Tutoriales

¿Qué es el desafío Let's Encrypt DNS-01 y cómo utilizarlo para obtener certificados SSL?

Let's Encrypt es una autoridad de certificación SSL (CA) gratuita y confiable. Let's Encrypt utiliza políticas estrictas para verificar la propiedad del dominio y solo proporciona certificados SSL a esos dominios verificados.

De forma predeterminada, Let's Encrypt utiliza desafíos HTTP-01 para verificar la propiedad. El desafío HTTP-01 coloca el archivo en Webroot del servidor web y utiliza el nombre DNS del servidor web para recuperar el archivo. Si el archivo está disponible en la red, se verifica la autoridad del dominio y se emite un certificado SSL. Esto es bueno para la mayoría de los servidores y usuarios domésticos que pueden comprar una dirección IP pública de un proveedor de servicios de Internet (ISP).

Pero, ¿qué sucede si desea utilizar certificados SSL de Let's Encrypt para nombres de dominio en su red doméstica o privada/intranet? Bueno, obtener un certificado SSL de Let's Encrypt es un desafío en la mayoría de las redes domésticas porque lo más probable es que su ISP no le proporcione una dirección IP pública. Por lo tanto, no podrá superar el desafío Let's Encrypt HTTP-01 (porque no se puede acceder a su computadora/servidor desde la red).

En este caso, puede utilizar el desafío Let's Encrypt DNS-01 para obtener el certificado SSL para su red doméstica/interna. En este método, Let's Encrypt agrega un registro DNS TXT para «subdomain_acme-challenge.yourdomain.xyz» en su servidor DNS y verifica si el registro DNS TXT está disponible en Internet. Si el registro TXT coincide, se le verifica como propietario del dominio y Let's Encrypt emite un certificado SSL.

Para que el desafío Let's Encrypt DNS-01 funcione y renueve automáticamente su certificado SSL, debe utilizar un proveedor de servicios DNS (es decir, CloudFlare, DigitalOcean) que exponga una API para agregar/eliminar registros TXT en el servidor DNS.

LEER  Las 11 mejores aplicaciones para tomar notas de Linux de 2024

Si su registrador de DNS (donde registró su dominio) no admite este tipo de servicio, puede utilizar un proveedor de servicios DNS externo. Todo lo que necesita hacer es cambiar las direcciones del servidor de nombres DNS de su dominio de los servidores DNS de su registrador DNS a los de su proveedor de servicios DNS externo deseado.

Temas de contenido:

  1. Lista de proveedores de DNS que se integran fácilmente con la verificación de DNS de Let's Encrypt
  2. Vamos a cifrar la lista de clientes de ACME
  3. Cambie los servidores de nombres DNS de su registrador de dominio
  4. Ventajas de la verificación Let's Encrypt DNS-01
  5. Desventajas de la verificación Let's Encrypt DNS-01
  6. en conclusión
  7. Referirse a

Lista de proveedores de DNS que se integran fácilmente con la verificación de DNS de Let's Encrypt

La comunidad Let's Encrypt compiló un lista de proveedores de DNS La exposición de una API agrega/elimina automáticamente registros DNS para que los clientes de Let's Encrypt puedan verificar los nombres de dominio y emitir certificados SSL.

Una lista de proveedores de DNS que se pueden integrar fácilmente con la verificación de DNS de Let's Encrypt se encuentra en este enlace.

Vamos a cifrar la lista de clientes de ACME

El cliente Let's Encrypt también se denomina cliente ACME. ACME significa Entorno Automatizado de Gestión de Credenciales. ACME es un protocolo para la interacción automatizada entre una computadora/servidor y una autoridad de certificación (es decir, Let's Encrypt).

Los clientes ACME de Let's Encrypt más populares son:

Cambie los servidores de nombres DNS de su registrador de dominios

Si su registrador de dominio no está en la lista de proveedores de DNS que se integran fácilmente con Let's Encrypt, puede utilizar CloudFlare u otro proveedor de servicios DNS externo. Todo lo que tiene que hacer es cambiar los servidores de nombres DNS de su dominio desde el panel de su registrador de nombres de dominio a los servidores de nombres DNS del proveedor de servicios DNS externo que desea utilizar.

En la captura de pantalla a continuación, le mostramos cómo cambiar los servidores de nombres DNS para uno de nuestros dominios (a los servidores DNS de CloudFlare) desde el panel/sitio web de nuestro registrador de dominios (donde registramos nuestros dominios). El proceso debería ser similar para el registrador de su dominio. Para obtener más información, lea la documentación del registrador de su dominio o comuníquese con ellos.

Ventajas de la verificación Let's Encrypt DNS-01

Las ventajas de la verificación DNS-01 de Let's Encrypt son:

  • No requiere una dirección IP pública o accesible a Internet ni un servidor web.
  • Puede utilizar esto para emitir certificados SSL para dominios comodín (es decir, *.nodekite.com, *.linuxhint.com).
  • Funciona con múltiples servidores web.

Desventajas de la verificación Let's Encrypt DNS-01

Aunque la verificación Let's Encrypt DNS-01 tiene muchas ventajas, también existen algunas desventajas:

  • Para que la verificación DNS-01 funcione, debe mantener la clave/token API del proveedor de servicios DNS en el servidor, que será utilizado por el cliente Let's Encrypt para crear un registro TXT en el servidor DNS para realizar la verificación DNS-01. . Dado que la clave/token API se almacena en el servidor, si el servidor es pirateado, es posible que se filtre la clave/token API.
  • Después de que un cliente Let's Encrypt agrega un registro TXT en un servidor DNS, el cambio tarda algún tiempo en propagarse a otros servidores de nombres DNS en todo el mundo. Los clientes de Let's Encrypt deben esperar a que los cambios se propaguen a los servidores de nombres DNS globales para verificar la propiedad del dominio. Si su proveedor de servicios DNS no proporciona el tiempo de propagación de DNS en la API, los clientes de Let's Encrypt no sabrán cuánto tiempo esperar para que los cambios de DNS se propaguen a otros servidores de dominio en todo el mundo. En este caso, es posible que la validación de DNS expire y que Let's Encrypt no pueda emitir el certificado SSL.

en conclusión

En este artículo, analizamos el desafío Let's Encrypt DNS-01 y por qué se utiliza en lugar del desafío HTTP-01 predeterminado para verificar la propiedad del dominio. También analizamos los requisitos para obtener certificados SSL de Let's Encrypt a través del desafío Let's Encrypt DNS-01. Hemos enumerado proveedores de servicios DNS que se integran bien con Let's Encrypt, así como con el cliente ACME de Let's Encrypt que se puede utilizar para realizar la verificación de DNS desde una computadora/servidor. Finalmente, discutimos las ventajas y desventajas de la verificación DNS de Let's Encrypt.

Referirse a:

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba