Para muitos, o Let's Encrypt se tornou parte integrante do desenvolvimento da web, e a renovação automática do certificado a cada 90 dias é um procedimento de rotina. Na verdade, é agora a autoridade de certificação mais popular da Internet. É ótimo, mas também perigoso.
Surge a pergunta: e se os servidores do Let's Encrypt pararem de funcionar temporariamente? Não quero pensar nas possíveis causas do fracasso. Mas é aconselhável fornecer um fallback. Ou seja, o mesmo centro de certificação gratuito automatizado conveniente.
Felizmente, existem alternativas. Ao menos dois. As mesmas CAs automatizadas gratuitas modeladas em Let's Encrypt.
Protocolo ACME
Toda a comunicação com o Let's Encrypt ocorre usando o protocolo ACME (Automated Certificate Management Environment). É um protocolo aberto para automatizar interações com CAs. Não há nada específico para Let's Encrypt, ele é suportado por várias outras CAs.
Agora é o momento em que mais e mais CAs estão começando a trabalhar por meio da ACME. Isso significa que quase todas as nossas ferramentas, scripts e processos para obter certificados do Let's Encrypt funcionarão bem com outras CAs que oferecem suporte a ACME.
Para reconstruir para outro CA, você só precisa alterar o endereço da API nos scripts configurados de
https://acme-v02.api.letsencrypt.org/directory(Let's Encrypt) para https://api.buypass.com/acme/directory(BuyPass, veja abaixo) ou algum outro.
BuyPass
Precisamos de uma CA que atenda a dois critérios:
- ACME;
- .
Esses critérios são atendidos por um CA norueguês chamado BuyPass .
O serviço gratuito é chamado BuyPass Go SSL : emissão automática e renovação de certificados + suporte ACME. O que você precisa.
O white paper explica como configurar a obtenção e renovação de um certificado usando o Certbot , um cliente oficial da Electronic Frontier Foundation para trabalhar com o Let's Encrypt ou qualquer outra CA que ofereça suporte ao protocolo ACME.
O registro na CA e a obtenção de um certificado no BuyPass é elementar, como no caso do Let's Encrypt, aqui não há diferença.
Registro com seu endereço de e-mail para notificações ('YOUR_EMAIL') e concordância com os termos de uso (--concordo):
root@acme:~# certbot register -m 'YOUR_EMAIL' --agree-tos --server 'https://api.buypass.com/acme/directory'Obtenção de um certificado:
root@acme:~# certbot certonly --webroot -w /var/www/example.com/public_html/ -d example.com -d www.example.com --server 'https://api.buypass.com/acme/directory'Subseqüentemente, se necessário, outros comandos Certbot são usados para revogar um certificado (
revoke), renovar certificados expirados ( renew) e excluir um certificado ( delete).
Recomenda-se colocar o comando de renovação no cron e executá-lo automaticamente para verificar os certificados expirados apenas no caso. Por exemplo, assim:
#Cron-job scheduled under root to run every 12th hour at a specified minute (eg. 23, change this to your preference)
23 */12 * * * /opt/certbot/certbot-auto renew -n -q >> /var/log/certbot-auto-renewal.logBuyPass tem alguns limites no ACME. O limite principal é o número de certificados para um domínio registrado (20 por semana). Isso se refere à parte do domínio que é adquirida do registrador de nomes de domínio. Ou seja, este é o limite para todos os subdomínios no total. Outro limite é de 5 duplicatas por semana. Este é o limite de certificados para cada subdomínio específico. Existem limites para erros de validação - 5 por conta, por host e por hora.
Pedidos de endpoint limitar
new-reg, new-authze new-cert: 20 por segundo. Limite de solicitações a /directory: 40 por segundo.
Número máximo de autorizações em processo (Autorizações Pendentes): 300 peças.
Outro cliente acme.sh pode ser usado em vez do Certbotque também é configurado inicialmente para Let's Encrypt, mas é facilmente roteado para outro CA com suporte ACME.
./acme.sh --issue --dns dns_cf -d example.com --server "https://api.buypass.com/acme/directory"ZeroSSL
Outra CA que emite certificados gratuitos de 90 dias sob o protocolo ACME é a Austrian ZeroSSL .
O programa acme.sh mencionado anteriormente tem suporte ZeroSSL, por isso é muito fácil de registrar:
acme.sh --register-account -m foo@bar.com --server zerosslA seguir, um comando para gerar um certificado:
acme.sh --issue --dns dns_cf -d example.com --server zerosslNão há limites para chamadas de API. Existem outras vantagens : este CA dá certificados gratuitos não só por 90 dias, mas também por 1 ano, há um painel web e suporte técnico.
Aliás, ZeroSSL gera certificados até pela interface web, passo a passo com verificação de domínio por email. Mas, é claro, esse método não é adequado para automação.
Outros servidores ACME
Aqui está uma lista de todos os servidores ACME conhecidos. Ainda são poucos, mas o número está crescendo.
Let's Encrypt é uma excelente organização que faz um ótimo trabalho. Mas é perigoso colocar todos os ovos na mesma cesta. Quanto mais o CA trabalha sob o protocolo ACME e distribui certificados gratuitos em modo automático, mais diversificado e confiável é o ecossistema como um todo.
O Let's Encrypt pode sofrer um tempo de inatividade ou suspender temporariamente a atividade - e então o Buypass e o ZeroSSL farão a proteção. Ter esses substitutos aumenta a credibilidade do próprio Let's Encrypt, porque ele não é mais um ponto único de falha. E mudar o CA por ACME é questão de alguns segundos.
Oferta especial do centro de certificação GlobalSign
