Clever Geek Handbook

Pengganti untuk Let's Encrypt - CA Otomatis Gratis

Bagi banyak orang, Let's Encrypt telah menjadi bagian integral dari pengembangan web, dan perpanjangan sertifikat otomatis setiap 90 hari telah menjadi rutinitas. Faktanya, sekarang otoritas sertifikasi paling populer di Internet. Itu bagus, tapi juga berbahaya.



Muncul pertanyaan: bagaimana jika Let's Encrypt server berhenti bekerja untuk sementara? Saya tidak ingin memikirkan kemungkinan alasan kegagalan. Tetapi disarankan untuk memberikan fallback. Yaitu, pusat sertifikasi gratis otomatis yang nyaman.



Untungnya, ada beberapa fallback. Setidaknya dua. CA otomatis gratis yang sama yang dimodelkan pada Let's Encrypt.



Protokol ACME



Semua komunikasi dengan Let's Encrypt berlangsung menggunakan protokol ACME (Automated Certificate Management Environment). Ini adalah protokol terbuka untuk mengotomatiskan interaksi dengan CA. Tidak ada yang spesifik untuk Let's Encrypt, ini didukung oleh beberapa CA lainnya.



Sekarang adalah saat ketika semakin banyak CA mulai bekerja melalui ACME. Ini berarti bahwa hampir semua alat, skrip, dan proses kami untuk mendapatkan sertifikat dari Let's Encrypt akan berfungsi dengan baik dengan CA lain yang mendukung ACME.



Untuk membangun kembali ke CA lain, Anda hanya perlu mengubah alamat API di skrip yang dikonfigurasi dari https://acme-v02.api.letsencrypt.org/directory(Let's Encrypt) menjadi https://api.buypass.com/acme/directory(BuyPass, lihat di bawah untuk itu) atau yang lainnya.



BuyPass



Kami membutuhkan CA yang memenuhi dua kriteria:



  1. ACME;

  2. .


Kriteria ini dipenuhi oleh CA Norwegia yang disebut BuyPass .



Layanan gratis ini disebut BuyPass Go SSL : penerbitan otomatis dan perpanjangan sertifikat + dukungan ACME. Apa yang kau butuhkan.



The whitepaper menjelaskan cara mengatur memperoleh dan memperbarui sertifikat menggunakan Certbot , klien resmi dari Electronic Frontier Foundation bekerja dengan Mari Encrypt atau CA lain yang mendukung protokol ACME.



Pendaftaran di CA dan memperoleh sertifikat di BuyPass adalah dasar, seperti dalam kasus Let's Encrypt, tidak ada perbedaan di sini.



Pendaftaran dengan alamat email Anda untuk pemberitahuan ('YOUR_EMAIL') dan persetujuan terhadap persyaratan penggunaan (--setuju-untuk): 



root@acme:~# certbot register -m 'YOUR_EMAIL' --agree-tos --server 'https://api.buypass.com/acme/directory'


Memperoleh sertifikat: 



root@acme:~# certbot certonly --webroot -w /var/www/example.com/public_html/ -d example.com -d www.example.com --server 'https://api.buypass.com/acme/directory'


Selanjutnya, perintah Certbot lainnya digunakan sesuai kebutuhan untuk mencabut sertifikat ( revoke), memperbarui sertifikat yang kedaluwarsa ( renew), dan menghapus sertifikat ( delete).



Direkomendasikan untuk menempatkan perintah pembaruan di cron dan menjalankannya secara otomatis untuk memeriksa sertifikat yang kedaluwarsa untuk berjaga-jaga. Misalnya seperti ini: 



#Cron-job scheduled under root to run every 12th hour at a specified minute (eg. 23, change this to your preference)
23 */12 * * * /opt/certbot/certbot-auto renew -n -q >> /var/log/certbot-auto-renewal.log


BuyPass memiliki beberapa batasan pada ACME. Batas utamanya adalah jumlah sertifikat untuk domain terdaftar (20 per minggu). Ini mengacu pada bagian dari domain yang dibeli dari pencatat nama domain. Artinya, ini adalah batas untuk semua subdomain secara total. Batas lainnya adalah 5 duplikat per minggu. Ini adalah batas sertifikat untuk setiap subdomain tertentu. Ada batasan untuk kesalahan validasi - 5 per akun, per host, dan per jam.



Batas permintaan titik akhir new-reg, new-authzdan new-cert: 20 per detik. Batas kueri /directory: 40 per detik.



Jumlah maksimum otorisasi dalam proses (Otorisasi Tertunda): 300 buah.



Klien alternatif acme.sh dapat digunakan sebagai pengganti Certbot, yang juga awalnya dikonfigurasi untuk Let's Encrypt, tetapi dengan mudah merutekan ke CA lain dengan dukungan ACME. 



./acme.sh --issue --dns dns_cf -d example.com --server "https://api.buypass.com/acme/directory"


ZeroSSL



CA lain yang mengeluarkan sertifikat 90 hari gratis di bawah protokol ACME adalah ZeroSSL Austria .



Program acme.sh tersebut memiliki dukungan ZeroSSL, sehingga sangat mudah untuk mendaftar: 



acme.sh --register-account -m foo@bar.com --server zerossl


Selanjutnya, satu perintah untuk menghasilkan sertifikat: 



acme.sh --issue --dns dns_cf -d example.com --server zerossl


Tidak ada batasan pada panggilan API. Keunggulan lainnya : CA ini memberikan sertifikat gratis tidak hanya selama 90 hari, tetapi juga selama 1 tahun, terdapat web dashboard dan technical support.



Ngomong-ngomong, ZeroSSL menghasilkan sertifikat bahkan melalui antarmuka web, langkah demi langkah dengan verifikasi domain melalui email. Namun, tentunya cara ini tidak cocok untuk otomatisasi.



Server ACME lainnya



Berikut adalah daftar semua server ACME yang dikenal. Jumlahnya masih sedikit, tetapi jumlahnya terus bertambah.





Let's Encrypt adalah organisasi luar biasa yang melakukan pekerjaan dengan baik. Tetapi berbahaya untuk meletakkan semua telur Anda dalam satu keranjang. Semakin banyak CA bekerja di bawah protokol ACME dan mendistribusikan sertifikat gratis dalam mode otomatis, semakin beragam dan andal ekosistem secara keseluruhan.



Let's Encrypt mungkin mengalami downtime atau aktivitas sementara - lalu Buypass dan ZeroSSL akan melakukan lindung nilai. Memiliki fallback ini pada akhirnya meningkatkan kredibilitas Let's Encrypt itu sendiri, karena ini bukan lagi satu titik kegagalan. Dan mengubah CA untuk ACME hanya dalam beberapa detik.





Penawaran khusus dari pusat sertifikasi GlobalSign





More articles:


All Articles