Actualización – 2016-04-10:
WordPress.com ahora está usando encriptemos en los dominios de blog que alojan. Está lista para producción.
Mi recomendación:
- ¿Cuáles son algunos buenos ejemplos de piratería informática?
- ¿Tener un hogar digital a salvo de posibles piratas informáticos?
- ¿Cambiar un disco duro restaurará mi PC a su condición normal si se piratea?
- ¿Por qué es iOS más seguro que macOS?
- ¿Cómo se hackeó mi cuenta de WhatsApp usando WhatsApp web?
- Pruébelo en sistemas internos que no sean de producción para ganar experiencia
- Tenga a mano un certificado comercial.
- Monitoree constantemente.
- Adopte cuando millones de sitios ya lo hayan adoptado ( ya lo haya hecho; consulte la actualización ).
Estoy muy entusiasmado con Let’s Encrypt. Creo que este proyecto es un gran ejemplo de brillantez técnica que puede perturbar a toda una industria y ahorrar mucho dolor a los desarrolladores. Como CTO de una pequeña startup, trabajo mucho en DevOps, paso demasiadas horas cada vez que tengo que renovar certificados SSL, por lo que tener certificados de renovación automática Let’s Encrypt en todas las máquinas de forma gratuita es una gran ayuda.
Sin embargo, un problema de certificado SSL puede matar un sitio web y una aplicación (o incluso una empresa joven). Por ejemplo, suponga que Apple se despierta en el lado equivocado de la cama y de repente las llamadas a la API de su aplicación dejan de funcionar porque iOS no validará sus URL HTTPS, o algún experto en seguridad encuentra una gran brecha en su mecanismo y todos los grandes navegadores dejan de validar su URL en 24 horas. LE es joven, por lo que estos escenarios pueden suceder.
Por lo tanto, no me apresuro a la implementación de producción completa antes de que otros lo hagan. Sin embargo, los implemento en sitios internos de la compañía, como paneles de control. De esta manera puedo inspeccionar el problema y renovar el flujo. En el peor de los casos, si los certificados ya no son válidos, aún puedo acceder a los sitios ignorando las advertencias SSL del navegador hasta que compre un certificado adecuado. No se hace daño de relaciones públicas, porque estos son sitios internos destinados solo a mis desarrolladores.
Para monitorear, uso un trabajo de Jenkins que verifica que los sitios tengan certificados SSL válidos cada pocas horas. Tengo un certificado comercial listo en los servidores, por lo que cambiar debería costar unos minutos de trabajo y reiniciar nginx.
Espero hacer la transición completa en 2017.
Ejemplo del mundo real
Desplegué vamos a encriptar en mi servidor mmonit que uso para supervisar mis instancias EC2. Después de emitir el certificado (usando autónomo, nginx aún no es compatible de fábrica), utilizo el siguiente script para renovar:
#! / bin / bash
monit unmonitor all
killall mmonit
/ opt / letsencrypt / letsencrypt-auto certonly -a webroot –agree-tos –renew-by-default –webroot-path = / usr / share / nginx / html -d MY_DOMAIN
/home/ubuntu/mmonit-3.5.1/bin/mmonit
servicio reinicio nginx
monitor monitorear todo
La siguiente línea crontab ejecuta el script de renovación tres veces por semana (el límite es de 5 renovaciones semanales).
3 12 * * 1,3,5 /home/ubuntu/renew_cert.sh
Puede leer más sobre la instalación de nginx aquí.