Lets Encript, certificados SSL gratuítos

Hace poco descubrí Lets Encrypt, una autoridad certificadora que otorga certificados SSL totalmente gratis a quien los necesite, pues consideran que la seguridad ha de estar al alcance de todos.

Resulta que esta empresa está apoyada por Mozilla y un par más de empresas gordas, lo que garantiza que los certificados son de confianza y son reconocidos por la mayoría de navegadores (En Windows XP e Internet explorer da algún que otro problema, pero pocos son ya los que usan ese sistema).

Los pasos para generar un certificado son sencillísimos.

siempre como root:

1. Instalamos git

apt-get update && apt-get install git

2. Descargamos el cliente de lets encrypt

git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt

3. Generamos, validamos y configuramos los certificados, recordad, siempre como root:

cd /opt/letsencrypt
./letsencrypt-auto --apache -d midominio.com -d www.midominio.com

Respondemos a las preguntas, aceptamos los términos y condiciones y listo.

Ya está. El cliente solito nos genera los archivos necesarios y nos configura los virtual hosts de apache (se puede quitar eliminando el argumento en la línea de comando y hacerlo nosotros a mano) y solo nos queda hacer un service apache2 reload. No se si lo hace solo el script, pero por repetirlo no pasa nada.

Podemos ver si el certificado funciona bien en https://www.ssllabs.com/ssltest/analyze.html?d=example.com&latest donde example.com es nuestro dominio.

Los certificados deben renovarse cada x, ellos te envían un correo electrónico para que lo hagas cuando toque. El proceso es el siguiente:

root@server:/opt/letsencrypt# ./letsencrypt-auto renew

Con esto, renovamos todos los certificados que tenemos instalados en el servidor. Cuidado, solo renueva los que se han generado usando el script configurador, si hemos metido mano al apache por nuestra cuenta tendremos que repetir el proceso de crearlos de nuevo. Una vez terminado el proceso, yo suelo reiniciar apache para ahorrarme disgustos.

para finalizar, se recumienda de vez en cuando actualizar el cliente:

cd /opt/letsencrypt
git pull

Y con esto terminamos.