Trước khi đi vào tìm hiểu Let's Encrypt, bạn cần phải biết SSL là gì, tầm quan trọng của nó đối với website ra sao, vì sao "dân nghèo" mà vẫn phải cần có SSL cho website của mình?
mặc định là bạn đã hiểu rất rõ về SSL và đang tìm kiếm SSL miễn phí cho website của mình, vậy thì đã đến lúc cần biết về Let's Encrypt.
Let's Encrypt là gì?
Let's Encrypt là nhà cung cấp chứng chỉ SSL miễn phí, tự động, hoạt động vì lợi ích của cộng đồng. Nó được quản lý bởi Internet Security Research Group (ISRG).Let's Encrypt cung cấp cho những người quản trị website một chứng nhận số cần thiết để kích hoạt HTTPS (SSL hoặc TLS) cho website của mình, hoàn toàn miễn phí, và theo cách thân thiện nhất có thể. Tất cả dựa trên mục tiêu tạo ra một môi trường Web an toàn, riêng tư và tôn trọng người dùng hơn.
Let's Encrypt cung cấp chứng chỉ SSL loại Domain Validation, tức là sau khi cài đặt, trang web của bạn sẽ có một ổ khóa màu xanh trên thanh địa chỉ của trình duyệt, khi người dùng truy cập vào.
Lợi ích khi sử dụng Let's Encrypt
- Miễn phí: Chỉ cần sở hữu một tên miền, bạn có thể sử dụng Let's Encrypt để có được chứng chỉ tin cậy mà không tốn một xu nào.
- Tự động: Phần mềm chạy trên máy chủ web có thể tương tác với Let's Encrypt để có được chứng chỉ một cách nhanh chóng, cấu hình an toàn để sẵn sàng sử dụng và tự động thay mới khi cần.
- An toàn: Let's Encrypt sẽ hoạt động như một nền tảng thúc đẩy những TLS tốt nhất, cả về phía CA (Certificate Authority) và giúp các nhà khai thác trang web đảm bảo an toàn cho máy chủ một cách đúng đắn.
- Minh bạch: Tất các các chứng chỉ được ban hành hoặc thu hồi sẽ được ghi công khai và bất cứ ai cũng có thể kiểm tra.
- Không hạn chế: Giao thức phát hành và gia hạn tự động sẽ được công bố như một tiêu chuẩn công khai và người khác có thể áp dụng.
- Hợp tác: Giống như những giao thức Internet cơ bản khác, Let's Encrypt nỗ lực để mang lại lợi ích cho cộng đồng và không nằm dưới sự kiểm soát của bất kỳ một tổ chức nào.
Let's Encrypt tạo chứng chỉ SSL miễn phí như thế nào?
Mục tiêu của Let's Encrypt và giao thức ACME là thiết lập máy chủ HTTPS và để nó tự động có được chứng nhận đáng tin cậy trên trình duyệt mà không cần có bất kỳ sự can thiệp nào của con người. Điều này được thực hiện bằng cách chạy một trình quản lý chứng chỉ trên máy chủ web.Để hiểu công nghệ của Let's Encrypt làm việc như thế nào, hãy cùng tìm hiểu quá trình thiết lập trang web https:.//example.com/ với trình quản lý chứng chỉ hỗ trợ Let's Encrypt.
Có 2 bước trong quá trình này. Đầu tiên, trình quản lý sẽ chứng minh với CA rằng máy chủ web đang kiểm soát một tên miền. Sau đó, trình quản lý có thể yêu cầu, đổi mới hoặc thu hồi chứng chỉ cho tên miền đó.
Xác nhận tên miền:
Let's Encrypt xác định quyền quản trị máy chủ bằng khóa công khai. Lần đầu tiên, phần mềm quản lý tương tác với Let's Encrypt, nó tạo ra một cặp khóa mới và chứng minh với Let's Encrypt CA rằng máy chủ đang kiểm soát một hoặc vài tên miền. Điều này cũng tương tự như quá trình CA truyền thống tạo tài khoản và thêm tên miền vào tài khoản đó.
- Cung cấp một bản ghi DNS dưới tên example.com
- Cung cấp nguồn HTTP dưới URL được biết đến trên https://example.com/
Đến đây, trình quản lý đặt một tập tin trên đường dẫn được chỉ định trên trang web https://example.com. Trình quản lý cũng ký một khóa riêng, sau khi hoàn thành sẽ thông báo cho CA rằng nó đã hoàn thành xác nhận.
Công việc tiếp theo của CA là kiểm tra xem các yêu cầu đưa ra đã được thỏa mãn hay chưa. CA xác minh chữ ký, cố gắng tải về tập tin từ máy chủ web và chắc chắn rằng nó sẽ lấy được nội dung mong muốn.
Cấp chứng chỉ và thu hồi
Khi trình quản lý có được "cặp khóa ủy quyền" thì việc yêu cầu, đổi mới, thu hồi chứng chỉ SSL trở nên đơn giản, chỉ cần gửi thông điệp quản lý chứng chỉ và ký với cặp khóa ủy quyền.Để có được chứng chỉ cho tên miền, trình quản lý tạo PKCS#10 Certificate Signing Request, yêu cầu Let's Encrypt CA phát hành chứng chỉ cho example.com với một khóa công khai được chỉ định. Như thường lệ, CSR bao gồm chữ ký bằng khóa riêng tương ứng với khóa công khai trong CSR. Trình quản lý cũng ký cả CSR với khóa ủy quyền cho example.com để Let's Encrypt CA biết nó đã được ủy quyền.
Khi Let's Encrypt CA nhận được yêu cầu, nó sẽ xác minh cả hai chữ ký. Nếu tất cả mọi thứ có vẻ tốt, nó đưa ra một chứng chỉ cho example.com với khóa công khai từ CSR và trả lại cho trình quản lý.
Phần mềm quản lý chứng chỉ SSL trên máy chủ Windows - Certify
Let's Encrypt là dịch vụ miễn phí để tạo chứng chỉ SSL tin cậy cho tên miền của bạn, nhưng hầu hết các công cụ chỉ là dòng lệnh. Nếu bạn đang sử dụng máy chủ Windows thì hãy cài thêm Certify. Phần mềm này mang đến giao diện người dùng đơn giản để quản lý chứng chỉ SSL. Chỉ cần bật Certify trên máy chủ web IIS để bắt đầu.
- Dễ dàng cài đặt
- Dễ dàng tạo yêu cầu chứng chỉ, ủy quyền, đổi chứng chỉ mới
- Quản lý các chứng chỉ và những thông tin liên quan
- Tính năng IIS Lockdown giúp dễ dàng theo dõi những SSL tốt nhất cho việc vô hiệu hóa các giao thức và mật mã không an toàn.