Par défaut, Let's Encrypt utilise le défi HTTP-01 pour vérifier la propriété. Le défi HTTP-01 place un fichier sur la racine Web de votre serveur Web et utilise le nom DNS du serveur Web pour récupérer le fichier. Si le fichier peut être récupéré sur Internet, l'autorité du nom de domaine est vérifiée et le certificat SSL est émis. C’est bon pour la plupart des serveurs et des utilisateurs domestiques qui peuvent se permettre une adresse IP publique auprès de leur fournisseur d’accès Internet (FAI).
Mais que se passe-t-il si vous souhaitez utiliser les certificats SSL Let's Encrypt pour les noms de domaine de votre réseau domestique ou de votre réseau privé/interne ? Eh bien, dans la plupart des réseaux domestiques, obtenir un certificat SSL Let's Encrypt est un défi car, très probablement, votre FAI ne vous donnera pas d'adresse IP publique. Vous ne pourrez donc pas réussir le défi Let's Encrypt HTTP-01 (car vos ordinateurs/serveurs ne sont pas accessibles depuis Internet).
Dans ce cas, vous pouvez utiliser le défi Let's Encrypt DNS-01 pour obtenir les certificats SSL pour votre réseau domestique/interne. Dans cette méthode, Let's Encrypt ajoute un enregistrement DNS TXT pour le « sous-domaine _acme-challenge.yourdomain.xyz » sur votre serveur DNS et vérifie si l'enregistrement DNS TXT est disponible sur Internet. Si l'enregistrement TXT correspond, vous êtes vérifié en tant que propriétaire du domaine et Let's Encrypt émet le certificat SSL.
Pour que le défi Let's Encrypt DNS-01 fonctionne et renouvelle automatiquement le certificat SSL, vous devez utiliser un fournisseur de services DNS (c'est-à-dire CloudFlare, DigitalOcean) qui expose une API qui peut être utilisée pour ajouter/supprimer les enregistrements TXT sur le serveur DNS.
Si votre registraire DNS (où vous avez enregistré le nom de domaine) ne prend pas en charge de tels services, vous pouvez utiliser un fournisseur de services DNS tiers. Tout ce que vous avez à faire est de modifier l'adresse du serveur de noms DNS de votre domaine du serveur DNS de votre registraire DNS par l'adresse du serveur de noms DNS de votre fournisseur de services DNS tiers souhaité.
Sujet du contenu :
- Liste des fournisseurs DNS qui s'intègrent facilement à la validation DNS Let's Encrypt
- Liste des clients Let's Encrypt ACME
- Changer le serveur de noms DNS de votre registraire de domaine
- Avantages de la validation Let's Encrypt DNS-01
- Inconvénients de la validation Let's Encrypt DNS-01
- Conclusion
- Les références
Liste des fournisseurs DNS qui s'intègrent facilement à la validation DNS Let's Encrypt
La communauté Let's Encrypt a compilé un liste des fournisseurs DNS qui expose une sorte d'API pour ajouter/supprimer automatiquement les enregistrements DNS afin que les clients Let's Encrypt puissent valider les noms de domaine et émettre les certificats SSL.
La liste des fournisseurs DNS qui s’intègrent facilement à la validation DNS Let’s Encrypt est disponible sur ce lien .
Liste des clients Let's Encrypt ACME
Les clients Let's Encrypt sont également appelés clients ACME. ACME signifie Environnement de gestion automatique des certificats. ACME est un protocole permettant d'automatiser l'interaction entre l'ordinateur/serveur et l'autorité de certification (c'est-à-dire Let's Encrypt).
Les clients Let's Encrypt ACME les plus populaires sont :
Changer le serveur de noms DNS de votre registraire de domaine
Si votre registraire de domaine ne figure pas sur la liste des fournisseurs DNS qui s'intègrent facilement à Let's Encrypt, vous pouvez utiliser CloudFlare ou d'autres fournisseurs de services DNS tiers. Tout ce que vous avez à faire est de changer le serveur de noms DNS de votre domaine du tableau de bord de votre registraire de domaine au serveur de noms DNS du fournisseur de services DNS tiers que vous souhaitez utiliser.
Nous vous avons montré le processus de changement du serveur de noms DNS (vers le serveur DNS de CloudFlare) pour l'un de nos domaines à partir du tableau de bord/site Web de notre registraire de domaine (où nous avons enregistré notre nom de domaine) dans la capture d'écran suivante. Le processus devrait être similaire pour votre registraire de domaine. Pour plus d'informations, lisez la documentation de votre registraire de domaine ou contactez-le.
Avantages de la validation Let's Encrypt DNS-01
Les avantages de la validation DNS-01 de Let’s Encrypt sont :
- Il ne nécessite pas d’adresse IP publique/accessible à Internet ni de serveur Web.
- Vous pouvez l'utiliser pour émettre des certificats SSL pour les noms de domaine génériques (c'est-à-dire *.nodekite.com, *.linuxhint.com).
- Cela fonctionne bien pour plusieurs serveurs Web.
Inconvénients de la validation Let's Encrypt DNS-01
Bien que la validation Let's Encrypt DNS-01 présente de nombreux avantages, elle présente également certains inconvénients :
- Pour que la validation DNS-01 fonctionne, vous devez conserver la clé/le jeton API de votre fournisseur de services DNS sur le serveur qu'un client Let's Encrypt utilisera pour créer un enregistrement TXT sur le serveur DNS pour la validation DNS-01. Comme la clé/le jeton API est conservé sur le serveur, si le serveur est piraté, il est possible que la clé/le jeton API soit compromis.
- Une fois que le client Let's Encrypt a ajouté un enregistrement TXT sur le serveur DNS, il faut un certain temps pour propager les modifications aux autres serveurs de noms DNS dans le monde. Le client Let's Encrypt doit attendre que les modifications se propagent aux serveurs de noms DNS courants dans le monde entier pour vérifier la propriété du domaine. Si votre fournisseur de services DNS ne fournit pas le temps de propagation DNS dans l'API, le client Let's Encrypt ne saura pas combien de temps attendre pour que les modifications DNS se propagent à d'autres serveurs de noms dans le monde. Dans ce cas, la validation DNS peut expirer et Let's Encrypt peut ne pas parvenir à émettre un certificat SSL.
Conclusion
Dans cet article, nous avons discuté du défi Let's Encrypt DNS-01 et pourquoi l'utiliser sur le défi HTTP-01 par défaut pour vérifier la propriété d'un nom de domaine. Nous avons également discuté des conditions requises pour réussir le défi Let's Encrypt DNS-01 afin d'obtenir un certificat SSL Let's Encrypt. Nous avons répertorié les fournisseurs de services DNS qui s'intègrent bien à Let's Encrypt ainsi que les clients Let's Encrypt ACME que vous pouvez utiliser pour effectuer la validation DNS à partir de votre ordinateur/serveur. Enfin, nous avons discuté des avantages et des inconvénients de la validation DNS Let's Encrypt.
Les références:
- Types de défis – Chiffrons
- Fournisseurs DNS qui s'intègrent facilement à la validation DNS Let's Encrypt – Issuance Tech – Let's Encrypt Community Support
- Environnement de gestion automatique des certificats – Wikipédia
- Bot certifié
- GitHub – acmesh-official/acme.sh : un script shell Unix pur implémentant le protocole client ACME
- Installation : : Client Let's Encrypt et bibliothèque ACME écrites en Go.
- Accueil – Posh-ACME