Let's Encrypt là gì? Thời hạn của chứng chỉ là bao lâu?

Trong bối cảnh ngày càng tăng cường về an ninh trực tuyến, Let's Encrypt không chỉ mang lại sự thuận tiện về chi phí mà còn mở ra cánh cửa cho tự động hóa quá trình cài đặt và gia hạn chứng chỉ SSL. Hãy cùng tìm hiểu thêm về SSL free này và những lợi ích quan trọng mà nó mang lại.

Cơ quan chứng nhận (CA) là một tổ chức cấp phát chứng chỉ TLS/SSL. Chứng chỉ SSL xác thực danh tính của một trang web và tạo điều kiện cho một kết nối được mã hóa.

Việc mã hóa là rất quan trọng để đảm bảo sự truyền thông an toàn giữa máy chủ web và người dùng của nó. HTTPS được mã hóa để tăng cường bảo mật trong quá trình truyền dữ liệu.

Tổ chức nghiên cứu an toàn Internet (ISRG) là một công ty tư nhân tập trung vào an ninh Internet. Nhiệm vụ của nó là làm cho giao tiếp trên Internet trở nên an toàn mà không phụ thuộc vào khả năng kỹ thuật hoặc tài chính của mỗi người dùng.

Let's Encrypt là gì?

Let’s Encrypt là một cơ quan chứng nhận tự động (CA) do ISRG quản lý. Nó cung cấp chứng chỉ X.509 cho việc mã hóa Transport Layer Security (TLS).

CA này cho phép các tổ chức trên khắp thế giới có thể có được, gia hạn và quản lý các chứng chỉ SSL/TLS. Nó được sử dụng bởi các trang web để tạo ra kết nối HTTPS an toàn.

Let’s Encrypt tự động gia hạn chứng chỉ để giảm thiểu lỗi trang.

Thời hạn của chứng chỉ là bao lâu?

Chứng chỉ của Let’s Encrypt có thời hạn là 90 ngày. Không có ngoại lệ. Tuy nhiên, bạn có thể tự động gia hạn chứng chỉ mỗi 60 ngày.

Các loại chứng chỉ của Let’s Encrypt

Chứng chỉ xác nhận tên miền

Một Chứng chỉ SSL Xác nhận Miền cung cấp mã hóa mạnh mẽ cho các trang web. Đây là một lựa chọn phổ biến cho người dùng muốn bảo vệ nhanh chóng miền của họ.

Chứng chỉ của Let’s Encrypt là chứng chỉ Xác nhận Miền tiêu chuẩn. Bạn có thể sử dụng chúng cho bất kỳ máy chủ nào, chẳng hạn như máy chủ web, máy chủ thư, máy chủ FTP, v.v.

Chứng chỉ đại diện tên miền

Một SSL Đại diện Miền có thể bảo vệ một số lượng không giới hạn các phụ miền trên một chứng chỉ duy nhất. Nó thêm một dấu sao (*) trước tên miền.

Chứng chỉ SSL đại diện miền có thể được chia sẻ trên nhiều máy chủ.

Bạn có thể phát hành chứng chỉ Đại diện Miền của Let’s Encrypt thông qua ACMEv2 bằng cách sử dụng thách thức DNS-01.

Giới hạn tốc độ của Let's Encrypt?

Let's Encrypt đã thiết lập các hạn chế về tần suất để đảm bảo việc sử dụng công bằng.

Các hạn chế được thiết lập như sau:

• Chứng chỉ cho mỗi miền đã đăng ký: Giới hạn là 50 chứng chỉ mỗi tuần cho mỗi miền.
• Xác nhận chờ: Giới hạn tối đa là 300. Vượt quá giới hạn có thể gây ra lỗi.
• Đơn Hàng: Bạn có thể tạo tối đa 300 Đơn Hàng Mới mỗi tài khoản mỗi 3 giờ.
• Tên/Chứng chỉ: Giới hạn số lượng tên miền bạn có thể bao gồm trong một chứng chỉ duy nhất. Giới hạn là tối đa 100 Tên mỗi Chứng chỉ.
• Đăng Ký/Địa chỉ IP: Hạn chế số lượng đăng ký bạn có thể thực hiện trong một khoảng thời gian nhất định. Giới hạn là 10 tài khoản mỗi địa chỉ IP mỗi 3 giờ. Bạn có thể tạo tối đa 500 Tài khoản mỗi Phạm vi Địa chỉ IP trong một địa chỉ IPv6 /48 mỗi 3 giờ.
• Giới hạn xác nhận không thành công: Giới hạn là 5 lần không thành công mỗi tài khoản, mỗi tên miền, mỗi giờ.

