Let's Encrypt: Haydi Şifreleyelim

3
B 2
butch
1 Kasım 2016 , 2 dakika okuma süresi

Malumunuz, Let's Encrypt'in hayatımıza girmesiyle birlikte, güvenli site kurma maliyetlerinde, daha da önemlisi sertifika yönetme süreçlerinde ciddi bir rahatlama yaşadık. Aşağıdaki notlar GNU/Linux üzerinde Nginx ile rekor bir sürede SSL sertifikası almaya yöneliktir. Digital Ocean topluluğu tarafından hazırlanmış daha detaylı bir belgeyi bu adreste bulabilirsiniz.

SSL sertifikası üretme sürecinin bazı adımlarında sistemde root yetkileri ile hareket etmeniz gerekir. Yetki artırımı gerektiği not edilen noktalardaki komutları root kullanıcısı olarak veya sudo vasıtasıyla root yetkilerini alarak çalıştırmanız gerekmektedir.

Sertifika oluşturma

Uygun gördüğünüz bir konuma (tercihen kullanıcınızın ev dizinine) EFF'nin Let's Encrypt sertifikası üretmemizi sağlayan istemcisini klonlayarak işe başlayalım. 

git clone https://github.com/certbot/certbot.git

Sırasıyla, certbot klasörüne girelim, istemcimizi çalıştırabilmek için gerekli izinleri verelim ve adresim.com için sertifika oluşturalım.

cd certbot

chmod +x certbot-auto

#root yetkisi ile çalıştırılmalı
./certbot-auto certonly --webroot -w /web/sitenizin/root/dizini -d adresim.com -d www.adresim.com

Bu aşamada sizden e-posta adresiniz ve kullanım şartlarını onaylamanız istenecek. Sorunla karşılaşmadıysanız sertifika oluşturma işlemini tamamlamış bulunuyorsunuz.

Nginx ayarları

Bir sonraki adım, Nginx ayarları. Bunun için Nginx sunucunuzun ayarlarına aşağıdaki örneği uyarlamanız ve Nginx'i tekrar başlamanız yeterli. 

server {
    listen 443 default_server ssl;
    server_name www.adresim.com adresim.com;

    ssl_certificate /etc/letsencrypt/live/adresim.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/adresim.com/privkey.pem;
}

Sertifika yenileme

Let's Encrypt sertifikaları, 3 ay gibi kısa bir yaşam süresine sahip olduğu için bunun bitimine yakın bir zamanda yenilenmeleri gerekiyor. Tahmin edebileceğiniz gibi bu işlem de çok basit.

./certbot-auto renew

Bu işlemi her 3 ayda bir yapmak yerine, bir cron görevi tanımlamak çok doğru bir karar olacaktır (Örnek 2 ayda bir çalışıyor). Bunun için aşağıdaki gibi bir tanım yeterli. Bu işlemin ardından Nginx tekrar başlatılacağı için bunu root olarak yapmak gerekiyor.

0 0 1 */2 * /home/kullanici/certbot/certbot-auto renew && service nginx reload

Not: Bu rehber Ubuntu 16.04 üzerinde denenmiştir ancak tahmin ediyoruz ki diğer dağıtımlara/sürümlere de kolayca uygulanabilir.

Katkıları için @tongucyumruk'a teşekkürler.

ssl linux Ubuntu nginx 5-dakikalık-tarifler letsencrypt
4
Linkedin Facebook Twitter Google plus

Görüşler

Img 5856
0
conan

emresaglam.com'un sertifika yenilemesini anlatmışsın :D

Bunları bir kaç hafta önce apache için yapmış birisi olarak çok mutlu mesut yaşıyorum.

Cylon
0
Cylon

Peki kilit simgesinin yanında firma adımızında görünmesini istersek ekstra hangi ayarları yapmalıyız?

281817 181476855250691 6784756 n
0
tongucyumruk

TL;DR Let's Encrypt ile bunu yapmanız mümkün değil

Bahsettiğiniz özelliğin adı SSL-EV (EV = Extended Validation, Genişletilmiş Doğrulama). Kısaca ne olduğunu açıklayayım.

