Hướng dẫn tạo chứng chỉ SSL miễn phí với Let's Encrypt

Bắt đầu từ năm 2014, Google đã chính thức ưu tiên cho các website hỗ trợ giao thức HTTPS trên kết quả tìm kiếm. Để giảm thiểu nguy cơ giả danh, đảm bảo an toàn cho người dùng thì việc tích hợp chứng chỉ SSL vào một website có giao thức HTTPS là một sự lựa chọn hàng đầu.

Hiện nay, các dịch vụ hosting đều hỗ trợ chứng chỉ SSL miễn phí từ tổ chức phi lợi nhuận Let's Encrypt nên bạn có thể hoàn toàn tận dụng được nguồn tài nguyên này. Vậy tạo chứng chỉ SSL miễn phí với Let's encrypt như thế nào? Cùng Bizfly tìm hiểu nhé!

Tìm hiểu Let’s Encrypt là gì?

Bắt đầu từ năm 2014, Google đã chính thức ưu tiên cho các website hỗ trợ giao thức HTTPS trên kết quả tìm kiếm. Để giảm thiểu nguy cơ giả danh, đảm bảo an toàn cho người dùng thì việc tích hợp chứng chỉ SSL vào một website có giao thức HTTPS là một sự lựa chọn hàng đầu.

Nhưng để có được chứng chỉ SSL, bạn cần phải đăng ký với các tổ chức xác thực với 3 loại: DV, OV và EV tùy theo từng loại hình website của bạn. Tuy nhiên, các tổ chức xác thực Comodo, GeoTrust, Symantec,... đều có thu phí. Vậy làm thế nào để có chứng chỉ SSL miễn phí.

Let’s Ebcrypt là một nhà cung cấp chứng chỉ số SSL hoàn toàn miễn phí nhằm cung cấp chứng nhận SSL dành cho cộng đồng nói chung. Đây được xem là một dự án của Internet Research Group, một hiệp hội về dịch vụ cộng đồng.

Đến nay, Let’s Encrypt được tài trợ bởi nhiều công ty khác nhau bao gồm Google, Facebook, Sucuri, Mozilla, Cisco,...

Vì sao nên sử dụng chứng chỉ ssl miễn phí với Let's Encrypt?

• Chứng chỉ SSL trên Let's Encrypt hoàn toàn miễn phí: Chỉ cần bạn sở hữu một tên miền, bạn có thể sử dụng Let’s Encrypt để có được chứng chỉ tin cậy mà không cần phải bỏ qua bất cứ một chi phí nào.
• Dễ dàng cài đặt: Bạn có thể tiến hành cài đặt thông qua các control panel phổ biến như cPanel, DirectAdmin và Plesk.
• Không yêu cầu chứng thực qua Email: Tạo chứng chỉ SSL miễn phí với Let's encrypt cũng không yêu cầu bạn phải chứng thực qua email - điều mà rất nhiều nhà cung cấp yêu cầu. Bên cạnh đó, Let’s Encrypt không yêu cầu bạn cần phải sử dụng trên một địa chỉ IP chuyên biệt (có phát sinh thêm phí khi đăng ký thêm IP).
• Không giới hạn liên kết cộng đồng: Let’s Encrypt với tính chất mở, giao thức phát hành và gia hạn tự động sẽ được công bố giống như một tiêu chuẩn công khai và người khác có thể qps dụng. Giống như với những giao thức internet cơ bản khác, Let’s Encrypt nỗ lực để mang lại những lợi ích cho cộng đồng và sẽ không nằm dưới sự kiểm soát của bất kỳ một tổ chức nào.
• Được tin cậy bởi các trình duyệt: Let’s Encrypt hoạt động như một nền tảng giúp thúc đẩy những TLS tốt nhất, cả về phía CA (Certificate Authority), Let’s Encrypt giúp cho các nhà khai thác trang web đảm bảo an toàn cho máy chủ một cách đúng đắn nhất.
• Thông tin rõ ràng, minh bạch:  Tất cả những chứng chỉ được Let’s Encrypt ban hành hoặc thu hồi sẽ được ghi công khai và bất cứ ai cũng có thể kiểm tra nó. Vì thế, bạn có thể hoàn toàn yên tâm về tính rõ ràng và minh mạch khi tạo chứng chỉ SSL miễn phí với Let's encrypt .
• Tính tự động cao: Phần mềm chạy trên máy chủ web có thể tương tác với Let’s Encrypt để có được chứng chỉ một cách nhanh chóng nhất, cấu hình an toàn để sẵn sàng sử dụng và tự động thay mới khi cần thiết. Song song với đó, chứng chỉ SSL của let’s Encrypt theo chuẩn Domain Validation, do đó bạn chỉ cần có tên miền và có thể sử dụng chúng cho bất kỳ máy chủ nào.

Xác nhận tên miền từ Let's Encrypt như thế nào?

Let’s Encrypt giúp xác định quyền quản trị máy chủ bằng khóa công khai.

Lần đầu tiên, phần mềm quản lý tương tác với Let’s Encrypt sẽ tạo ra một cặp khóa mới và sẽ chúng minh với Let’s Encrypt CA rằng máy chủ đang kiểm soát một hoặc một vài tên miền. Điều này cũng tương tự giống như quá trình CA truyền thống tạo tài khoản và thêm tên miền vào tài khoản đó.

