Let's Encrypt varsayılan olarak sahipliği doğrulamak için HTTP-01 sorgulamasını kullanır. HTTP-01 sorgulaması, web sunucunuzun Web köküne bir dosya yerleştirir ve dosyayı getirmek için web sunucusunun DNS adını kullanır. Dosya internetten alınabiliyorsa alan adının otoritesi doğrulanır ve SSL sertifikası verilir. Bu, internet servis sağlayıcılarından (İSS) genel bir IP adresi alabilen çoğu sunucu ve ev kullanıcısı için iyidir.
Peki ya ev ağınızın veya özel/dahili ağınızın alan adları için Let's Encrypt SSL sertifikalarını kullanmak istiyorsanız? Çoğu ev ağında Let's Encrypt SSL sertifikası almak zordur çünkü büyük olasılıkla İSS'niz size genel bir IP adresi vermez. Yani Let’s Encrypt HTTP-01 yarışmasını geçemeyeceksiniz (çünkü bilgisayarlarınıza/sunucularınıza internetten erişilemiyor).
Bu durumda ev/dahili ağınız için SSL sertifikalarını almak için Let’s Encrypt DNS-01 sorgulamasını kullanabilirsiniz. Bu yöntemde Let’s Encrypt, DNS sunucunuza “subdomain _acme-challenge.yourdomain.xyz” için DNS TXT kaydı ekler ve DNS TXT kaydının internetten mevcut olup olmadığını kontrol eder. TXT kaydı eşleşirse alan adının sahibi olduğunuz doğrulanır ve Let's Encrypt, SSL sertifikasını verir.
Let's Encrypt DNS-01 mücadelesinin çalışması ve SSL sertifikasını otomatik olarak yenilemesi için, DNS sunucusundaki TXT kayıtlarını eklemek/kaldırmak için kullanılabilecek bir API'yi açığa çıkaran bir DNS hizmet sağlayıcısı (ör. CloudFlare, DigitalOcean) kullanmanız gerekir.
DNS kayıt kuruluşunuzun (alan adını kaydettiğiniz yer) bu tür hizmetler için desteği yoksa, üçüncü taraf bir DNS hizmet sağlayıcısını kullanabilirsiniz. Tek yapmanız gereken, alan adınızın DNS ad sunucusu adresini, DNS kayıt kuruluşunuzun DNS sunucusundan, istediğiniz üçüncü taraf DNS servis sağlayıcısının DNS ad sunucusu adresine değiştirmektir.
İçeriğin Konusu:
- Let's Encrypt DNS Doğrulaması ile Kolayca Entegre Olan DNS Sağlayıcılarının Listesi
- Let’s Encrypt ACME İstemcilerinin Listesi
- DNS Ad Sunucusunu Etki Alanı Kayıt Kuruluşunuzdan Değiştirme
- Let’s Encrypt DNS-01 Doğrulamasının Avantajları
- Let's Encrypt DNS-01 Doğrulamasının Dezavantajları
- Çözüm
- Referanslar
Let's Encrypt DNS Doğrulaması ile Kolayca Entegre Olan DNS Sağlayıcılarının Listesi
Let's Encrypt topluluğu bir derleme hazırladı DNS sağlayıcılarının listesi Bu, Let's Encrypt istemcilerinin alan adlarını doğrulayabilmesi ve SSL sertifikalarını verebilmesi için DNS kayıtlarını otomatik olarak eklemek/kaldırmak üzere bir tür API'yi açığa çıkarır.
Let's Encrypt DNS doğrulamasıyla kolayca entegre olan DNS sağlayıcılarının listesini şu adreste bulabilirsiniz: bu bağlantı .
Let’s Encrypt ACME İstemcilerinin Listesi
Let's Encrypt istemcilerine ACME istemcileri de denir. ACME, Otomatik Sertifika Yönetim Ortamı anlamına gelir. ACME, bilgisayar/sunucu ile sertifika yetkilisi (örn. Let's Encrypt) arasındaki etkileşimi otomatikleştirmeye yönelik bir protokoldür.
