SSL tanúsítvány megújítása biztonságosan és időben

SSL tanúsítvány megújítása lejárat előtt – mikor és hogyan érdemes?
Az SSL tanúsítványok a weboldalak láthatatlan testőrei. Nem villognak, nem kérnek figyelmet, de ha egyszer lejárnak, azonnal észreveszi minden látogató. Egy szép nagy „Not Secure” felirat fogadja az embert a böngészőben – köszönet helyett.
Sokan akkor kezdenek kapkodni, amikor már késő: a tanúsítvány lejárt, a weboldal nem elérhető biztonságos kapcsolaton keresztül, és a látogatók inkább elpattannak, mint hogy kockáztassanak. Éppen ezért nemcsak az SSL tanúsítvány telepítése, hanem annak időben történő újragenerálása is kulcsfontosságú.
Ebben a bejegyzésben arról lesz szó, hogy mikor érdemes lépni, hogyan lehet jól csinálni, és miért ajánlja az 1b.hu, hogy ne hagyd az utolsó pillanatra.
Miért jár le egyáltalán egy SSL tanúsítvány?
Ahogy a jogosítványnak, úgy a tanúsítványnak is van lejárati ideje. Ez általában 90 nap (Let’s Encrypt esetén), vagy 1 év (fizetős tanúsítványoknál). Nem véletlen: a biztonságos kommunikáció egyik alapfeltétele a kulcsok frissítése. Minél gyakrabban újul meg, annál kisebb az esélye, hogy a tanúsítvány kompromittálódik.
De mit jelent ez neked? Azt, hogy a tanúsítványt nem elég egyszer beállítani és elfelejteni. Figyelni kell a lejárati dátumot – vagy automatizálni a megújítást.
Mikor érdemes újragenerálni?
A legtöbb szolgáltató lehetővé teszi, hogy 30 nappal a lejárat előtt megújítsd a tanúsítványt. Tapasztalatból mondjuk, hogy 2-3 héttel korábban már érdemes nekikezdeni, különösen, ha nem automatizált rendszert használsz.
Mi, az 1b.hu-nál általában 21 nappal a lejárat előtt kezdjük meg az új tanúsítványok generálását, ezzel bőven van idő tesztelni, ellenőrizni, és ha kell, visszavonni vagy javítani.
Újragenerálás vagy csak megújítás?
Sokan összekeverik ezt a kettőt. Röviden:
Megújítás = új tanúsítvány, de a régi kulcsokkal
Újragenerálás = teljesen új kulcspár, új CSR, új tanúsítvány
Az újragenerálás mindig biztonságosabb, főleg, ha nem tudod biztosan, hogy a privát kulcs nem került illetéktelen kézbe. Ha weboldalt vagy webshopot üzemeltetsz, akkor érdemes inkább új kulcsot is generálni.
Hogyan néz ki a folyamat?
1. CSR létrehozása
Ez egy olyan fájl, ami tartalmazza a domain nevét és a publikus kulcsot. Ez kell a tanúsítvány kéréséhez.
2. Tanúsítvány igénylése
Ha Let’s Encrypt-et használsz, a certbot szinte mindent elintéz. Ha fizetős tanúsítványod van, akkor a CSR-t be kell küldeni a szolgáltatónak.
3. Tanúsítvány telepítése
Ha megvan az új fájl, fel kell tölteni a webszerverre (Apache, Nginx, stb.), és újraindítani vagy reload-olni a szolgáltatást.
4. Tesztelés, tesztelés, tesztelés
Használj SSL tesztelő eszközöket (pl. SSL Labs), és ellenőrizd a böngészőben is, hogy minden rendben van-e.
Mire figyelj közben?
Ne használd a régi privát kulcsot, ha nem muszáj.
Ügyelj a jogosultságokra – a privát kulcsot ne lássa más!
Ne felejtsd el újraindítani a webszervert a csere után.
Ne hagyd az utolsó pillanatra – ha hétvégén jár le, és pénteken kapod észbe, könnyen baj lehet.
Automatizálás: a legjobb barátod
Ha nem akarsz ezzel negyedévente vagy évente bajlódni, akkor automatizálj. A Let’s Encrypt és a certbot együtt kiváló párost alkotnak. Egy egyszerű cron job vagy systemd timer képes automatikusan újítani, ha jól van beállítva.
Az 1b.hu szolgáltatásaiban például a Let’s Encrypt SSL automatikusan frissül – így nem kell minden egyes tanúsítványt kézzel újítani. Ez különösen hasznos akkor, ha több domain-t vagy aldomaint kezelsz.
Zárásként
Egy lejárt SSL tanúsítvány nemcsak technikai hiba – bizalomvesztést is jelent. A látogatóid azonnal észreveszik, és sokan nem kockáztatják meg, hogy maradjanak. Ezért készülj előre, újíts időben, és ahol lehet, automatizáld a folyamatot.
Ha szeretnél biztosra menni, vagy kérdésed van a tanúsítványokkal kapcsolatban, keresd az 1b.hu csapatát – segítünk beállítani, megújítani vagy épp automatizálni az SSL kezelést.