Let's Encrypt hoạt động như thế nào?

Giao thức ACME của Let's Encrypt định nghĩa cách các máy khách giao tiếp với máy chủ của họ. Mục tiêu của Let’s Encrypt là tự động có được một chứng chỉ được tin cậy bởi trình duyệt web.

Để làm điều này, CA phải kiểm tra yêu cầu chứng chỉ để xác minh ai kiểm soát miền. Điều này được thực hiện thông qua việc chạy một client quản lý chứng chỉ trên máy chủ web.

Có hai bước trong quá trình này.

Xác nhận tên miền

Phần mềm client phải chứng minh cho CA rằng máy chủ kiểm soát các miền.

Có những cách sau để chứng minh sự kiểm soát của miền:

• Cung cấp một bản ghi DNS dưới tên miền.
• Cung cấp một tài nguyên HTTP dưới một URI nổi tiếng trên tên miền.

Trong giao tiếp đầu tiên với Let’s Encrypt, client tạo ra một mã thông báo (key) duy nhất. Nó bắt đầu một yêu cầu DNS để lấy mã thông báo được tạo ra từ mã thông báo đó.

CA cũng cung cấp một số lần lặp cho client ký bằng cặp khóa riêng của nó.

Khi client hoàn thành các bước xác nhận, CA xác minh mã thông báo. Nếu mã thông báo đúng, client đã chứng minh kiểm soát trên miền. Máy chủ sẽ ký và trả lại một chứng chỉ.

Client được xác định bằng khóa công khai và được ủy quyền để quản lý chứng chỉ.

Cấp và thu hồi

Chứng chỉ Client có thể dễ dàng yêu cầu, gia hạn và thu hồi chứng chỉ bằng cặp khóa được ủy quyền.

Để có được một chứng chỉ cho miền, client xây dựng một CSR PKCS#10 (Certificate Signing Request). CSR bao gồm một chữ ký của khóa riêng tương ứng với khóa công khai.

Client cũng ký toàn bộ CSR với khóa được ủy quyền. Khi CA của Let’s Encrypt nhận được yêu cầu, nó xác minh cả hai chữ ký.

Tương tự như việc thu hồi, client ký một yêu cầu thu hồi bằng cặp khóa. CA xác minh yêu cầu. 

CA công bố thông tin thu hồi trong các kênh thu hồi.

Lợi ích của chứng chỉ SSL của Let's Encrypt

• Miễn phí: Let's Encrypt là miễn phí. Chủ sở hữu trang web có thể có được một chứng chỉ đáng tin cậy cho miền của họ mà không phải trả bất kỳ chi phí nào.
• Tự động: phần mềm chạy trên máy chủ web của bạn có thể tự động tạo ra, cài đặt và gia hạn chứng chỉ SSL.
• Dễ dàng: Let's Encrypt dễ dàng cài đặt trên bất kỳ máy chủ nào, đặc biệt là với bảng điều khiển quản lý hosting web. Không có yêu cầu về tài khoản bổ sung, thanh toán hoặc xác minh qua email.
• An toàn: Let's Encrypt thực hiện các quy tắc tốt nhất của Transport Layer Security (TLS).
• Minh bạch: tất cả các chứng chỉ được cấp phát đều được ghi lại công khai để bất kỳ ai cũng có thể kiểm tra.
• Mở: quy trình cấp và gia hạn tự động được công bố như một tiêu chuẩn mở để những người khác có thể áp dụng.

Như vậy, Let's Encrypt không chỉ là một dự án cung cấp chứng chỉ SSL free mà còn là một động lực mạnh mẽ đằng sau việc nâng cao mức độ bảo mật trực tuyến cho mọi người. Thời hạn 90 ngày của chứng chỉ có thể ngắn, nhưng với quy trình tự động gia hạn, Let's Encrypt đã tạo ra một mô hình linh hoạt và hiệu quả.