Để bắt đầu khởi động quá trình này, trình quản lý sẽ yêu cầu Let’s Encrypt CA cung cấp những thông tin cần thiết để chứng minh rằng nó đang kiểm soát example.com. Let’s Encrypt sẽ xem xét và đưa ra những yêu cầu, bạn sẽ cần phải hoàn thành nó để chứng minh rằng mình có quyền kiểm soát tên miền. Lúc này, bạn có 2 lựa chọn:

• Cung cấp một bản ghi DNS dưới tên example.com
• Cung cấp các nguồn HTTP dưới URL được biết đến trên https://example.com/

Sau khi hoàn thành các yêu cầu trên, let’s Encrypt sẽ cung cấp cho bạn trình quản lý chứng chỉ một cặp khóa riêng để chứng minh rằng nó đang kiểm soát cặp khóa.

Đến đây, trình quản lý sẽ đặt một tập tin ở trên đường dẫn và được chỉ định ở trên trang web https://example.com. Trình quản lý này cũng ký một khóa riêng, sau khi hoàn thành sẽ thông báo đến CA rằng nó đã hoàn thành xác nhận.

Hướng dẫn cách tạo chứng chỉ ssl miễn phí với Let's Encrypt

Let’s Encrypt sẽ là một lựa chọn hợp lý, miễn phí và hỗ trợ tốt bảo mật domain của bạn khi bạn muốn test website. Để tạo chứng chỉ SSL miễn phí với Let's encrypt , bạn cần làm theo những thao tác sau:

Mở phần truy cập SSH

Bạn vào Control Panel của tài khoản hosting, chọn Truy cập SSH.

Tại đây, bạn lựa chọn Enabled, kế tiếp đó lựa chọn Cập nhập để kích hoạt SSH.

Với những thông tin truy cập SSH như IP, port, username, password bạn nên nhớ kỹ để thuận tiện trong quá trình sử dụng.

Thực hiện cài đặt ACME Client và Composer

Để tiến hành kết nối SSH vào tài khoản của bạn, có thể sử dụng PuTTY điền các thông tin truy cập SSH mà bạn vừa có được và lần lượt chạy các lệnh sau trong cửa sổ command của PuTTY.

• git clone https://github.com/kelunik/acme-client
• cd acme-client
• php -r "copy('https://getcomposer.org/installer', 'composer-setup.php');";
• php composer-setup.php;
• php -r "unlink('composer-setup.php');";
• php composer.phar install --no-dev
• php bin/acme setup --server letsencrypt --email your@email.com
• php bin/acme issue --domains yourdomain.com,www.yourdomain.com --path /home/username/public_html --server letsencrypt

Bước này sẽ giúp bạn tạo ra được 2 file quan trọng trong tài khoản hosting

• Fullchain.pem: Chứa các thông tin cerificate của bạn
• Key.pem: Chức các thông tin private key của bạn

Cài đặt chứng chỉ SSL từ Control Panel

Sau khi bạn đã có 2 files là fullchain.pem và key.pem thì bạn vào mục SSL ở Control Panel. Lúc nà, điều cần làm chính là chọn lần lượt các domain cần cài đặt, sao chép nội dung file fullchain.pem vào Certificate (CRT), nội dung file key.pem vào private key: (KEY). Sau đó, bạn chọn Cài đặt để thực hiện.

Cài đặt Cronjob

Bởi Let's Encrypt chỉ cung cấp xác nhận bảo mật cho tên miền của bạn trong thời gian 90 ngày kể từ ngày tạo nên bạn cần thực hiện chạy cronjob để gia hạn SSL này.

Truy cập Control Panel, chọn "Cron Job nâng cao"

Tiến hành cài đặt Cronjob như hình:

php acme-client/bin/acme issue --domains yourdomain.com,www.yourdomain.com --path /home/username/public_html --server letsencrypt

Những lưu ý khi sử dụng chứng chỉ ssl miễn phí với Let's Encrypt

• Gia hạn sau mỗi 90 ngày: Đây là chính sách của Let's Encrypt và chắc chắn là không có một trường hợp nào ngoại lệ. Let's Encrypt đưa ra 2 nguyên nhân: bảo mật để hạn chế các thiệt hại, rủi ro, bị đánh cắp khóa, chứng chỉ đã cấp phát và khuyến khích tự động hóa và cấp phát mới chứng chỉ cần thiết cho việc sử dụng.
• Let's Encrypt khuyến cáo người dùng nên tự động đổi mới giấy chứng nhận mỗi 60 ngày.
• Bên cạnh đó, Let's Encrypt chỉ cung cấp xác thực dành cho tên miền của bạn, nó chỉ phù hợp để bạn sử dụng test SSL cho website của mình. SSL này có thể gặp lỗi và website của bạn có thể sẽ không hoạt động được.
• Với 1 chứng chỉ SSL của Let's Encrypt, bạn có thể sử dụng cùng 1 lúc cho nhiều tên miền khác nhau: Cả subdomain, alias domain, addons domain trên Cloud Hosting,...