SSL teknolojisi size bağlandığınız web sitesinin gerçekten yazdığınız adresteki web sitesi olduğunu doğrulama imkanı sunar. SSL sayesinde, tarayıcınızın adres satırına https://fazlamesai.net yazdığınız zaman bağlandığınız siteinin gerçekten fazlamesai.net olduğunu doğrulayabilir, gönül rahatlığıyla parolanızı yazabilirsiniz. Peki diyelim ben sizin parolanızı ele geçirmek isteyen kötü niyetli biriyim, bu SSL korumasını nasıl aşabilirim? Tabi ki insani zaaflardan faydalanarak.

Eğer sizi fazlamesai.net gibi görünen ama fazlamesai.net olmayan bir siteye yönlendirmek istersem, size parolanızı değiştirmenizi söyleyen bir mail yollayabilirim. Mail'deki linke tıkladığınızda karşınıza fazlamesai.net giriş sayfası gelir. Tabi ki siz aklıbaşında bir insan olarak önce SSL kilidinin orada olup olmadığını kontrol edip, SSL işaretinin yeşil ışıltısını gördükten sonra güven içinde parolanızı yazarsınız. O noktada gözünüzden kaçan detay ise adres satırında https://fazlamesai.net değil https://fazlamesaí.net yazıyor olduğudur. IDN (Internationalized Domain Names - alan adlarında Unicode karakterlerinin kullanılmasına izin veren yer yer başa bela bir teknoloji) teknolojisi sayesinde ben fazlamesai.net'e çok benzeyen fakat fazlamesai.net olmayan bu alan adını kendi adıma kaydedip bu tip saldırılarda kullanabilirim.

SSL-EV teknolojisi işte burada devreye giriyor. Bir SSL-EV sertifikası teknolojik anlamda sıradan bir SSL sertifikasından hiçbir farkı olmayan bir sertifika tipi. Diğer SSL sertifikaları ile EV sertifikalar arasındaki fark ise EV sertifikalarının gerçek kurumsal kimlik bilgisinin doğrulamasını içeriyor olması. Örneğin fazlamesai.net'e girdiğiniz zaman adres satırında FAZLAMESAİ İNŞAAT TURİZM SANAYİ A.Ş. yazmasını istiyorsak bunun için sadece fazlamesai.net domainine sahip olmamız yetmiyor, EV doğrulaması için gerekli bütün belgeleri de SSL sertifikamızı aldığımız kuruma iletmemiz gerekiyor. SSL sertifika sağalayıcısı bütün bu belgeleri doğrulayıp başvuran kurumun gerçekten iddia edilen kurum olduğundan emin olduktan sonra SSL-EV sertifikasını onaylıyor.

Takdir edersiniz ki bu süreç oldukça meşakkatli ve insan emeği yoğun bir süreç olduğu için Let's Encrypt gibi otomatize ve ucuz çözümlerle EV sertifikası almak pek mümkün olmuyor.

Cylon
0
Cylon

Oldukça net açıklamışsınız, teşekkürler.

Görüş belirtmek için giriş yapın...

İlgili Yazılar

XFS sonunda Linux kerneline girdi!
cartman
17 Eylül 2002, 1 dakika okuma süresi

SGI'ın journalised dosya sistemi olan XFS uzun çalışmalardan sonra Linus Torvalds tarafından Linux kerneline kabul edildi. 2.5 kerneline girmesi uzun zamandan beri merakla beklenen XFS 2.5.36 kernelinde kendini gösterecek , bununla birlikte 2.6 kernelinde en azından 4 ( Benim bildiklerim XFS , JFS , ReiserFS , Ext3 ) journalised dosya sistemi olucak! Ben şahsen Ext3 , ReiserFS ve XFS i kendi Slackware sistemimde denedim ve bana göre XFS bunların arasında en hızlı olanı. Daha fazla bilgi için www.lwn.net/Articles/9998/

