Категорії
Сисадмин

Автоматичне продовження сертифікату letsencrypt

В лінуксах я використовую для оновлення crontab завдання. Для цього в консолі сервера пишемо:

sudo crontab -e

далі вставляємо стрічку

30 5 */10 * * certbot renew --pre-hook "service apache2 stop" --post-hook "service apache2 start"

запис 30 5 */10 * * означає, що завдання виконуватиметься (*/10) – кожних десять днів, а 30 5 півшостої ранку. Запис –pre-hook “service apache2 stop” –post-hook “service apache2 start” зупиняє веб-сервер Apache на момент оновлення і запускає знову після виконання операції.

Наявність сертифікату на сайті забезпечує захищенність паролів та іншого трафіку від прослуховування між вашим ПК та сайтом. На цій ділянці дані будуть зашифровані.

Категорії
Сисадмин

Бесплатный сертификат от StartSSL и ошибка sec_error_unknown_issuer

В браузере Firefox после установки сертификата на домен от StartSSL может возникнуть ошибка sec_error_unknown_issuer. Ошибка возникает из за того, что сертификат для вашего домена должен быть подписан цепочкой из серверных сертификатов https://www.startssl.com/certs/sub.class1.server.ca.pem и   https://www.startssl.com/certs/ca.pem

Я подписываю цепочкой прямо в ispmanager, обратите внимание, что в поле “Цепочка сертификатов” нужно скопировать содержимое файлов sub.class1.server.ca.pem и ca.pem без единого пробела и переноса между ними и без пробелов и переносов в конце и в начале. См. фото

баг в панели ISP manager или как это еще назвать?

 

Категорії
Сисадмин

А вы знали что AVAST вас прослушивает подменяя корневой сертификат?

Значит мне понадобилось продлить SSL сертификат для этого домена и т.к. я пользуюсь бесплатными то срок действия их от 1 до 12 месяцев. Но сейчас не о центрах сертификации а об авасте. Значит установил я новый сертификат от Rapidssl и в браузере решил посмотреть его действие. Оказалось что вместо рапиды там стоял сертификат от Avast и если посмотреть путь сертификации, то он был корневым Avast! Web/Mail Shield Root. 

подменен корневой сертификат на авастовский

Чтоб узнать почему так происходит достаточно взглянуть в настройки Аваста, можно обнаружить что стоит птичка разрешить сканирование HTTPS трафика. Конечно, для поиска вирусов вещь возможно нужная, но страдает секьюрность. Из за подмены корневого сертификата возможны проблемы с доступом к сайтам, которые используют сертификаты в качестве авторизации. В общем польза от таких действий аваста – сомнительны.

На скрине я вам показал где выключить в авасте сканирование SSL трафика. Достаточно убрать галочку.

выключение веб сканера

Снова проверяем наш сайт, и убеждаемся что Рапида уже на месте 🙂

теперь сертификат на месте