Antigamente, era normal que os sites servissem conteúdo no protocolo HTTP tradicional, pois a segurança não era um grande problema. No entanto, hoje em dia, devido ao aumento de crimes cibernéticos, como furtos de identidade, furtos de cartão de crédito, espionagem, é realmente importante proteger o canal através do qual se comunica com o servidor. Vamos criptografar é uma autoridade de certificação que fornece certificados SSL / TLS gratuitamente. Os certificados emitidos por eles são válidos por 3 meses, o que significa 90 dias em comparação com um ano ou mais pelas autoridades de certificação de nível comercial. No entanto, ele fornece a mesma proteção que os certificados pagos; portanto, muitas vezes é escolhido por muitos blogueiros e pequenos proprietários de sites contra cibercriminosos. Este artigo pretende demonstrar como proteger as gotas DigitalOcean com vamos criptografar.

Requisitos

Este guia usa o Ubuntu 16.04 como o sistema operacional no qual o servidor da web está sendo executado. No entanto, os mesmos passos podem ser usados ​​para qualquer outra versão do Ubuntu, desde que não haja diferença nas configurações. Este guia assume que o usuário já possui um servidor web instalado e é Nginx. Como cliente SSH, Putty é usado, e como editor de arquivos Nano é recomendado.

Solução

1. O servidor web criado no Droplets pode ser acessado via protocolo SSH. Baixe e instale o Putty de seu site oficial. O aplicativo é totalmente gratuito.

sudo apt-get install putty

2. Depois de baixar o Putty, vá em frente e baixe o Nano. O objetivo do Putty é acessar o console do Linux para digitar comandos do shell, enquanto o Nano é usado para editar arquivos internos, como o arquivo padrão Nginx.

sudo apt-get install nano

3. Inicie o Putty e navegue até a guia Sessão.

4. No campo Host Name, digite o endereço IP do droplet DigitalOcean onde o servidor web está instalado. O endereço IP das gotas pode ser encontrado em https: // nuvem.digitalocean.com / gotas. No campo da porta, digite 22.

5. Depois de enviar todos os campos obrigatórios conforme visto acima, pressione ok para aplicar as alterações e fazer login no Droplet. Ao fazer login no sistema, ele vai pedir o nome de usuário e a senha do Droplet. Tanto o nome de usuário quanto a senha são enviados por e-mail para o e-mail registrado no DigitalOcean ao criar o Droplet.

6. Este guia usa Certbot, uma ferramenta de terceiros para automatizar todo o processo de busca e renovação dos certificados digitais. Certbot tem seu próprio site de onde os comandos a serem usados ​​podem ser gerados com facilidade. De acordo com o Certbot, os comandos certos para instalar o Certbot no Ubuntu são estes. Primeiro, ele atualiza as informações do pacote no repositório local, em seguida, instala o pacote comum de propriedades de software que fornece alguns scripts úteis para lidar com conquistas de pacotes pessoais (PPA), em seguida, instala o certbot, em seguida, atualiza novamente o repositório local e, finalmente, instala o pacote python certbot nginx. Certifique-se de que todos esses pacotes estão instalados corretamente antes de ir para a próxima etapa.

$ sudo apt-get update
$ sudo apt-get install software-properties-common
$ sudo add-apt-repository ppa: certbot / certbot
$ sudo apt-get update
$ sudo apt-get install python-certbot-nginx

7. Navegue até o site de onde o domínio foi comprado. Este guia usa o Porkbun como registrador de domínio e, em seguida, adiciona o registro A ao domínio. O tipo é o registro A, o host fica em branco se o IP estiver associado ao domínio raiz, caso contrário, use o nome do subdomínio sem o domínio raiz, por exemplo, se for nucuta.com, basta usar www. Como resposta, digite o endereço IP da gota.

8. Da mesma forma, redirecione o tráfego WWW para o domínio raiz da seguinte forma. O tipo é “CNAME”, o host é “WWW”, a resposta é “nucuta.com ”ou seu domínio. Esta etapa é importante, pois redireciona todo o tráfego www para o domínio raiz.