Yönetici Bakış Açısı İle GNU/Linux
FZ
24 Haziran 2003, 1 dakika okuma süresi

Son birkaç haberimizde GNU/Linux´un kamudaki kullanımına dair önemli gelişmeleri vurgulamıştık. Şimdi bakışlarımızı tekrar iş dünyasına çeviriyoruz ve önemli bir makaleden birkaç alıntı yapıyoruz (not: bu yazı geeklere ya da programcılara falan değil doğrudan YÖNETİCİLERE yöneliktir ;-) :

- Son zamanlara dek açık kodlu yazılım dünyası KB Toys bilgi işlem yöneticisi Tom Jeffery´nin umurunda değildi. Ancak 1,300 oyuncak satış merkezi için 10,000 kadar yeni yazar kasa (daha doğrusu para kasalarına sahip PC´ler) kurmak ve bunlara uygun yazılım aramak gerekince ve aranan şartlara uyan üç yazılımın da GNU/Linux üzerinde Java ile geliştirildiği görülünce durum biraz (!) değişti. Jeffery aday sistemlerin sergilediği esnekliği, kolay geliştirilebilirliği ve geniş desteği görünce etkilenmişti...

Gaim 2 Yolda
cbc
4 Aralık 2005, 1 dakika okuma süresi

Sık kullandığım yazılımlardan biri olan Gaim'in 2.0 versiyonu bir süredir CVS üzerinden erişilebilir durumda. Beta sürümünü beklemeden denemek, izlenimlerimi ve ilk gözüme çarpan yeteneklerini paylaşmak, çok fazla teknik detaya kaçmadan nasıl deneyebileceğinizden bahsetmek istiyorum.

Hangisini kurmak daha kolay ?
sundance
27 Ekim 2002, 1 dakika okuma süresi

Bildik teranedir, `Windows`u hiçbir şey bilmeyen biri bile next next basarak kurabilir ?` (Şahsen görmek isterim o birşey bilmeyen birininin en son model $4,5`lık winmodem ile ne yapabileceğini ama) Linux ise hep korkutmuştur yeni başlayanları, `aha işte bunu anlamadım, ne demek SSH` demek üzere bekleyen kullanıcıları :)))

LinuxWorld bunu bir deneyle görmek istemiş ve bilgisayar uzmanı olmayan günlük bir kullanıcıya Win XP ve RedHat 8 kurdurmuşlar. Ayrıntılı bilgi ve sonuçlar burada

ODTÜ Bilgisayar Topluluğu IX. Geleneksel Programlama Yarışması
hayalci
20 Mart 2006, 5 dakika okuma süresi

ODTÜ Bilgisayar Topluluğu'nun düzenlediği Geleneksel Programlama Yarışması'nın dokuzuncusu için ön elemeler başladı. Finali 30 Nisan 2006'da yapılacak olan yarışmanın ön eleme sorularına ve yarışmayla ilgili detaylara http://yarisma.cclub.metu.edu.tr adresinden erişilebilir. Son cevap gönderme tarihi 20 Nisan 2006 olan ön eleme sorularının puanlandırılmasıyla seçilecek olan finalistler, 30 Nisan 2006 tarihinde ODTÜ Bilgisayar Mühendisliği Bölümü'nde yapılacak olan finale katılmaya hak kazanacaklar. Ayrıca finallerden bağımsız olarak özel ödüllü bir soru da tüm yarışmacılar tarafından cevaplanabilir. Finalde dereceye giren ve özel ödüllü sorudan en yüksek puan alan yarışmacılara finalle aynı gün düzenlenecek olan törende ödülleri verilecektir. Dünyadaki benzerleri arasında (IOI, ACM, Tübitak) Linux platformunda düzenlenmiş yarışmaların ilki olma ayrıcalığına sahip olan yarışmaya, bilgisayar bilimine ilgi duyan ve gönül veren tüm üniversite lisans öğrencileri davetlidir.