Tin tức
Let’s Encrypt là gì? Cách thức hoạt động của Let’s Encrypt ra sao?
Let’s Encrypt là gì? Cách thức hoạt động của Let’s Encrypt ra sao? Là câu hỏi khiến cho các bạn gặp nhiều khó khăn vì chưa biết nó là gì. Vậy ngay sau đây hay để Mẫu Website 24h cung cấp những thông tin đúng nhất về Let’s Encrypt cho các bạn có thể nắm bắt qua bài viết dưới đây nhé.
Let’s Encrypt là gì?
Let’s Encrypt hiểu một cách rõ nhất là một cơ quan cung cấp chứng chỉ TLS/SSL miễn phí thông qua giao thức ACME (môi trường quản lý chứng chỉ tự động) và được phát triển bởi nhóm nghiên cứu bảo mật internet ISRG.
Let’s Encrypt sẽ cung cấp cho người dùng một chứng nhận số phù hợp để kích hoạt “HTTPS” (có thể là TLS hoặc SSL) cho trang web của mình một cách thân thiện và hoàn toàn miễn phí.
Nói tóm lại là tất cả điều này nhằm đảm bảo một môi trường sử dụng website riêng tư, an toàn và tôn trọng giữa người dùng với nhau.
Lưu ý, chứng chỉ của Let’s Encrypt cấp chỉ có hiệu lực trong vòng 90 ngày. Trong khi chứng chỉ số SSL cao cấp có thể kéo dài đến một hoặc hai năm. Tuy bị hạn chế về mặt thời gian sử dụng nhưng nhờ tính năng tự động gia hạn được tích hợp sẵn nên trang web của bạn sẽ không bị gián đoạn hoạt động vì không có HTTPS.
Let’s Encrypt hoạt động như thế nào?
Giao thức ACME của Let’s Encrypt là xác định và thiết lập máy chủ HTTPS để website có thể tự động nhận được chứng chỉ SSL đáng tin cậy trên trình duyệt. Quy trình hoạt động của Let’s Encrypt được diễn ra theo 2 bước như sau:
Bước 1: Xác nhận tên miền
Let’s Encrypt sử dụng khoá công khai để xác định quyền quản trị máy chủ. Trình quản lý sẽ kết nối với Let’s Encrypt để tạo một cặp khoá mới và gửi thông tin xác nhận để chứng tỏ với CA rằng website này đang sở hữu một tên miền. Quá trình này tương tự như việc CA tự tạo tài khoản và thêm tên miền vào tài khoản đó.
Để hiểu rõ nhất về cách hoạt động của Let’s Encrypt là gì thì Mẫu Website 24h sẽ lấy ví dụ cụ thể về quy trình thiết lập website:
https://example.com/ thông qua một trình quản lý chứng chỉ hỗ trợ cho Let’s Encrypt.
Trình quản lý sẽ gửi một yêu cầu đến Let’s Encrypt CA để xác nhận nó đang kiểm soát example.com. Let’s Encrypt sẽ xem xét thông tin nhận được và đưa ra những yêu cầu mà bạn cần phải hoàn thành để chứng minh sự thật. Lúc này bạn có 2 sự lựa chọn:
- Cung cấp HTTP của URL trên https://example.com/.
- Cung cấp một CNAME (bản ghi) DNS dưới tên example.com.
Khi đã nhận được kết quả hoàn thành, Let’s Encrypt sẽ gửi một cặp khoá riêng cho trình quản lý chứng chỉ để kiểm soát cặp khoá đó.
Trình quản lý sẽ đặt một tập tin liên quan trên URL được chỉ định trên website:https://example.com. Tiếp đó, trình quản lý sẽ ký một khoá riêng và sẽ tự động gửi thông báo cho CA rằng hoàn thành xác nhận.
Công việc của CA ngay lúc này sẽ kiểm tra các yêu cầu đã đạt chuẩn hay chưa. CA sau khi xác minh chữ ký sẽ tải về các tập tin từ web server để đảm bảo có thể lấy được nội dung mong muốn.
Nếu chữ ký và các yêu đã đáp ứng, trình quản lý sẽ nhận được uỷ quyền trong việc quản lý chứng chỉ trong trang web example.com. Và cặp khoá mà trình quản lý sử dụng được gọi là “cặp khoá uỷ quyền”
Bước 2: Cấp chứng chỉ và thu hồi
Trình quản lý có thể thu hồi, thay đổi hoặc yêu cầu chứng chỉ cho tên miền đó bằng cách gửi yêu cầu quản lý chứng chỉ, chữ ký đã xác minh cùng cặp khoá uỷ quyền.
Trình quản lý phải tạo PKCS#10 Certificate Signing Request và gửi yêu cầu đến Let’s Encrypt CA để được cung cấp một từ khoá công khai cũng như nhận được chứng chỉ cho tên miền example.com.
Trong đó, CSR sẽ gồm chữ ký xác nhận bằng khoá riêng của trình quản lý, nhưng phải tương ứng với khoá công khai trong CSR. Đồng thời, trình quản lý cũng phải ký xác nhận CSR cùng với uỷ quyền cho example.com. Điều này nhằm đảm bảo Let’s Encrypt CA hiểu được nó đã được uỷ quyền.
Khi Let’s Encrypt CA nhận được yêu cầu thì sẽ gửi một xác minh gồm 2 chữ ký. Nếu hoàn tất mọi thứ thì Let’s Encrypt CA sẽ trả lại khoá công khai từ CSR và chứng chỉ cho example.com cho trình quản lý.
