Che il web si stia muovendo rapidamente verso una sua versione completamente criptata tramite certificati SSL è stato argomento di un articolo precedente.
Oggi descriviamo come ottenere un certificato SSL valido per il proprio dominio in maniera gratuita grazie al progetto Let’s Encrypt della Linux Foundation.
Cos’è Let’s Encrypt
Let’s Encrypt è un un progetto nato nel 2012 con l’obbiettivo appunto di criptare ogni comunicazione che avviene sul web. Ad oggi Let’s Encrypt è una Certification Authority che rilascia certificati gratuiti per il protocollo TLS. Il client usato per le richieste di certificato è software libero ed è inclusi nei repository di quasi tutte le distribuzioni Linux.
Come funziona Let’s Encrypt
Al primo contatto con Let’s Encrypt il client genera una coppia di chiavi, in maniera simile a quanto viene fatto normalmente con le richieste verso altre CA. In seguito richiede a Let’s Encrypt di fornirgli istruzioni su come verificarsi per poter ottenere un certificato valido per un dato dominio.
La verifica si svolge in 2 fasi distinte, nella prima Let’s Encrypt risponde alla richiesta inviando istruzioni su una delle 2 possibili modalità di verifica.
- una modifica a livello di DNS record
- o l’accesso ad una risorsa web tramite protocollo HTTP
Insieme alla modalità di verifica la CA invia anche una stringa che dovrà essere criptata dal richiedente con la sua chiave privata.
In base al tipo di verifica assegnatagli il client predisporrà il necessario ed invierà a Let’s Encrypt la stringa criptata assieme alla chiave pubblica per decriptarla. Questo permette a Let’s Encrypt di verificare che il richiedete sia in possesso di una coppia di chiavi valida e farà partire la seconda fase, ovvero la verifica delle condizioni imposte nella fase 1.
Se il tutto avrà successo allora il richiedente sarà autorizzato a gestire i certificati per il dominio in oggetto alla richiesta. La coppia di chiavi in possesso del richiedente sarà a questo punto un “coppia di chiavi autorizzata” (authorized key pair).
Protocollo ACME
La procedura qui sopra descritta prende il nome di protocollo ACME ed è attualmente in fase di standardizzazione presso l’IETF. Esistono numerosi client che implementano questo protocollo nei più disparati linguaggi di programmazione.
Cosa serve per ottenere un certificato
Abbiamo introdotto il protocollo ACME qui sopra, ed abbiamo chiarito che serve un client che lo implementi e che si interfacci direttamente con Let’s Encrypt. In soldoni quindi per ottenere un certificato oltre che al controllo sul dominio da “certificare” è necessario installare sul proprio server un client ACME.
Se il vostro dominio punta ad un hosting condiviso, sappiate che cPanel e Plesk hanno entrambi plugin che implementano questo protocollo. Dipenderà quindi dal vostro provider l’abilitazione o meno della funzionalità a livello di hosting. Sempre più provider forniscono questo servizio, citiamo Register.it e Monstermags.com. Sul sito ufficiale di Let’s Encrypt è comunque presente una lista di provider che forniscono l’integrazione all’interno dei loro servizi hosting.
Scadenze e rinnovi
I certificati firmati da Let’s Encrypt sono riconosciuti come sicuri da tutti i browser ed i sistemi operativi. E scadono dopo 3 mesi dalla data di rilascio. Per eseguire il rinnovo in maniera automatica verrà eseguito uno script sul server a cadenza giornaliera. Lo script controllerà lo status di tutti i certificati e con un mese di anticipo procederà al rinnovo del certificato.
Conclusioni
Sia che abbiate un server VPS o dedicato, oppure che siate su un hosting condiviso è bene prendere in considerazione le possibilità offerte da Let’s Encrypt. Noi in Retorica abbiamo eseguito il passaggio di tutti i siti su HTTPS sfruttando appunto Let’s Encrypt per ottenere i certificati necessari.
Come sempre, se avete bisogno di consulenze a riguardo o volete approfondire l’argomento non dovete fare altro che contattarci.