Let’s Encrypt es un servicio gratuito que proporciona certificados SSL/TLS (Secure Sockets Layer) para habilitar el cifrado HTTPS en sitios web, de manera segura, libre, automatizada y abierta, creado para el beneficio público. Es un servicio proveído por el Internet Security Research Group (ISRG). Su misión es, a través certificados digitales seguros, habilitar HTTPS/TLS en nuestros sitios sin costos y de una forma muy amigable para el usuario, y de esta manera crear una web más segura para todos, resguardando la privacidad de nuestros datos.
Para esto se basa en los siguientes principios básicos:
Luego de esta necesaria introducción, te explicaré cómo instalar estos certificados en tu servidor.
Para la elaboración de este artículo se utilizó:
ssh -i “llave.pem” usuario@ip.region.compute.amazonaws.com
*En otra publicación puedo explicarte algunas cosas sobre Amazon y sus servicios.
$ sudo apt-get update
$ sudo apt-get install software-properties-common
$ sudo add-apt-repository ppa:certbot/certbot
$ sudo apt-get update
$ sudo apt-get install python-certbot-apache
Luego de esto, ya podrás utilizar el software, co
n el siguiente comando:sudo certbot --apache
Si tenias todo correctamente configurado en tu servidor apache, deberían estar descritos todos los sitios que tengas configurados en la carpeta:
/etc/apache2/sites-available
Como puedes apreciarlo a continuación:
Estas 2 opciones que tengo yo, son los server names de los archivos .conf, que se encuentran en la carpeta anteriormente mencionada. A continuación te muestro algunos ejemplos:
Bueno ahora solo queda seleccionar el dominio al cual se quieren instalar los certificados seguros, seleccionando 1 o 2 si se requiere “www.garagelabs.cl” o “woo.oferus.com”. En mi caso, como ya lo hice, me avisa que ya tenia algunos instalados y que es necesaria la reinstalación de los existentes, o renovarlos. Puedes verlo a continuación (a ti no te va a aparecer la siguiente imagen, porque es tu primera instalación para dicho dominio):
Ojo que puedes volver a generar unos nuevos certificados, pero tienes un limite de 5 en un plazo de 7 días.
Nuevamente, como es tu primera vez, CertBot simplemente te los generará, mostrando lo siguiente:
Puntos importantes en la imagen:
En este caso, no tomamos la opción de redireccionamiento, ya que lo hicimos de forma manual.
Es simple, te voy a volver a pegar una imagen que te mostré más arriba, y que probablemente paso inadvertida:
Fíjate en la última línea, redirecciona cualquier petición a su versión segura.
¡ESO ES TODO! 🎉
Si realizaste todos los pasos correctamente, el software te entregará un mensaje de felicitaciones como el siguiente:
Ahora permíteme mostrarte algunas cosas interesantes. Volvamos a:
/etc/apache2/sites-available
Ahí podemos encontrar un nuevo archivo, que mantiene el nombre del archivo de configuración del sitio, pero agregándole -le-ssl al nombre, quedando en mi caso de la siguiente manera: 000-default-le-ssl.conf. Este archivo es una copia del original, pero en el puerto 443, con el módulo mod_ssl.c habilitado (necesario para los CA) y agregando las siguientes líneas al final del archivo:
Include /etc/letsencrypt/options-ssl-apache.conf
SSLCertificateFile /etc/letsencrypt/live/www.garagelabs.cl/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/www.garagelabs.cl/privkey.pem
Si sigues las rutas de cada uno de los certificados, puedes ir a revisarlos y verificarlos.
Como es bien sabido, los certificados SSL, se renuevan año a año con nuestros proveedores. Si bien existen procesos automáticos para realizar esta labor, aun tenemos mucha gente haciéndolo a mano.
Pero estos genios ya lo tenían pensado, y nos ofrecen una alternativa para activar una renovación automática para nuestros certificados. Sólo basta con agregar el siguiente comando en el terminal conectado vía SSH:
sudo certbot renew --dry-run
Entendiendo el fondo y el sentido de este proyecto, es importante que todos aportemos para que este tipo de iniciativas se sigan levantando, y lograr que el navegar por Internet sea una experiencia más segura.
Let’s Encrypt funciona gracias a donaciones y sponsors, date una vuelta por este link si te interesa colaborar en el proyecto.
Espero que este tutorial te haya sido de ayuda, y te recuerdo que si tienes dudas siempre puedes contactarme, en Garage Labs siempre estamos dispuestos a ayudarte con tus proyectos.
Publicaciones oficiales de la consultora tecnológica Garage Labs | Santiago de Chile