfikacja wnioskującego. W przypadku certyfikatu wildcard wyzwanie polega na dodaniu odpowiedniego wpisu typu DNS TXT do serwera DNS obsługującego naszą domenę.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please deploy a DNS TXT record under the name
_acme-challenge.better-coding.com with the following value:

12631Kpo1XXX_gVbGwQOB9XXXXZRwdGHkWBTb5xxx

Before continuing, verify the record is deployed.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Press Enter to Continue

Poniżej zaprezentowałem w jaki sposób skonfigurować taki wpis na przykładzie cPanel(webd.pl). Należy w tym celu zalogować się do panelu,  następnie przejść do konfiguracji Zone Editor.

Następnie wybierz domenę, którą chcesz skonfigurować i kliknij Zarządzaj.

W celu dodania przedmiotowego wpisu, kliknij Dodaj Rekord, wybierz Add TXT Record a następnie uzupełnij wpis wymaganymi wartościami. Na koniec zatwierdź wszytko klikając przycisk Dodaj Rekord.

Jeśli poza certyfikatem wildcard zawnioskujesz również o certyfikat na konkretną domenę(bez użycia opcji –preferred-challenges dns), to w ramach weryfikacji konieczne będzie utworzenie pliku na serwerze o wskazanej nazwie i zawartości. Po zakończeniu weryfikacji powinieneś zobaczyć komunikat jak poniżej:

Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/better-coding.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/better-coding.com/privkey.pem
Your cert will expire on 2018-12-08. To obtain a new or tweaked
version of this certificate in the future, simply run certbot-auto
again. To non-interactively renew *all* of your certificates, run
"certbot-auto renew"
- If you like Certbot, please consider supporting our work by:

Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le

Gotowy do użycia certyfikat SSL znajduje się w lokalizacji: /etc/letsencrypt/live/your.domain/fullchain.pem. Klucz prywatny znajdziesz w pliku: /etc/letsencrypt/live/your.domain/privkey.pem.

Konfiguracja SSL w cPanel na przykładzie Webd.pl

Większość dostawców usług hostigowych dostarcza interfejs graficzny umożliwiający administrację usługami poprzez przeglądarkę. Jednym z popularniejszych rozwiązań jest cPanel. To własnie na jego przykładzie zaprezentuję w jaki sposób skonfigurować SSL używając przygotowanych w poprzednim punkcie – klucza prywatnego oraz certyfikatu.

Po zalogowaniu do cPanel, przejdź do sekcji Zabezpieczenia, a następnie wybierz SSL/TLS.

Następnie kliknij Zarządzaj witrynami internetowymi chronionymi protokołem SSL.

Wklej przygotowane wcześniej – certyfikat oraz klucz prywatny, a następnie kliknij Autouzupełnianie według certyfikatu.

Na koniec pozostaje już tylko sprawdzić działanie nowej konfiguracji. W tym celu otwórz przeglądarkę i wejdź na skonfigurowaną domenę używając protokołu https (np. https;//better-coding.com). Warto pamiętać, że rozpropagowanie zmiany może zająć nawet kilka minut. Warto odczekać chwilę i powtórzyć  weryfikację w przypadku gdy strona nie otworzy się lub nie będzie zaufana.