Let's Encrypt: Haydi Şifreleyelim

Malumunuz, Let's Encrypt'in hayatımıza girmesiyle birlikte, güvenli site kurma maliyetlerinde, daha da önemlisi sertifika yönetme süreçlerinde ciddi bir rahatlama yaşadık. Aşağıdaki notlar GNU/Linux üzerinde Nginx ile rekor bir sürede SSL sertifikası almaya yöneliktir. Digital Ocean topluluğu tarafından hazırlanmış daha detaylı bir belgeyi bu adreste bulabilirsiniz.

SSL sertifikası üretme sürecinin bazı adımlarında sistemde root yetkileri ile hareket etmeniz gerekir. Yetki artırımı gerektiği not edilen noktalardaki komutları root kullanıcısı olarak veya sudo vasıtasıyla root yetkilerini alarak çalıştırmanız gerekmektedir.

Sertifika oluşturma

Uygun gördüğünüz bir konuma (tercihen kullanıcınızın ev dizinine) EFF'nin Let's Encrypt sertifikası üretmemizi sağlayan istemcisini klonlayarak işe başlayalım.

git clone https://github.com/certbot/certbot.git

Sırasıyla, certbot klasörüne girelim, istemcimizi çalıştırabilmek için gerekli izinleri verelim ve adresim.com için sertifika oluşturalım.

cd certbot

chmod +x certbot-auto

#root yetkisi ile çalıştırılmalı
./certbot-auto certonly --webroot -w /web/sitenizin/root/dizini -d adresim.com -d www.adresim.com

Bu aşamada sizden e-posta adresiniz ve kullanım şartlarını onaylamanız istenecek. Sorunla karşılaşmadıysanız sertifika oluşturma işlemini tamamlamış bulunuyorsunuz.

Nginx ayarları

Bir sonraki adım, Nginx ayarları. Bunun için Nginx sunucunuzun ayarlarına aşağıdaki örneği uyarlamanız ve Nginx'i tekrar başlamanız yeterli.

server {
    listen 443 default_server ssl;
    server_name www.adresim.com adresim.com;

    ssl_certificate /etc/letsencrypt/live/adresim.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/adresim.com/privkey.pem;
}

Sertifika yenileme

Let's Encrypt sertifikaları, 3 ay gibi kısa bir yaşam süresine sahip olduğu için bunun bitimine yakın bir zamanda yenilenmeleri gerekiyor. Tahmin edebileceğiniz gibi bu işlem de çok basit.

./certbot-auto renew

Bu işlemi her 3 ayda bir yapmak yerine, bir cron görevi tanımlamak çok doğru bir karar olacaktır (Örnek 2 ayda bir çalışıyor). Bunun için aşağıdaki gibi bir tanım yeterli. Bu işlemin ardından Nginx tekrar başlatılacağı için bunu root olarak yapmak gerekiyor.

0 0 1 */2 * /home/kullanici/certbot/certbot-auto renew && service nginx reload

Not: Bu rehber Ubuntu 16.04 üzerinde denenmiştir ancak tahmin ediyoruz ki diğer dağıtımlara/sürümlere de kolayca uygulanabilir.

Katkıları için @tongucyumruk'a teşekkürler.

Görüşler

conan
8 yıl önce (güncellenmiş)

emresaglam.com'un sertifika yenilemesini anlatmışsın :D

Bunları bir kaç hafta önce apache için yapmış birisi olarak çok mutlu mesut yaşıyorum.

Cylon
8 yıl önce

Peki kilit simgesinin yanında firma adımızında görünmesini istersek ekstra hangi ayarları yapmalıyız?

tongucyumruk
8 yıl önce

TL;DR Let's Encrypt ile bunu yapmanız mümkün değil

Bahsettiğiniz özelliğin adı SSL-EV (EV = Extended Validation, Genişletilmiş Doğrulama). Kısaca ne olduğunu açıklayayım.

SSL teknolojisi size bağlandığınız web sitesinin gerçekten yazdığınız adresteki web sitesi olduğunu doğrulama imkanı sunar. SSL sayesinde, tarayıcınızın adres satırına https://fazlamesai.net yazdığınız zaman bağlandığınız siteinin gerçekten fazlamesai.net olduğunu doğrulayabilir, gönül rahatlığıyla parolanızı yazabilirsiniz. Peki diyelim ben sizin parolanızı ele geçirmek isteyen kötü niyetli biriyim, bu SSL korumasını nasıl aşabilirim? Tabi ki insani zaaflardan faydalanarak.

Eğer sizi fazlamesai.net gibi görünen ama fazlamesai.net olmayan bir siteye yönlendirmek istersem, size parolanızı değiştirmenizi söyleyen bir mail yollayabilirim. Mail'deki linke tıkladığınızda karşınıza fazlamesai.net giriş sayfası gelir. Tabi ki siz aklıbaşında bir insan olarak önce SSL kilidinin orada olup olmadığını kontrol edip, SSL işaretinin yeşil ışıltısını gördükten sonra güven içinde parolanızı yazarsınız. O noktada gözünüzden kaçan detay ise adres satırında https://fazlamesai.net değil https://fazlamesaí.net yazıyor olduğudur. IDN (Internationalized Domain Names - alan adlarında Unicode karakterlerinin kullanılmasına izin veren yer yer başa bela bir teknoloji) teknolojisi sayesinde ben fazlamesai.net'e çok benzeyen fakat fazlamesai.net olmayan bu alan adını kendi adıma kaydedip bu tip saldırılarda kullanabilirim.

