Tạo chứng chỉ SSL miễn phí với Lets Encrypt

Những tổ chức cung cấp chứng chỉ SSL như Comodo, GeoTrust, Symantec,… đều có có thu phí. Vậy làm sao để đăng ký chứng chỉ SSL hoàn toàn miễn phí? Tino Host sẽ hướng dẫn tạo chứng chỉ SSL miễn phí với Let’s Encrypt chi tiết giúp bạn trong bài viết này!

Let’s Encrypt là một nhà cung cấp chứng chỉ số (Certificate Authority – CA) phi lợi nhuận, cung cấp chứng nhận bảo mật SSL – Secure Sockets Layer/TLS – Transport Layer Security hoàn toàn miễn phí cho hơn 260 triệu website trên toàn thế giới. Dự án Let’s Encrypt được tổ chức phi lợi nhuận Internet Security Research Group (ISRG) phát triển.

Let’s Encrypt được tài trợ bởi rất nhiều nhiều tập đoàn, công ty lớn ví dụ như Google, Facebook, Sucuri, Mozilla, Cisco, OHVcloud, AWS…

Vì sao nên cài đặt SSL cho website?

Từ năm 2014, Google đã chính thức ưu tiên các website hỗ trợ giao thức HTTPS trên kết quả tìm kiếm. Để giảm nguy cơ giả danh, đảm bảo an toàn cho người dùng, tích hợp chứng chỉ SSL/TLS vào một website là sự lựa chọn vô cùng hợp lý.

Để đăng ký chứng chỉ SSL, bạn sẽ cần chọn 1 loại chứng chỉ phù hợp với trang web cá nhân/ doanh nghiệp của mình. Trong 4 loại cơ bản sau:

• Domain Validation (DV) Đây là loại chứng chỉ thấp nhất và ai cũng có thể sử dụng bằng cách xác thực tên miền.
• Organization Validation (OV) Chứng chỉ này cao cấp hơn DV nhằm để xác thực danh tính tổ chức.
• Individual Validation (IV) đây là dạng xác thực danh tính cá nhân người yêu cầu chứng chỉ.
• Extended Validation (EV) dạng chứng chỉ này cũng là xác thực danh tính tổ chức nhưng cao hơn OV.

Sau khi tìm được loại phù hợp, bạn có thể tìm nhà cung cấp để đăng ký xác thực và bảo vệ trang web của mình.

8 lý do Let’s Encrypt thuyết phục người dùng

Hoàn toàn miễn phí: Chỉ cần sở hữu một tên miền, bạn có thể sử dụng Let’s Encrypt để có được chứng chỉ tin cậy mà không phải bỏ ra bất kỳ chi phí nào.

Dễ dàng cài đặt thông qua các control panel phổ biến như cPanel, DirectAdmin và Plesk.

Không yêu cầu chứng thực qua email.

Không yêu cầu sử dụng trên địa chỉ IP riêng (có phát sinh phí khi đăng ký thêm IP).

QUẢNG CÁO

Mở rộng hợp tác không hạn chế: Với tính chất mở, giao thức phát hành và gia hạn tự động sẽ được công bố như một tiêu chuẩn công khai và người khác có thể áp dụng. Giống như những giao thức Internet cơ bản khác, Let’s Encrypt nỗ lực để mang lại lợi ích cho cộng đồng và không nằm dưới sự kiểm soát của bất kỳ một tổ chức nào.

Được tin cậy bởi các trình duyệt: Hoạt động như một nền tảng thúc đẩy những TLS tốt nhất, cả về phía CA (Certificate Authority), Let’s Encrypt giúp các nhà khai thác trang web đảm bảo an toàn cho máy chủ một cách đúng đắn.

Độ rõ ràng, minh bạch: Tất các các chứng chỉ được ban hành hoặc thu hồi sẽ được ghi công khai và bất cứ ai cũng có thể kiểm tra.

