Как получить сертификат Let’s Encrypt с помощью acme-dns-certbot

1 этап: письмо с txt-записью

В течение 2-3 часов после заказа SSL-сертификата на контактную почту, указанную при заказе, высылается письмо с TXT-записью.

Пример письма с TXT-записью:

TXT запись для ssl

2 этап: добавление txt-записи для активации ssl-сертификата

Процесс добавления TXT-записи различается в зависимости от того, какие DNS-серверы прописаны для вашего домена: Как узнать, какие DNS-серверы прописаны для домена?

Подтверждение через CNAME-запись (только Comodo).

Данная проверка подразумевает добавление в панели регистратора домена CNAME-записи с уникальными данными, которые можно найти в SSL Panel после подачи запроса на выпуск сертификата, нажав на кнопку “Следуйте инструкции”. Итоговая запись должна иметь вид:

Подтверждение через TXT-запись (только GeoTrust, Thawte).

Это еще одна вариация проверки через добавление DNS-записи для домена, но для сертификатов от Центра сертификации Symantec. В данном случае для домена необходимо добавить TXT-запись с данными, указанными в SSL Panel в окошке “Следуйте инструкции”. Запись будет выглядеть так:

Cname запись в dns

Нужно будет сделать то же самое, что и в предыдущем пункте, только выбрав тип записи CNAME.

Запись имеет вид:

Dns служба контролирует цифровую идентичность

Угрозы, связанные с DNS-зоной делает столь опасными, то, что DNS — это то, на что полагаются браузеры пользователей, чтобы знать, с каким IP-адресом они должны связаться, пытаясь достичь вашего домена. Это относится ко всем службам, использующим разрешаемое имя под вашим доменом, от электронной почты до веб-служб.

Когда DNS скомпрометирован, злоумышленник может легко перехватить все подключения, направленные к вашей электронной почте или другой защищенной службе, прекратить шифрование TLS (поскольку теперь они могут подтвердить право собственности на домен и получить для них свои действительные сертификаты), дешифровать данные и прочесть их, а затем повторно зашифровать данные и передать их на ваш сервер. Для большинства людей это было бы очень трудно обнаружить.

Txt запись в dns

Вам будет предложено добавить запись типа TXT в DNS записи домена

Рассмотрим, как это делается в isp manager

1. Во вкладке домены нужно выбрать доменные имена

   

2. Просмотреть NS записи домена

   

3. Создать новую ресурсную запись

   

4. Выбрать тип txt и в поле «Значение» вставить текст записи

   

TXT запись может появиться не сразу, обычно это происходит в течение часа.

Проверить DNS записи домена можно с помощью утилиты dig. Сервисов существует много, возьмем, например, этот.

В поле домен нужно вписать название вашего домена. Можно выбрать конкретный тип записи, но в примере для наглядности выбрали показ всех записей. В таблице будет выведен список всех ресурсных записей, если в списке появилась запись, которую вы добавили, все было сделано верно. Если нет, вернитесь на шаг назад и перепроверьте записи.

После добавления записи не забудьте вернуться в административную панель хостинга и нажать кнопку «Проверить добавление записи».

Вопросы-ответы по записям caa

1. DigiCert всегда проверяет существование записей CAA –
   Да, система автоматически проверяет все заказы на записи в ДНС
2. Даже если запись CAA отсутствует, DigiCert может выдавать сертификат ssl?
   Да, поскольку использование CAA является добровольным для владельцев домена, и им не нужно указывать
   свои предпочтения
3. Если запись CAA существует и CA DigiCert отмечена как разрешенная – будет ли выдаваться сертификат DigiCert ssl.
   Если существует запись для любого из брендов DigiCert сертификат будет выпущен
4. Если запись CAA существует и CA DigiCert не помечена как разрешенная – будет ли выдаваться сертификат DigiCert ssl
   – Нет, в этом случае невозможно будет выдавать сертификат, клиенту необходимо будет обновить записи CAA.

Преимущества. CAA – это простой способ выразить предпочтение ЦС. Поскольку вы владеете своим доменным именем и
контролируете всю информацию DNS для этого домена, вы можете добавить информацию CAA в DNS и изменить ее по своему
желанию. Ни одна другая сторона, включая ЦС, не должна участвовать.