9. Use o seguinte comando no Putty para acessar o arquivo padrão do Nginx. O arquivo padrão, por padrão, usa um bloco de servidor onde o domínio principal está localizado. O Nano Editor é altamente recomendado, pois é bastante conveniente de usar em comparação com outros.

sudo nano / etc / nginx / sites-available / default

10. No arquivo padrão, navegue até o bloco do servidor e redirecione o tráfego HTTP para HTTPs, e no outro bloco do servidor onde o tráfego seguro é tratado, altere o server_name para o nome do domínio, por exemplo

server_name nucuta.com www.nucuta.com

11. Digite o seguinte comando para reiniciar o servidor da web Nginx. Sempre que uma alteração é feita no arquivo padrão, todo o servidor Nginx deve ser reiniciado para que as novas alterações tenham algum efeito.

sudo systemctl reload nginx

12. Por padrão, o Firewall bloqueia todo o tráfego, exceto para as portas 80 e 22. O HTTPS usa a porta 443; portanto, deve ser aberto manualmente para acessar o servidor web do lado do cliente. A abertura da porta depende do Firewall.
    

    Em CSF (firewall de servidor configurado)

    1. Abre o arquivo de configuração CSF ​​digitando o seguinte comando.
    nano / etc / csf / csf.conf
    2. Adicione as seguintes portas para TCP In e Out.
    TCP_IN = "20,21,22,25,53,80,443"
    TCP_OUT = "20,21,22,25,53,80,443"
    3. Reinicie o CSF ​​digitando csf -r

    Em USF (Firewall Descomplicado)

    1. Digite os dois comandos a seguir para adicionar HTTPS à lista de exceções. O pacote “Nginx Full” possui portas HTTP e HTTPS; portanto, adicionar o pacote completo permite o tráfego de entrada e saída.
    sudo ufw allow 'Nginx Full'
    sudo ufw delete allow 'Nginx HTTP'
    2. Digite o seguinte comando para ver o status
ufw status

13. Verifique a porta 443 de um site externo para ter certeza de que abre com certeza. Se a porta estiver aberta, dirá "443 porta está aberta"

14. Agora use o Certbot para recuperar o certificado SSL para o domínio. O parâmetro D é necessário para especificar o domínio. Vamos criptografar lançamentos de um certificado para o subdomínio raiz e www. Ter apenas um para cada versão emitirá um aviso no navegador se um visitante acessar a outra versão; portanto, é importante obter o certificado para ambas as versões. sudo certbot --nginx -d nucuta.com -d www.nucuta.com

15. O Certbot pedirá para redirecionar todo o tráfego HTTP para HTTPS, mas não é necessário, pois já foi feito em uma das etapas anteriores.

16. Agora navegue até o site SSL Lab e verifique a qualidade ou quaisquer outros problemas do certificado e sua configuração. https: // www.ssllabs.com / ssltest /

17. Se a configuração atual não for segura o suficiente, navegue até o gerador de configuração Mozilla SSL e gere as configurações para o seu servidor web. https: // mozilla.github.io / server-side-tls / ssl-config-generator /. Como aqui usa o Nginx, certifique-se de usar o Nginx como o servidor da web. Oferece três opções, intermediário, antigo e moderno. A opção antiga torna o site compatível com praticamente todos os navegadores, incluindo navegadores superantigos como o IE 6, enquanto a opção intermediária o torna ideal para usuários médios, a opção moderna gera a configuração necessária para segurança máxima, mas como compensação, o site não funcionará corretamente em navegadores mais antigos. Portanto, é altamente recomendado para sites onde a segurança é uma grande preocupação.

18. Navegue até o seu site e clique com o botão direito no ícone de cadeado e, em seguida, na opção “Certificado” para ver o certificado.

19. Se ele mostrar uma data futura após TO na opção válida a partir de, o que significa que o processo de aquisição do certificado foi concluído. No entanto, é importante redirecionar o tráfego para a versão relevante do domínio, por exemplo, o tráfego HTTP e WWW pode ser redirecionado para o domínio raiz HTTPS, conforme visto neste guia. O certificado será renovado automaticamente pelo certbot; portanto, está sempre disponível para o proprietário do site gratuitamente.