Apakah sertifikat dikelola oleh penyedia nama domain, atau di server?

0

Saya menyiapkan VPS pribadi saya dengan Nginx, dan saya membaca tentang cara mengamankan layanan. Tetapi satu hal yang agak tidak jelas bagi saya tentang sertifikat dan mengelola HTTPS:

Jika saya membeli nama domain (www.example.com) dari beberapa penyedia pihak ke-3, dan kemudian mengkonfigurasi domain untuk menunjuk ke IP VPS saya yang disediakan oleh pihak yang tidak terkait, siapa yang mengelola sertifikat?

Haruskah saya melakukan semua penanganan (sertifikat, konfigurasi TLS, mendengarkan https, dll) pada konfigurasi VPS dan Nginx, atau apakah semuanya dikelola oleh penyedia nama domain? Atau ada beberapa hal yang ditangani oleh penyedia nama domain dan beberapa di konfigurasi Nginx saya?

dns certificate vps tls Juha Untinen
sumber
1
Anda akan mengelolanya berarti Anda bertanggung jawab atas semua perubahan konfigurasi yang diperlukan untuk menggunakannya
Ramhound

Jawaban:

1

Anda akan melakukan penanganan yang Anda tanyakan.

Berikut ini gambaran umum dari gambaran lengkapnya.

Anda memberikan otoritas sertifikat (yang Anda panggil penyedia DNS) apa pun persyaratannya. Ini dapat mencakup pembayaran dan identifikasi.

Mereka memberi Anda sertifikat yang menunjuk mereka sebagai otoritas penerbit.

Anda kemudian mengkonfigurasi server web untuk menggunakan sertifikat itu.

Ketika seseorang mengunjungi halaman Anda dengan HTTPS, "S" di "HTTPS" adalah singkatan dari "Secure". Pada tahun-tahun sebelumnya, agak aman untuk menganggap S sebagai singkatan dari SSL, karena cara HTTPS diimplementasikan menggunakan HTTP over SSL. Saat ini, TLS adalah implementasi modern yang biasanya digunakan alih-alih versi SSL yang lebih lama.

Ketika klien web (paling sering disebut "browser web") menggunakan TLS (atau SSL), ia mendapat sertifikat dari server web. (Ini akan menjadi sertifikat yang dibuat secara otomatis, dalam beberapa hal berbeda dari sertifikat yang Anda dapatkan dari otoritas sertifikat Anda.) Kemudian klien web memeriksa apakah sertifikat tersebut dipercaya. Sertifikat yang diterima browser web akan memiliki jejak sertifikat Anda dan otoritas sertifikat. Peramban web dapat memberi tahu bahwa sertifikat itu dibuat dengan restu dari otoritas sertifikat itu.

Klien web melihat "toko sertifikat" sendiri, yang biasanya hanya dilengkapi dengan browser web dan / atau sistem operasi. Karena sertifikat yang dibeli secara komersial mungkin menunjuk ke otoritas sertifikat yang diakui dan dipercaya secara luas, klien web menganggap server web itu dapat dipercaya.

Pastikan bahwa ketika Anda mendapatkan sertifikat yang Anda bayar, Anda tidak memberikannya kepada orang lain. (Biasanya saya akan mengatakan untuk tidak membaginya dengan siapa pun kecuali kepada siapa Anda harus percaya, seperti kepada perusahaan yang menjalankan server web yang Anda gunakan. Tetapi karena Anda menjalankan server web Anda sendiri, pengecualian itu mungkin tidak berlaku. Meskipun , jika "server pribadi virtual" ("VPS") Anda tidak dienkripsi, mungkin host VPS Anda dapat mengakses data.) Jika ada orang yang tidak dapat dipercaya mendapatkan salinan sertifikat itu, maka mereka dapat dipercaya menjadi Anda. Dengan kata lain, pencuri seperti itu dapat secara efektif mencuri identitas Anda. Jadi jangan memposting sertifikat yang Anda bayar secara publik.

Satu hal yang dapat Anda lakukan dengan penyedia DNS Anda adalah mengatur catatan sumber daya DNS. Dalam banyak kasus, Anda mengatur AAAA dan / atau catatan A dengan mereka. Secara pribadi, saya cenderung hanya mengatur catatan NS dengan penyedia DNS, dan menjadi tuan rumah catatan AAAA dan / atau A sendiri. Penyedia DNS Anda tidak harus memiliki organisasi yang sama dengan siapa pun yang memberikan sertifikat Anda. (Jika menggunakan "Mari Enkripsi" sebagai otoritas sertifikat Anda, saya harapkan mereka menjadi organisasi yang berbeda.)

TOOGAM
sumber
Jawaban yang bagus, terima kasih! Semoga ini membantu orang lain dengan pertanyaan yang sama. Saya pikir ini akan menjadi hal yang umum di tahun-tahun mendatang, karena Let's Encrypt menjadi populer. HTTPS sudah menjadi de facto tidak seperti satu atau dua tahun yang lalu.
Juha Untinen
Dan juga, untuk orang lain: A record (A singkatan Alamat) = Catatan IPv4 dan AAAA record (Otentikasi, Otorisasi, Akuntansi, dan Audit) = Catatan IPv6. Mereka adalah pemetaan antara nama domain (www.example.com) dan alamat IP sebenarnya yang dihosting di situs web tersebut. Ada juga banyak jenis lainnya yang dapat Anda lihat di sini: en.wikipedia.org/wiki/List_of_DNS_record_types
Juha Untinen
0

Jika saya membeli nama domain (www.example.com) dari beberapa penyedia pihak ke-3, dan kemudian mengkonfigurasi domain untuk menunjuk ke IP VPS saya yang disediakan oleh pihak yang tidak terkait, siapa yang mengelola sertifikat?

Siapa pun yang mengelola VPS akan mengelola ini. Pendaftar domain (penyedia nama domain) secara teknis hanya berurusan dengan alamat IP dan entri nama domain yang terkait dengan VPS Anda.

Haruskah saya melakukan semua penanganan (sertifikat, konfigurasi TLS, mendengarkan https, dll) pada konfigurasi VPS dan Nginx, atau apakah semuanya dikelola oleh penyedia nama domain? Atau ada beberapa hal yang ditangani oleh penyedia nama domain dan beberapa di konfigurasi Nginx saya?

Sertifikat, TLS, https, dll. Adalah semua hal yang akan Anda konfigurasi di server dengan Nginx, dll. Penyedia nama domain tidak memiliki peran dalam aspek ini.

Anaksunaman
sumber