Saya menyiapkan VPS pribadi saya dengan Nginx, dan saya membaca tentang cara mengamankan layanan. Tetapi satu hal yang agak tidak jelas bagi saya tentang sertifikat dan mengelola HTTPS:
Jika saya membeli nama domain (www.example.com) dari beberapa penyedia pihak ke-3, dan kemudian mengkonfigurasi domain untuk menunjuk ke IP VPS saya yang disediakan oleh pihak yang tidak terkait, siapa yang mengelola sertifikat?
Haruskah saya melakukan semua penanganan (sertifikat, konfigurasi TLS, mendengarkan https, dll) pada konfigurasi VPS dan Nginx, atau apakah semuanya dikelola oleh penyedia nama domain? Atau ada beberapa hal yang ditangani oleh penyedia nama domain dan beberapa di konfigurasi Nginx saya?
dns
certificate
vps
tls
Juha Untinen
sumber
sumber
Jawaban:
Anda akan melakukan penanganan yang Anda tanyakan.
Berikut ini gambaran umum dari gambaran lengkapnya.
Anda memberikan otoritas sertifikat (yang Anda panggil penyedia DNS) apa pun persyaratannya. Ini dapat mencakup pembayaran dan identifikasi.
Mereka memberi Anda sertifikat yang menunjuk mereka sebagai otoritas penerbit.
Anda kemudian mengkonfigurasi server web untuk menggunakan sertifikat itu.
Ketika seseorang mengunjungi halaman Anda dengan HTTPS, "S" di "HTTPS" adalah singkatan dari "Secure". Pada tahun-tahun sebelumnya, agak aman untuk menganggap S sebagai singkatan dari SSL, karena cara HTTPS diimplementasikan menggunakan HTTP over SSL. Saat ini, TLS adalah implementasi modern yang biasanya digunakan alih-alih versi SSL yang lebih lama.
Ketika klien web (paling sering disebut "browser web") menggunakan TLS (atau SSL), ia mendapat sertifikat dari server web. (Ini akan menjadi sertifikat yang dibuat secara otomatis, dalam beberapa hal berbeda dari sertifikat yang Anda dapatkan dari otoritas sertifikat Anda.) Kemudian klien web memeriksa apakah sertifikat tersebut dipercaya. Sertifikat yang diterima browser web akan memiliki jejak sertifikat Anda dan otoritas sertifikat. Peramban web dapat memberi tahu bahwa sertifikat itu dibuat dengan restu dari otoritas sertifikat itu.
Klien web melihat "toko sertifikat" sendiri, yang biasanya hanya dilengkapi dengan browser web dan / atau sistem operasi. Karena sertifikat yang dibeli secara komersial mungkin menunjuk ke otoritas sertifikat yang diakui dan dipercaya secara luas, klien web menganggap server web itu dapat dipercaya.
Pastikan bahwa ketika Anda mendapatkan sertifikat yang Anda bayar, Anda tidak memberikannya kepada orang lain. (Biasanya saya akan mengatakan untuk tidak membaginya dengan siapa pun kecuali kepada siapa Anda harus percaya, seperti kepada perusahaan yang menjalankan server web yang Anda gunakan. Tetapi karena Anda menjalankan server web Anda sendiri, pengecualian itu mungkin tidak berlaku. Meskipun , jika "server pribadi virtual" ("VPS") Anda tidak dienkripsi, mungkin host VPS Anda dapat mengakses data.) Jika ada orang yang tidak dapat dipercaya mendapatkan salinan sertifikat itu, maka mereka dapat dipercaya menjadi Anda. Dengan kata lain, pencuri seperti itu dapat secara efektif mencuri identitas Anda. Jadi jangan memposting sertifikat yang Anda bayar secara publik.
Satu hal yang dapat Anda lakukan dengan penyedia DNS Anda adalah mengatur catatan sumber daya DNS. Dalam banyak kasus, Anda mengatur AAAA dan / atau catatan A dengan mereka. Secara pribadi, saya cenderung hanya mengatur catatan NS dengan penyedia DNS, dan menjadi tuan rumah catatan AAAA dan / atau A sendiri. Penyedia DNS Anda tidak harus memiliki organisasi yang sama dengan siapa pun yang memberikan sertifikat Anda. (Jika menggunakan "Mari Enkripsi" sebagai otoritas sertifikat Anda, saya harapkan mereka menjadi organisasi yang berbeda.)
sumber
A record
(A singkatan Alamat) = Catatan IPv4 danAAAA record
(Otentikasi, Otorisasi, Akuntansi, dan Audit) = Catatan IPv6. Mereka adalah pemetaan antara nama domain (www.example.com) dan alamat IP sebenarnya yang dihosting di situs web tersebut. Ada juga banyak jenis lainnya yang dapat Anda lihat di sini: en.wikipedia.org/wiki/List_of_DNS_record_typesSiapa pun yang mengelola VPS akan mengelola ini. Pendaftar domain (penyedia nama domain) secara teknis hanya berurusan dengan alamat IP dan entri nama domain yang terkait dengan VPS Anda.
Sertifikat, TLS, https, dll. Adalah semua hal yang akan Anda konfigurasi di server dengan Nginx, dll. Penyedia nama domain tidak memiliki peran dalam aspek ini.
sumber