Если вы отвечаете за инфраструктуру сертификатов
вашей компании, вы можете воспользоваться CAA. Например, вы можете договориться о скидке на объем с конкретным ЦС и
хотите приобрести все свои сертификаты из этого ЦС, чтобы сэкономить деньги. С помощью CAA вы можете получать
предупреждения, когда сотрудник регистрируется для сертификата из другого ЦС.

CAA также включает функцию, которая
позволяет ЦС сообщать о недопустимых запросах сертификатов. Любой совместимый ЦС может уведомить вас по электронной
почте, веб-сервису или обоим, о любом полученном им запросе сертификата, который не соответствует предпочтениям,
установленным в вашей записи CAA.

Если вы используете CAA, вы не привязаны к одному ЦС. Можно создать несколько
записей CAA для нескольких центров сертификации, с которыми вы хотите работать. Или вы можете использовать CAA,
чтобы указать, что ни один ЦС не должен выдавать сертификаты в ваш домен.

Использование CAA

• Повышает надежность проверки имени домена
• Реализация проверки автоматическая с низким уровнем обслуживания
• Позволяет идентифицировать высокоценные цели, которые помогут с глобальной проверкой высокоценных доменов
• Мощная защита от мошеннических попыток

Также следует учитывать, что если некоторые CA используют CAA, а другие нет, то кто будет целью хакера для мошеннических
сертификатов?

Существует несколько недостатков ВГА, о которых следует знать:

• Соблюдение проверки записей является добровольным. Центры сертификации не обязаны проверять запись CAA или
  соблюдать ее содержимое, если они это сделают, если иное не указано в их заявлении о практике сертификации (CPS).
  Другими словами, CA все равно может игнорировать вашу запись CAA, если она соответствует заявлениям, сделанным в
  CPS о соответствии CAA. На момент написания этой статьи ни один ЦА не объявил о поддержке CAA; однако несколько
  государственных центров сертификации начинают его тестировать.
• В настоящее время CAA представляет собой лишь частичное решение для обеспечения безопасности, поскольку у
  злоумышленников есть способы подмены DNS, и хотя расширения безопасности доменных имен (DNSSEC) могут защитить вашу
  запись CAA в DNS, DNSSEC в настоящее время широко не используется. CAA также необходимо будет широко внедрять
  и наблюдать за центрами сертификации, поэтому использование DNSSEC не является обязательным с помощью CAA,
  чтобы избежать ненужной зависимости от полного развертывания DNSSEC.
• Возможно, вам будет сложно внести изменения в данные DNS. Возможно, вам придется вовлечь других людей в вашу компанию
  или внешнего поставщика, чтобы внести необходимые изменения.
• Это может замедлить выпуск сертификата, если соответствующий CA проверяет вашу запись CAA и определяет, что она
  не указана в этой записи. CA может потребовать, чтобы вы обновили свою запись CAA до выдачи сертификата или можете
  получить отказ от одобрения выдачи сертификата.

CAA – новый, относительно недорогой подход к предотвращению выдачи сертификата, хотя он не является надежным.
Несколько центров сертификации изучают, как внедрить поддержку CAA в своих системах выдачи сертификатов.
Сама по себе CAA не обеспечивает высокий уровень безопасности, но может оказаться уместным в качестве одного из
многих инструментов вашего инструментария для защиты вашего доменного имени, веб-сайта и бренда.

Использовать «throwaway» домен подтверждения

Второй способ — вручную создать CNAME-записи для поддомена “_acme-challenge” и указать ими на домен проверки, который будет находиться в зоне, контролируемой другим набором учетных данных.

Например, если Вы хотите получить сертификат для покрытия «yourdomain.tld» и «www.yourdomain.tld», вам придется создать две CNAME-записи — “_ acme-challenge.yourdomain.tld” и “_acme-challenge.www.yourdomain.tld” — а также указать ими на внешний домен для проверки.

Домен, используемый для проверки владения, должен быть во внешней зоне DNS или в поддиапазонной зоне DNS, которая имеет свой собственный набор учетных данных для управления. (DNS-зона субделегата определяется с помощью NS-записей и фактически делегирует полный контроль над частью зоны внешнему источнику.)

