Come installare Let's Encrypt SSL su Ubuntu con Certbot

Let's Encrypt fornisce certificati SSL gratuiti per i vostri siti web per utilizzare connessioni sicure. Certbot è un software open source gratuito che consente di creare facilmente certificati SSL Let's Encrypt sul vostro server Linux non gestito. Per iniziare, accedete al vostro server Linux via SSH come root.

Installare Certbot in Ubuntu 20.04

Per installare Certbot useremo PIP (Python Installs Packages) che per questa operazione funziona molto bene.

Passo 1. Prima installiamo PIP

sudo apt install python3 python3-venv libaugeas0

Passo 2. Configuriamo un ambiente virtuale:

sudo python3 -m venv /opt/certbot/

sudo /opt/certbot/bin/pip install --upgrade pip

Passo 3. Installiamo Certbot su Apache (o NGINX):

sudo /opt/certbot/bin/pip install certbot certbot-apache

oppure:

sudo /opt/certbot/bin/pip install certbot certbot-nginx

Passo 4. Creiamo un collegamento simbolico per assicurarti che Certbot venga eseguito:

sudo ln -s /opt/certbot/bin/certbot /usr/bin/certbot

Creiamo un certificato SSL con Certbot

Eseguiamo Certbot per creare certificati SSL e modificare il file di configurazione del server Web per reindirizzare automaticamente le richieste HTTP a HTTPS. Oppure, aggiungiamo 'certonly' per creare i certificati SSL senza modificare i file di sistema (consigliato se si ospitano siti di staging che non dovrebbero essere costretti a utilizzare un SSL).

Passo 1.  Scegli l'opzione migliore per le tue esigenze. Crea certificati SSL per tutti i domini e configura i reindirizzamenti nel server web:

sudo certbot --apache

oppure se si utilizza NGINX

sudo certbot --nginx

Creiamo certificati SSL per un dominio specificato (consigliato se si sta utilizzando il nome host del  sistema):

sudo certbot --apache -d example.com -d www.example.com

Passo 2.  Inserisci un indirizzo email per il rinnovo e gli avvisi di sicurezza.

Passo 3. Accetta i termini di servizio.

Passo 4. Specifica se ricevere e-mail da EFF.

Passo 5. Se richiesto, scegli se reindirizzare il traffico HTTP a HTTPS: 1 (nessun reindirizzamento, nessuna ulteriore modifica al server) o 2 (reindirizzamento di tutte le richieste HTTP a HTTPS).

Manutenzione SSL e risoluzione dei problemi

Dopo aver installato un certificato Let's Encrypt sulla configurazione di Ubuntu Certbot, puoi testare lo stato SSL del tuo sito Web su https://WhyNoPadlock.com per identificare errori di contenuto misto.

I file del certificato per ciascun dominio sono archiviati in:

cd /etc/letsencrypt/live

I certificati Let's Encrypt scadono dopo 90 giorni. Per impedire la scadenza degli SSL, Certbot controlla il tuo stato SSL due volte al giorno e rinnova i certificati che scadono entro trenta giorni. Puoi visualizzare le impostazioni con Systemd o cron.d.

systemctl show certbot.timer

cat /etc/cron.d/certbot

Assicurati che il processo di rinnovo funzioni:

sudo certbot renew --dry-run

Miglioramenti SSL

Avere un certificato SSL e reindirizzamenti 301 per forzare HTTPS non è sempre sufficiente per prevenire gli attacchi. Gli aggressori informatici hanno trovato il modo di aggirare entrambe le pratiche di sicurezza per infiltrarsi nelle comunicazioni del server.

HTTP Strict Transport Security (HSTS) è un'intestazione HTTP di sicurezza che risolve questo problema dicendo ai browser Web di servire il tuo sito Web solo se ricevuto con un certificato SSL valido. Se il browser riceve una connessione non sicura, rifiuta del tutto i dati per proteggere l'utente. È facile configurare HSTS all'interno del tuo server web (ad es. Apache e NGINX).