Tính tự động cao: Phần mềm chạy trên máy chủ web có thể tương tác với Let’s Encrypt để có được chứng chỉ một cách nhanh chóng, cấu hình an toàn để sẵn sàng sử dụng và tự động thay mới khi cần. Song song đó, chứng chỉ SSL của Let’s Encrypt theo chuẩn Domain Validation, do đó bạn chỉ cần tên miền và có thể sử dụng chúng cho bất kỳ máy chủ nào.

Let’s Encrypt xác nhận tên miền như thế nào?

Let’s Encrypt xác định quyền quản trị máy chủ bằng khóa công khai (public key).

Lần đầu tiên, phần mềm quản lý tương tác với Let’s Encrypt, nó tạo ra một cặp khóa mới và chứng minh với Let’s Encrypt CA rằng máy chủ đang kiểm soát một hoặc vài tên miền. Điều này cũng tương tự như quá trình CA truyền thống tạo tài khoản và thêm tên miền vào tài khoản đó.

Để khởi động quá trình này, trình quản lý yêu cầu Let’s Encrypt CA cung cấp thông tin cần thiết để chứng minh rằng CA đang kiểm soát tên miền example.com. Let’s Encrypt sẽ xem xét và đưa ra các yêu cầu, bạn cần hoàn thành các yêu cầu xác thực để chứng minh bạn có quyền kiểm soát tên miền, bạn có hai lựa chọn:

• Cung cấp một bản ghi DNS dưới tên example.com
• Cung cấp nguồn HTTP dưới URL được biết đến trên https://example.com/

Sau khi hoàn thành các yêu cầu, Let’s Encrypt sẽ cung cấp cho trình quản lý chứng chỉ một cặp khóa riêng để chứng minh đã kiểm soát cặp khóa.

Đến đây, trình quản lý đặt một tập tin trên đường dẫn được chỉ định trên trang web https://example.com. Trình quản lý cũng ký một khóa riêng, sau khi hoàn thành sẽ thông báo cho CA rằng đã hoàn thành xác nhận.

Hướng dẫn tạo chứng chỉ SSL miễn phí với Let’s Encrypt

Let’s Encrypt là một lựa chọn hợp lý, miễn phí, hỗ trợ bảo mật domain của bạn khi bạn muốn test website. TinoHost sẽ hướng dẫn bạn cách để tạo chứng chỉ SSL/STL miễn phí trên cPanel.

Một lưu ý nhỏ: Tùy vào mỗi nhà cung cấp hosting, bạn sẽ có một bản điều khiển riêng như cPanel hay DirectAdmin,… mỗi phiên bản cPanel sẽ khác nhau nên bạn chỉ cần tìm những thông tin và thao tác tương tự là ổn.

Truy cập SSH

Vào Control Panel của tài khoản hosting, bạn chọn Truy cập SSH.

Tại đây bạn chọn Enabled, kế tiếp chọn Cập nhật để kích hoạt truy cập SSH

Những thông tin truy cập SSH như IP, port, username, password, bạn nên nhớ kĩ để sử dụng.

Cài đặt ACME client và Composer

Tiến hành kết nối SSH vào tài khoản của bạn: bạn sử dụng PuTTY điền các thông tin truy cập SSH bạn vừa có được và lần lượt chạy các lệnh sau trong cửa sổ command của PuTTY.

git clone https://github.com/kelunik/acme-client

cd acme-client

php -r “copy(‘https://getcomposer.org/installer’, ‘composer-setup.php’);”;

php composer-setup.php;

php -r “unlink(‘composer-setup.php’);”;

php composer.phar install –no-dev

php bin/acme setup –server letsencrypt –email

php bin/acme issue –domains yourdomain.com,www.yourdomain.com –path /home/username/public_html –server letsencrypt

Để phù hợp với tài khoản của mình, bạn cần thay đổi , yourdomain.com, username.

