Os certificados são gerenciados por provedores de nome de domínio ou no servidor?

0

Estou configurando meu VPS pessoal com o Nginx e estava lendo sobre como proteger o serviço. Mas uma coisa não me ficou clara sobre os certificados e o gerenciamento de HTTPS:

Se eu comprar o nome de domínio (www.exemplo.com) de algum provedor de terceiros e configurar o domínio para apontar para o IP do meu VPS que é fornecido por uma parte não relacionada, que gerencia os certificados?

Devo fazer todo o tratamento (certificados, configuração TLS, https listening, etc) na configuração VPS e Nginx, ou tudo isso é gerenciado pelo provedor de nome de domínio? Ou algumas coisas são tratadas pelo provedor de nome de domínio e algumas na minha configuração Nginx?

    
por Juha Untinen 01.09.2017 / 22:24

2 respostas

1

Você executará o tratamento sobre o qual está perguntando.

Aqui está uma visão geral da imagem completa.

Você fornece a autoridade de certificação (a quem você está chamando um provedor de DNS) com quaisquer que sejam seus requisitos. Isso pode incluir pagamento e identificação.

Eles fornecem um certificado que aponta para eles como a autoridade de emissão.

Você configura o servidor da Web para usar esse certificado.

Quando alguém visita sua página com HTTPS, o "S" em "HTTPS" significa "Seguro". Em anos anteriores, era bastante seguro pensar no S como sendo de SSL, porque a maneira como o HTTPS foi implementado estava usando HTTP sobre SSL. Atualmente, o TLS é a implementação moderna que normalmente é usada em vez de versões SSL mais antigas.

Quando o cliente da web (mais comumente chamado de "navegador da web") usa TLS (ou SSL), ele obtém um certificado do servidor da web. (Esse será um certificado gerado automaticamente, diferente em alguns aspectos do que o certificado obtido de sua autoridade de certificação.) Em seguida, o Web client verifica se o certificado é confiável. O certificado que o navegador da Web recebe terá rastros de seu certificado e da autoridade de certificação. O navegador da Web pode informar que o certificado foi feito com a bênção dessa autoridade de certificação.

O cliente da Web examina seu próprio "armazenamento de certificados", que geralmente vem simplesmente com o navegador da Web e / ou o sistema operacional. Como seu certificado comprado comercialmente está, presumivelmente, apontando para uma autoridade de certificação que é reconhecida e amplamente confiável, o Web client considera o servidor da Web confiável.

Certifique-se de que, quando receber o certificado pelo qual pagou, não o forneça a mais ninguém. (Normalmente eu diria para não compartilhá-lo com ninguém, exceto para quem você tem que confiar, como a empresa que está executando o servidor da Web que você está usando. Mas como você está executando seu próprio servidor da Web, essa exceção pode não se aplicar. , se o seu "servidor virtual privado" ("VPS") não estiver criptografado, presumivelmente seu host VPS poderá acessar os dados. Se alguém não confiável obtiver uma cópia desse certificado, poderá ser confiável para você. Em outras palavras, tal ladrão pode efetivamente roubar sua identidade. Portanto, não publique publicamente esse certificado pelo qual você pagou.

Uma coisa que você pode fazer com seu provedor de DNS é configurar registros de recursos DNS. Em muitos casos, você configura registros AAAA e / ou A com eles. Pessoalmente, eu costumo apenas configurar registros NS com o provedor de DNS e hospedar os registros AAAA e / ou A eu mesmo. Seu provedor de DNS não precisa ser a mesma organização de quem fornece seus certificados. (Se estiver usando "Let's Encrypt" como sua autoridade de certificação, eu esperaria que fossem organizações diferentes.)

    
por 03.09.2017 / 08:29
0

If I buy the domain name (www.example.com) from some 3rd party provider, and then configure the domain to point to the IP of my VPS that is provided by an unrelated party, who manages the certificates?

Quem está gerenciando o VPS administraria isso. Os registradores de domínio (provedores de nomes de domínio) tecnicamente lidam apenas com entradas de endereço IP e nome de domínio associadas ao seu VPS.

Should I do all the handling (certificates, TLS configuration, https listening, etc) on the VPS and Nginx config, or is all of that managed by the domain name provider? Or are some things handled by the domain name provider and some on my Nginx config?

Certificados, TLS, https, etc. são tudo o que você configuraria no servidor com Nginx, etc. Os provedores de nome de domínio não têm nenhum papel nesse aspecto.

    
por 03.09.2017 / 07:57