En popüler Let’s Encrypt ACME istemcileri şunlardır:
DNS Ad Sunucusunu Etki Alanı Kayıt Kuruluşunuzdan Değiştirme
Alan adı kayıt siteniz Let’s Encrypt ile kolayca entegre olan DNS sağlayıcıları listesinde yoksa CloudFlare veya diğer üçüncü taraf DNS servis sağlayıcılarını kullanabilirsiniz. Tek yapmanız gereken, alan adınızın DNS ad sunucusunu, alan adı kayıt kuruluşunuzun kontrol panelinden, kullanmak istediğiniz üçüncü taraf DNS servis sağlayıcısının DNS ad sunucusuna değiştirmektir.
Aşağıdaki ekran görüntüsünde, alan adı kayıt kuruluşumuzu (alan adımızı kaydettiğimiz yer) kontrol panelinden/web sitesinden alan adlarımızdan biri için DNS ad sunucusunu (CloudFlare'in DNS sunucusuna) değiştirme işlemini gösterdik. Etki alanı kayıt kuruluşunuz için süreç benzer olmalıdır. Daha fazla bilgi için alan adı kayıt kuruluşunuzun belgelerini okuyun veya onlarla iletişime geçin.
Let’s Encrypt DNS-01 Doğrulamasının Avantajları
Let's Encrypt'in DNS-01 doğrulamasının avantajları şunlardır:
- Genel/internet üzerinden erişilebilen bir IP adresi veya bir web sunucusu gerektirmez.
- Joker karakterli alan adları (ör. *.nodekite.com, *.linuxhint.com) için SSL sertifikaları vermek üzere kullanabilirsiniz.
- Birden fazla web sunucusu için iyi çalışır.
Let's Encrypt DNS-01 Doğrulamasının Dezavantajları
Let's Encrypt DNS-01 doğrulamasının birçok avantajı olmasına rağmen bazı dezavantajları da vardır:
- DNS-01 doğrulamasının çalışması için, DNS servis sağlayıcınızın API anahtarını/belirtecini, Let's Encrypt istemcisinin DNS-01 doğrulaması için DNS sunucusunda bir TXT kaydı oluşturmak üzere kullanacağı sunucuda tutmanız gerekir. API anahtarı/belirteci sunucuda tutulduğundan, sunucu saldırıya uğrarsa API anahtarının/belirtecinin tehlikeye girme ihtimali vardır.
- Let's Encrypt istemcisi DNS sunucusuna bir TXT kaydı ekledikten sonra, değişikliklerin dünya çapındaki diğer DNS ad sunucularına yayılması biraz zaman alır. Let's Encrypt istemcisinin, alan adının sahipliğini doğrulamak için değişikliklerin dünya çapındaki ortak DNS ad sunucularına yayılmasını beklemesi gerekir. DNS servis sağlayıcınız API'de DNS yayılma süresini sağlamıyorsa Let's Encrypt istemcisi, DNS değişikliklerinin dünya çapındaki diğer ad sunucularına yayılması için ne kadar bekleyeceğini bilemeyecektir. Bu durumda DNS doğrulaması zaman aşımına uğrayabilir ve Let's Encrypt SSL sertifikası veremeyebilir.
Çözüm
Bu makalede, Let's Encrypt DNS-01 sorgulamasını ve bir alan adının sahipliğini doğrulamak için neden bunu varsayılan HTTP-01 sorgulaması yerine kullandığını tartıştık. Ayrıca Let's Encrypt SSL sertifikası almak için Let's Encrypt DNS-01 sınavını geçmenin gerekliliklerini de tartıştık. Let's Encrypt ile iyi entegre olan DNS servis sağlayıcılarının yanı sıra bilgisayarınızdan/sunucunuzdan DNS doğrulaması gerçekleştirmek için kullanabileceğiniz Let's Encrypt ACME istemcilerini listeledik. Son olarak Let’s Encrypt DNS doğrulamasının avantajlarını ve dezavantajlarını tartıştık.
Referanslar:
- Mücadele Türleri – Haydi Şifreleyelim
- Let's Encrypt DNS doğrulamasıyla kolayca entegre olabilen DNS sağlayıcıları – Issuance Tech – Let's Encrypt Topluluk Desteği
- Otomatik Sertifika Yönetim Ortamı – Vikipedi
- Sertifikabot
- GitHub – acmesh-official/acme.sh: ACME istemci protokolünü uygulayan saf bir Unix kabuk betiği
- Kurulum :: Go'da yazılmış Let's Encrypt istemcisi ve ACME kütüphanesi.
- Ana Sayfa – Posh-ACME