Эффект компрометации для этого метода довольно ограничен. Поскольку фактические сохраненные учетные данные предназначены для внешней зоны DNS, злоумышленник, получивший учетные данные, получит только возможность выдавать сертификаты для всех доменов, указывающих на записи в этой зоне.

Однако, выяснение того, какие домены на самом деле указывают туда, тривиально: злоумышленнику просто нужно будет прочитать журналы прозрачности сертификатов и проверить, имеют ли домены в этих сертификатах магический поддомен, указывающий на уязвимую зону DNS.

Использовать acme-dns

Дисклеймер: программное обеспечение, описанное ниже, написано автором (оригинальной статьи — прим. переводчика), и оно используется в качестве примера функций, необходимых для эффективного управления учетными данными, нужными для автоматизации проверки владения доменом через DNS безопасным образом.

Последний метод — это часть программного обеспечения под названием ACME-DNS, написанная для борьбы именно с обсуждаемой проблемой, и она может полностью устранить её. Единственный недостаток заключается в том, что этот метод добавляет еще один компонент в вашу инфраструктуру, который надо поддерживать, а также требует открыть DNS-порт (53) для общего доступа в интернет.

Как долго происходит активация alphassl и domainssl

Сертификаты начального уровня AlphaSSL и DomainSSL (платные и бесплатные) активируются в течение 12 часов после добавления TXT-записи. Исключение составляют

Есть простой способ, который может помочь маневрировать мимо таких ограничений: использовать CNAME-запись. CNAME-записи по существу действуют как ссылки на другую запись DNS. Let’s Encrypt проследует по цепочке CNAME-записей и разрешит токен проверки владения для последней записи в цепочке.

Подтверждение прав владения доменом

Необходимо пройти процесс валидации домена для выпуска сертификата. С помощью этой процедуры подтверждается право на владение доменом.

Возможны последующие проверки:

• проверка организации;
• расширенная проверка.

Мы рассмотрим только процесс доменной валидации. О таких вещах, как обратный звонок и разговор с сотрудником сертификационного центра, проверка организации через государственный реестр организаций, нет смысла говорить в рамках этой статьи, они не содержат технической части.

Подтверждение с помощью доменной почты

При выборе этого способа подтверждения на административную доменную (например, [email protected]ИМЯ ДОМЕНА, [email protected]ИМЯ ДОМЕНА) почту придет письмо от центра сертификации со ссылкой для подтверждения.

После перехода по ссылке вы попадете на страницу центра сертификации, где нужно будет ввести код из письма и нажать кнопку продолжить.

После подтверждения

В большинстве случаев вам на почту придет 3 файла (или они будут в личном кабинете регистратора ssl-сертификата).

Если файлы придут на почту, обязательно сохраните себе эти файлы! В случае утери нужно будет делать переиздание сертификата.

.key – Приватный ключ (Private Key)

.crt – файл сертификата, который мы вам выдали.

.ca-bundle – файл, содержащий корневые и промежуточные сертификаты в определенном порядке. Порядок:

• Промежуточный сертификат 2
• Промежуточный сертификат 1
• Корневой сертификат

Когда получены эти файлы, можно приступать к установке сертификата.

Разрешить обновления только для txt-записей

Первый способ — создать набор учетных данных с привилегиями, которые позволяют обновлять TXT-записи.

В случае компрометации этот метод ограничивает последствия для злоумышленника способностью выдавать сертификаты для всех доменов в зоне DNS (поскольку они могут использовать учетные данные DNS для получения собственных сертификатов), а также прерывание доставки почты.

Воздействие на доставку почты происходит из TXT-записей, специфичных для почты, а именно SPF, DKIM и его расширения ADSP и DMARC. Их компрометация также облегчит доставку фишинговых писем, выдающих себя за отправителя из скомпрометированного домена.

Способы смягчения проблемы

Даже используя CNAME-записи, основная проблема заключается в том, что ACME-клиенту по-прежнему будет нужен доступ к учетным данным, которые позволят ему изменить некоторую DNS-запись. Существуют различные способы смягчения этой основной проблемы с различными уровнями сложности и последствиями для безопасности в случае компрометации.

В следующих разделах этот пост представляет некоторые из этих методов, пытаясь объяснить возможные последствия того, что учетные данные будут скомпрометированы. За одним исключением, все они используют CNAME-записи.

