Certificados SSL gratuitos con nueva autoridad de certificación abierta Let’s Encrypt 2016-07-04

Let’s Encrypt es una nueva autoridad de certificación (CA) gratuita , automatizada y abierta en beneficio del público.

Let’s Encrypt es un proveedor de certificados SSL de forma gratuita. No hay problemas con los navegadores debido a que es una autoridad de certificación reconocida, por lo cual no existen alertas de seguridad.

Nanotutoriales tiene un certificado emitido por esta entidad si quieren comprobarlo.

Certificados SSL gratuitos con nueva  autoridad de certificación abierta Let’s Encrypt

Los principios clave detrás de Let’s Encrypt son:

  • Libre: Cualquier persona que posee un nombre de dominio puede utilizar Let’s Encrypt para obtener un certificado de confianza a cero costo.
  • Automático: El software que se ejecuta en un servidor web puede interactuar con Let’s Encrypt paraa obtener un certificado sin dolor, con seguridad de configurarlo para su uso y automáticamente ocuparse de la renovación.
  • Seguro: Let’s Encrypt servirá como plataforma de impulso a las mejores prácticas de seguridad TLS, tanto en el lado de CA y ayudando a los operadores de sitios adecuadamente a asegurar sus servidores.
  • Transparente: Todos los certificados emitidos o revocados serán registrados públicamente y disponible para cualquier persona para verificarlo.
  • Abierto: El protocolo de emisión y renovación automática se publicará como un estándar abierto que otros puedan adoptar.
  • Cooperativa: Al igual que los propios protocolos de Internet subyacentes, Let’s Encrypt es un esfuerzo conjunto para beneficio de la comunidad, más allá del control de cualquier organización.

Let’s Encrypt hace referencia al script certbot, el cual está disponible para cualquier plataforma basada en Unix/Linux. Este script permite generar y renovar los certificados SSL de Let’s Encrypt en nuestro servidor. En el caso que nuestro servidor web sea Apache, puede incluso manipular tus archivos vhosts para habilitar de forma autómatica el cifrado en nuestros servidores.

La generación de certificados funciona tanto para Apache como NGINX.

Certbot, script para generar y renovar de forma automática certificados SSL de Let’s Encrypt

Para instalar certbot en nuestro servidor Debian debemos ejecutar (como usuario root) el siguiente comando:

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto

Certificados SSL gratuitos con nueva  autoridad de certificación abierta Let’s Encrypt

Luego ejecutamos el script para que instale todas las dependencias necesarias. De forma automatica, encuentra todos los vhost configurados y te permite de forma automática generar certificados para todos los dominios en tu servidor. Si lo prefieres, simplemente marca aquellos dominios en la lista que te interesan. Tambíen te consultará acerca de mantener tanto el sitio HTTP y HTTPS disponibles, así también si quieres forzar un redireccionamiento hacia HTTPS.

./certbot-auto

Certificados SSL gratuitos con nueva  autoridad de certificación abierta Let’s Encrypt

Certificados SSL gratuitos con nueva  autoridad de certificación abierta Let’s Encrypt

Si solamente te interesa generar los certificados y hacer la configuración de forma manual ejecuta este comando:

./certbot-auto --apache certonly

Los certificados son almacenados en la carpeta /etc/letsencrypt/live.

En caso hace la configuración manual, debes agregar estas líneas a tu vhosts de SSL.

SSLCertificateKeyFile /etc/letsencrypt/live/www.nanotutoriales.com/privkey.pem
SSLCertificateFile    /etc/letsencrypt/live/www.nanotutoriales.com/cert.pem
SSLCertificateChainFile /etc/letsencrypt/live/www.nanotutoriales.com/chain.pem

Recuerda que debes habilitar el módulo SSL en Apache. Puedes hacerlo con este comando:

sudo a2enmod ssl

Los certificados emitidos por Let’s Encrypt expiran en 90 días, es por eso necesario realizar la renovación con el siguiente comando:

./certbot-auto renew --dry-run

Para automatizarlo puedes utilizar una tarea cron. Si no sabes como utilizarlo te recomiendo este nanotutorial: Introducción a Cron

A cifrar los datos con SSL en todos tus sitios web se ha dicho.


Acerca del autor

Hugo Gilmar Erazo Full Stack Web Developer

Soy un desarrollador web con más de 10 años de experiencia. Me considero fanático de GNU/Linux, lo cual me ha permitido complementar mis conocimientos en el desarrollo web con la administración de servidores.

Aunque manejo todo lo relacionado al Front-End, me inclino más por el desarrollo Back-End. También desarrollo aplicaciones móviles híbridas. Me gusta lo que hago.

Compartir esta noticia