Sau đó, bạn sử dụng trình File Manager di chuyển tới

/home/username/acme-client/data/certs/acme-v01.api.letsencrypt.org.directory/yourdomain.com

Bước này sẽ tạo ra 2 file quan trọng trong tài khoản hosting.

• fullchain.pem: chứa thông tin certificate của bạn
• key.pem: chứa thông tin private key của bạn

Cài đặt SSL từ Control Panel

Sau khi đã có 2 files là fullchain.pem và key.pem, chúng ta sẽ vào mục SSL ở Control Panel

Bạn thực hiện các bước như sau:

Chọn domain cần cài đặt

Sao chép nội dung file fullchain.pem và dán vào Certificate: (CRT)

Sao chép nội dung file file key.pem và dán vào Private Key: (KEY)

Cuối cùng, bạn chọn Cài đặt để thực hiện. Giờ bạn chỉ cần đợi một chút để quá trình cài đặt hoàn tất, bạn nhấn F5 để làm mới trình duyệt lại và xem trang web của bạn đã được lên HTTPS chưa.

Nếu có là bạn đã thành công rồi đấy! Tiếp theo, để SSL tự động gia hạn, chúng ta sẽ cài đặt Cronjob.

Cài đặt Cronjob

Do Let’s Encrypt chỉ cung cấp xác nhận bảo mật cho tên miền của bạn trong thời hạn 90 ngày kể từ ngày tạo nên bạn cần thực hiện chạy cronjob để gia hạn SSL này một cách tự động và đỡ tốn thời gian hơn.

Vào Control Panel, chọn “Cron Job nâng cao”

Bạn nhập vào Comman để chạy bằng code sau:

php acme-client/bin/acme issue –domains yourdomain.com,www.yourdomain.com –path /home/username/public_html –server letsencrypt

Sau khi hoàn tất, bạn nhấn Lưu để lưu lại quá trình nhé!

Một số lưu ý khi dùng Let’s Encrypt

Bạn cần gia hạn sau mỗi 90 ngày, đây là chính sách của Let’s Encrypt và không có trường hợp nào ngoài lệ.

Let’s Encrypt đưa ra 2 nguyên nhân chính về việc này:

• Bảo mật: Hạn chế thiệt hại, rủi ro, bị đánh cắp khoá và chứng chỉ đã cấp phát
• Khuyến khích tự động hoá và cấp phát mới chứng chỉ là cần thiết cho việc sử dụng.

Và Let’s Encrypt khuyến cáo người dùng nên tự động đổi mới giấy chứng nhận mỗi 60 ngày.

Let’s Encrypt chỉ cung cấp xác thực cho tên miền của bạn và chỉ phù hợp để bạn sử dụng thử nghiệm SSL cho website của mình. Khả năng chứng chỉ SSL này có thể gặp lỗi và làm cho website của bạn có thể hoạt động không ổn định.

Qua bài viết, Tino Host đã giúp bạn hiểu hơn về Let’s Encrypt là gì và cách tạo chứng chỉ SSL miễn phí với Let’s Encrypt. Nếu bạn muốn sử dụng chứng chỉ SSL/STL cao cấp hơn, bạn có thể liên hệ ngay với TinoHost để được hướng dẫn thêm. Chúc bạn đăng ký chứng chỉ SSL/STL thành công cho trang web của mình!

Những câu hỏi thường gặp về Let’s Encrypt

CÔNG TY CỔ PHẦN TẬP ĐOÀN TINO

• Trụ sở chính: L17-11, Tầng 17, Tòa nhà Vincom Center, Số 72 Lê Thánh Tôn, Phường Bến Nghé, Quận 1, Thành phố Hồ Chí Minh
  Văn phòng đại diện: 42 Trần Phú, Phường 4, Quận 5, Thành phố Hồ Chí Minh
• Điện thoại: 0364 333 333
  Tổng đài miễn phí: 1800 6734
• Email:
• Website: www.tino.org