Требования

Выполнив предварительные требования, войдите на свой сервер как пользователь sudo, чтобы начать работу.

Установка let’s encrypt с помощью isp manager

Панель isp предоставляет возможность установки бесплатного автопродляемого сертификата Let’s Encrypt. Для его установки необходимо выполнить следующие действия:

1. В меню isp manager выбрать раздел «SSL-сертификаты», в нем выбрать Let’s Encrypt

   

2. Выбрать домен, на который будет установлен сертификат (если вам необходим Wildcard сертификат, нужно установить соответствующую галочку).

   

Установка let’s encrypt с помощью административной панели хостинга

1. Необходимо в личном кабинете зайти в раздел меню ssl-сертификаты и выбрать пункт «Заказать».

   

2. Кликнуть пункт «SSL Let’s Encrypt», затем выбрать, для какого домена выпустить сертификат

   

Установка сертификата через административную панель хостинга

Большинство компаний, предоставляющих услуги хостинга, в административной панели имеют или пункт SSL, или ssl-сертификаты, или безопасность – названий может быть множество.

Как правило, при переходе в этот пункт вам будет предложен выбор: установить существующий сертификат или же заказать(приобрести) новый сертификат.

Установка сертификатов в isp панели

В некоторых случаях для управления хостингом/сервером устанавливается ISP manager. Это панель управления веб-хостингом, позволяющая управлять программным обеспечением веб-сервера, сервером баз данных, почтовым сервером и другими.

Установка существующего сертификата в isp manager

Рассмотрим ситуацию, когда вы приобрели сертификат и имеете в сохраненном виде все его файлы.

1. В меню isp manager выбрать пункт ssl-сертификаты

   

2. Создать ssl-сертификат

   

3. Выбрать тип ssl-сертификата – «Существующий»

   

4. Заполнить соответствующие поля в isp manager

   

Важно! Необходимо заполнить все поля, чтобы в дальнейшем не возникло проблем. В случае некорректной установки ssl-сертификата Яндекс.Вебмастер пришлет уведомление об ошибке.

О методе проверки корректности установки сертификата описано в конце статьи.

Установка существующего сертификата с помощью административной панели хостинга

Рассматривать установку будем на примере хостинга timeweb.

1. Необходимо в личном кабинете зайти в пункт меню ssl-сертификаты

   

2. Выбрать пункт «Установить»

   

3. Ввести данные сертификата в соответствующие поля

   

Файл на сервере

Вам предоставят файл, который нужно будет разместить на сервере. В зависимости от центра, выдающего сертификат, расположить файл нужно будет в корневой папке сервера или же создать дополнительную папку и закачать файл в нее.

Формат записи caa

Запись CAA представлена ​​следующими элементами:

• flag – Целое число без знака от 0 до 255
  В настоящее время он используется для представления критического флага, который имеет определенное значение для RFC .
• tag – Строка ASCII, которая представляет собой идентификатор свойства, представленного записью.
• value – Значение, связанное с тегом.

Запись CAA состоит из байта флагов и пары значений тега-значения, называемой свойством.
Несколько свойств могут быть связаны с одним и тем же доменным именем, публикуя несколько CAA RRsс этим доменным именем.

Каноническое представление: CAA
В настоящее время RFC определяет 3 доступных тега:

• issue – разрешает указанному Центру Сертификации выдавать любой сертификат для домена.
• issuewild – разрешает указанному Центру Сертификации выпустить только Wildcard сертификат для домена.
• iodef – указывает URL-адрес, на который Центр Сертификации может сообщать о нарушении правил.

Вывод

Чтобы устранить проблемы с проверкой владения доменом через ACME DNS, обсуждались такие предложения, как

в рабочей группе ACME IETF, но в настоящее время эти проблемы все еще остаются без разрешения. Поскольку единственный способ ограничить воздействие компрометации — это ограничить права доступа учетных записей DNS-зоны до изменения определенных TXT-записей, текущие возможности для надежной реализации автоматизации проверки владения доменом незначетельны.

Единственным устойчивым вариантом было бы заставить программное обеспечение DNS и поставщиков услуг либо внедрять методы для создания более мелкомасштабных учетных данных зоны, либо предоставлять совершенно новый тип учетных данных для этого специфического варианта использования.