Triển khai ứng dụng khách ACME
Đề xuất: Certbot Let’s Encrypt Client
Certbot là một ứng dụng Let’s Encrypt phổ biến nhất và có trong hầu hết các bản phân phối Linux chính, bao gồm khả năng cấu hình tự động thuận tiện cho Apache và Nginx.
Sau khi cài đặt, tìm nạp chứng chỉ và cập nhật cấu hình Apache của bạn và thực hiện giống như sau:
- sudo certbot –apache -d www.example.com
Bạn cần hoàn thành một số câu hỏi bắt buộc từ Certbot => tải xuống chứng chỉ => cập nhật cấu hình Apache => tải lại máy chủ. Sau đó, bạn sẽ được điều hướng đến trình duyệt web của mình. Nếu thấy khóa màu xanh lục xuất hiện, đồng nghĩa chứng chỉ hợp lệ và kết nối đã được mã hóa https://www.example.com
Vì chứng chỉ Let’s Encrypt chỉ có giá trị trong 90 ngày, nên điều quan trọng là phải thiết lập quy trình gia hạn tự động. Ghi lệnh sudo certbot renew sẽ gia hạn tất cả các chứng chỉ trên máy.
Đặt lệnh trên vào Crontab để khởi chạy hàng ngày và các chứng chỉ sẽ tự động được gia hạn ba mươi ngày trước khi hết hạn. Nếu một chứng chỉ được tạo ban đầu với –apache hoặc –nginx cùng các tùy chọn, Certbot sẽ tải lại máy chủ sau khi gia hạn thành công.
Các tùy chọn ứng dụng khách khác
Vì giao thức ACME mở và được ghi chép đầy đủ, nhiều ứng dụng khác thay thế đã được phát triển Let’s Encrypt duy trì danh sách các khách hàng ACME trên trang web của họ. Hầu hết các ứng dụng khách khác không có các tính năng cấu hình máy chủ web tự động của Certbot, nhưng chúng có các tính năng khác để có thể lôi kéo bạn.
- Có một ứng dụng khách được viết bằng tất cả các ngôn ngữ lập trình, bao gồm các tập lệnh Shell, Go và Node.js. Điều này sẽ quan trọng nếu bạn đang tạo chứng chỉ trong một môi trường hạn chế và muốn loại bỏ Python cùng các Certbot khác.
- Một số máy khách có thể chạy mà không cần những đặc quyền root. Tốt nhất là bạn nên chạy số lượng mã đặc quyền ít nhất có thể.
- Nhiều ứng dụng khách có thể tự động hoá hoạt động dựa trên DNS bằng cách dùng API của nhà cung cấp DNS để tự động tạo bản ghi TXT thích hợp. Thử thách DNS cho phép một số trường hợp sử dụng các mã hoá các máy chủ web không thể truy cập công khai.
- Một số máy khách thực sự được tích hợp vào máy chủ web (web server), cân bằng tải (load balancing) hoặc Reverse proxy giúp định cấu hình và triển khai trở nên dễ dàng hơn.
Một số ứng dụng khách phổ biến:
- Lego: được viết bằng Go là bản cài đặt nhị phân mệt tệp và hỗ trợ các nhà cung cấp DNS khi sử dụng thử thách DNS
- acme.sh: là một tập lệnh shell đơn giản có thể chạy ở chế độ không đặc quyền và tương tác với hơn 30 nhà cung cấp DNS
- Caddy: là máy chủ web đầy đủ được viết bằng Go và hỗ trợ tích hợ cho Let’s Encrypt.
Let’s Encrypt tạo ra chứng chỉ SSL Miễn Phí như thế nào?
Với mục đích giúp làm tăng tốc độ mã hoá cho website và giảm thiểu chi phí kích hoạt HTTPS, Let’s Encrypt tạo ra giao thức ACME để website dễ dàng tự động thiết lập và có được chứng chỉ SSL mà không cần đến bất kỳ sự can thiệp nào của con người. Việc này được thực hiện thông qua chương trình quản lý chứng chỉ hoạt động trên máy chủ web.
Câu hỏi thường gặp
Tại sao cần sử dụng chứng chỉ SSL?
Chứng chỉ SSL đã trở thành một điều cần thiết tuyệt đối trong ngành công nghiệp lưu trữ hiện nay. Có hai lợi ích chính khi sử dụng chứng chỉ SSL:
- Mã hoá dữ liệu nhạy cảm như số thẻ tín dụng và thông tin cá nhân
- Tạo độ tin cậy cho khách truy cập website hiểu được rằng, dữ liệu của họ được bảo mật bằng kết nối an toàn và trang web của bạn được bảo đảm bởi CA đáng tin cậy.
Let’s Encrypt SSl có tự động gia hạn hay không?
Chứng chỉ SSl Let’s Encrypt sẽ có giá trị trong vòng 90 ngày và được trình quản lý tự động gia hạn chứng chỉ 30 ngày trước khi hết hạn để tránh gián đoạn dịch vụ. Nếu bạn muốn ngưng sử dụng chứng chỉ, bạn có thể xoá nó khỏi “site tool -> Security -> SSL Manager”
Làm thế nào để cài đặt Let’s Encrypt trên miền website?
Để cài đặt chứng chỉ SSL Let’s Encrypt trên tên miền của bạn, hãy chuyển đến công cụ trang web -> bảo mật -> trình quản lý SSL.
Lời kết
Hy vọng những kiến thức mà Mẫu Website 24h mang đến qua bài viết giúp các bạn có cái nhìn tổng thể nhất và tầm quan trọng của Let’s Encrypt là gì? Cách thức hoạt động của Let’s Encrypt ra sao?. Cảm ơn các bạn đã dành thời gian đọc bài viết, chúc các bạn thành công.