SSL-EV teknolojisi işte burada devreye giriyor. Bir SSL-EV sertifikası teknolojik anlamda sıradan bir SSL sertifikasından hiçbir farkı olmayan bir sertifika tipi. Diğer SSL sertifikaları ile EV sertifikalar arasındaki fark ise EV sertifikalarının gerçek kurumsal kimlik bilgisinin doğrulamasını içeriyor olması. Örneğin fazlamesai.net'e girdiğiniz zaman adres satırında FAZLAMESAİ İNŞAAT TURİZM SANAYİ A.Ş. yazmasını istiyorsak bunun için sadece fazlamesai.net domainine sahip olmamız yetmiyor, EV doğrulaması için gerekli bütün belgeleri de SSL sertifikamızı aldığımız kuruma iletmemiz gerekiyor. SSL sertifika sağalayıcısı bütün bu belgeleri doğrulayıp başvuran kurumun gerçekten iddia edilen kurum olduğundan emin olduktan sonra SSL-EV sertifikasını onaylıyor.

Takdir edersiniz ki bu süreç oldukça meşakkatli ve insan emeği yoğun bir süreç olduğu için Let's Encrypt gibi otomatize ve ucuz çözümlerle EV sertifikası almak pek mümkün olmuyor.

Cylon
8 yıl önce

Oldukça net açıklamışsınız, teşekkürler.

Görüş belirtmek için giriş yapın...

İlgili Yazılar

OpenSUSE.org Yayında

vst
10 Ağustos 2005, 1 dakika okuma süresi

Daha önceden duyurduğumuz bir haberde Novell'in Suse'nin tüm kaynaklarını açacağını iletmiştik. Bugün Suse haber postalarında http://www.opensuse.org sitesinin yayına girdiği duyuruldu. Son sürümü indirebilirsiniz ve Bugzilla ile hata raporlarınızı iletebilirsiniz.

Linux Eğitimleri ve Sertifikasyon Sınavı, Aralık Dönemi

OSEC
1 Aralık 2003, 1 dakika okuma süresi

İstanbul Bilgi Üniversitesi - Open Source Enterprise Centre tarafından düzenlenen Linux eğitimleri Aralık Dönemi, 6 Aralık Cumartesi günü başlayacak. Kayıtlar devam ediyor. Program hakkında detaylı bilgi almak için open.bilgi.edu.tr adresini ziyaret edebilir, kayıt için bizimle iletişime geçebilirsiniz.

Eğitime ihtiyacım yok ama bilgimi belgelemek iyi olur diyorsanız 20 Aralık Cumartesi günü yapılacak Linux Sertifikasyon sınavına katılabilirsiniz.

Türk Televizyonlarındaki İlk GNU/Linux Reklamı

namixari
9 Temmuz 2005, 1 dakika okuma süresi

Türkiye'de bilgisayar kullanıcısı Insanların büyük bir kısmı işletim sistemi denen yazılımların farkında değil, daha doğrusu ne olduğunu bilmiyor ve bilgisayar kullanmanın yalnızca MS Windows kullanmak oldugunu sanıyor.

PlayStation 2 için LINUX Kitleri

polat
30 Ocak 2002, 1 dakika okuma süresi

Sonyden yapılan açıklamada, yazılım araçlarını içeren ve Linux işletim sistemini PlayStation 2lere yüklemek için gerekli disklerin satışına yakında başlanacağı belirtildi. Linux kitleri ilk olarak Japonyada Mayıs ayında piyasada olacak. Kitler, Haziran ayından itibaren ABD ve Avrupada da satışa çıkacak. Sony Sözcüsü, Linux hayranlarının bu işletim sistemini PClerinin yanı sıra PlayStation oyun konsollarında da görmek istediklerini söyledi. Kitler, Japonyada 188, ABD ve Avrupada ise 215 dolardan satılacak. Söz konusu kitler, 40 GBlık dahili sabit disk, USB klavye ve fare de içeriyor. Microsoftun Windows işletim sistemi ile rekabet eden Linux, açık kodlu ücretsiz bir işletim sistemi. Halen tüm dünyadaki bilgisayarların yüzde 90ından fazlasında Windows işletim sistemleri kullanılıyor. www.reuters.com
www.ntvmsnbc.com

Slackware 9 Sonunda Çıktı !!

oktay
19 Mart 2003, 1 dakika okuma süresi

Henüz resmi site slackware.com'dan haber verilmemiş olsa da Slackware 9 artık hazır. Bu yazıyı yazdığım saatlerde 9.0 sürümü henüz yansı sitelerine ulaşmamış görünüyor. Zannediyorum resmi bir açıklama yapılmamış olmasının sebebi de yansı sitelerine bu aşamada yüklenilmesini engellemek.

Uzun zamandır beklediğimiz şu anda hala yayınlanan en eski Linux sürümü ünvanını elinde bulunduran bu Slackware in yeni sürümü hepimize hayırlı olsun.

Eğer indirmeyi başarabilirseniz lütfen geçici yansı sunucuları kurup buradan adresi dağıtmak vasıtasıyla Türkiyede de yayılmasına yardımcı olunuz.

linuxtoday.com/developer/2003031901126NWSLSW adresinden daha fazla bilgi alınabilir.