Let’s Encrypt: jak jsem instaloval SSL na server s Debianem

Podlehl jsem euforii z SSL a rozhodl se, že nové weby na svém serveru rovněž spustím na protokolu https. A protože všichni žijí certifikační autoritou Let’s Encrypt, pustil jsem se do její instalace na svůj virtuální server s Debianem.

Reklama

Webů, které mi k datu vydání tohoto článku běží na https, nemám mnoho. Přesněji řečeno – jediný. Tím je Maxiorel.cz, který si právě čtete. Před pár lety jsem podlehl tlaku a nadšenému dojmu z informací, že Google bude upřednostňovat právě SSL zabezpečené weby, koupil certifikát, nastavil si v .htaccess Drupalu přesměrování 1:1, v Google si udržel zhruba stejné pozice a na Seznamu jsem se propadl kamsi do hlubin.

Dnes je situace jiná, Seznam.cz prý https plně podporuje a impulsem k tomu, že u něj vše funguje, jak má, respektive mělo by, byla prý potřeba správně indexovat Wikipedii. Zajímavé… Více viz rozhovor na Mladém Podnikateli.

Takže jsem po vzoru několika svých klientů pouvažoval a rozhodl se vyzkoušet bezplatné SSL certifikáty od Let’s Encrypt. Jejich nevýhodou je, že se musejí obnovovat každých 90 dnů a je nutná podpora na straně serveru. Pokud je podporuje hosting, jako třeba Wedos, pak je to bez problémů.

Další nevýhodou SSL od Let’s Encrypt je skutečnost, že vám sice zabezpečí web, ale neposkytují tzv. zelený řádek. Pokud jej chcete, koukněte na nabídku SSL certifikátů od jiných autorit. Přehled najdete třeba na SSLmarketu.

Já mám vlastní virtuální servery u Linode, takže jsem poněkud napjatý očekával, jaké martyrium mě čeká.

Instalace Let‘s Encrypt na Debian 8 pomocí nástroje Certbot

Když jsem instaloval SSL klíč pro Maxiorel.cz poprvé, přišlo mi vše poněkud složité. Generování klíčů, správný postup objednávky certifikátu (i jeho výběr), nastavení na serveru… Jelikož jsem tak nějak pochopil, že Let’s Encrypt je asi složitější záležitost vyžadující nějaké propojení serveru s certifikační autoritou kvůli automatickému prodlužování certifikátu, bál jsem se, co to všechno obnáší.

Certbot

Kupodivu vše bylo jednodušší, než to vypadalo. Let’s Encrypt totiž nabízí šikovný nástroj Certbot, který provede všechna potřebná nastavení a propojení automaticky.

A to je ke zprovoznění certifikátů od Let’s Encrypt na serveru s Debianem vše. Ta jednoduchost mě velice překvapila. Netřeba se toho bát.

Na rozpacích jsem ovšem stále s nasazením https u stávajících webů. Vím, že u Google je to bez problémů, pokud se vše správně přesměruje. U Seznam.cz mě bohužel ani výše odkazovaný rozhovor s Dušanem Janovským příliš nepřesvědčil. Sám Dušan působil dosti nejistě, když říkal, že je vše už v pořádku.

A co vy? Už jste přešli na https? Zaznamenali jste nějakou ztrátu pozic ve vyhledávačích? Vidíte v tom naopak přínos?

Reklama

Komentáře

Taky to mám za sebou na části webů na WEDOSu, kde to bylo ještě jednodušší - stačilo jen požádat podporu o vystavení certifikátu, aktivovat službu SNI za 10 kč/měs per hosting (ne doména), a pak aktivovat SSL v Joomla a Virtuemartu + nastavit přesměrováni v .htaccess. Na změnu v pozicích je ještě brzy, ale zeptej se mě za měsíc - u Seznamu za půl roku (k tomu snad ani netřeba slov) ;)

U mna na hostingu Inet.sk to pridali ako tlacidlo do web adminu pred stvrt rokom. Instalacia teda na 1 klik, ziadne zmeny v Google, Seznam mi je ukradnuty.

Díky za zajímavý tip.
Je nutné něco nastavit v Drupalu? Nebo stačí jen aktivovat u Wedosu?

Jen klasika. Ujistit se, že do stránky na https netaháte obsah z http. V případě Maxiorla jsou tu občas nějaké staré články s iframem z YouTube, který nemá https - výsledkem je, že se video nezobrazí.

A pak samozřejmě doplnit do .htaccess redirekt, který přesměruje provoz z https na http. Ale to není až tak věc Drupalu, jako spíše implementace toho https obecně.

Majitel Maxiorla. Nabízím mimo jiné placené poradenství pro Drupal. Jsem i na Twitteru.

Já to měl u www.vas-server.cz ještě jednodušší - jeden klik v nastavení :)

Každopádně super návod!

Nemáte nějaký drupal se sni u wedosu na subdoméně nebo v /domains? Neměl byste ke kouknutí .htaccess z této instalace? Při prvním zadání adresy (pokud zadám jen domena.cz) mne to ukazuje v adresním řádku https://www.domena.cz/domains/domena.cz, ale odkazy a dál už vše jede správně.

Bohužel, právě kvůli těm problémům to u Wedosu nemám. Naposledy jsme řešili u Bakalka.cz a vzhledem k technické podpoře, která prý moc neporadila, jsme to přesunuli z domains nahoru a hotovo. Pak to začalo fungovat.

Majitel Maxiorla. Nabízím mimo jiné placené poradenství pro Drupal. Jsem i na Twitteru.

Děkuju za odpověď, mne tam všechno zatím funguje a doufám, že se povede i tohle. Dám tomu ještě šanci a budu hledat. Vzhledem k tomu, že tam mám nevýdělečné weby spíš pro radost a na hraní místo gamesení her tak ta cena i celkově přehledná správa, nakonec i zatím vždy ochotná podpora mne drží, že nechci odejít. Ale vidím, že do budoucna https bude nutné a musí se i toto u nich nějak vyřešit. Nahoru to sunout nechci, mám tam takhle několik projektů za jedny prachy :-)

tak asi naposledy, kdyby někoho zajímalo, tak wedos mne to vyřešil a již funguju,

v .htaccessu se změnilo tohle:

v getsimple

#RewriteCond %{HTTPS} !=on

#RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

v drupalu

#RewriteCond %{HTTPS} on

#RewriteRule ^ - [E=protossl:s]

dopsáno

RewriteCond %{HTTPS} off

RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

RewriteCond %{THE_REQUEST} \s/?domains

RewriteRule (.*) https://sub.domain.cz [R=301,L]

Přidat komentář