Estou configurando meu VPS pessoal com Nginx e lendo sobre como proteger o serviço. Mas uma coisa não ficou clara para mim sobre certificados e gerenciamento de HTTPS:
Se eu comprar o nome de domínio (www.example.com) de algum provedor terceirizado e, em seguida, configurar o domínio para apontar para o IP do meu VPS fornecido por uma parte não relacionada, quem gerencia os certificados?
Devo fazer todo o manuseio (certificados, configuração TLS, escuta https, etc.) na configuração VPS e Nginx, ou tudo isso é gerenciado pelo provedor de nome de domínio? Ou algumas coisas são tratadas pelo provedor de nome de domínio e outras na minha configuração do Nginx?
Responder1
Você realizará o tratamento que está perguntando.
Aqui está uma visão geral do quadro completo.
Você fornece à autoridade de certificação (a quem você está chamando de provedor de DNS) quaisquer que sejam seus requisitos. Isso pode incluir pagamento e identificação.
Eles fornecem um certificado que os aponta como autoridade emissora.
Em seguida, você configura o servidor web para usar esse certificado.
Quando alguém visita sua página com HTTPS, o “S” em “HTTPS” significa “Seguro”. Nos anos anteriores, era bastante seguro pensar no S como uma sigla para SSL, porque a forma como o HTTPS era implementado era usando HTTP sobre SSL. Hoje em dia, TLS é a implementação moderna que normalmente é usada em vez de versões SSL mais antigas.
Quando o cliente web (mais comumente chamado de “navegador web”) usa TLS (ou SSL), ele obtém um certificado do servidor web. (Este será um certificado gerado automaticamente, diferente em alguns aspectos do certificado que você obteve da sua autoridade de certificação.) Em seguida, o cliente Web verifica se o certificado é confiável. O certificado que o navegador da web recebe terá vestígios do seu certificado e da autoridade de certificação. O navegador da web pode informar que o certificado foi feito com a aprovação dessa autoridade de certificação.
O cliente web analisa seu próprio "armazenamento de certificados", que normalmente vem simplesmente com o navegador web e/ou sistema operacional. Como seu certificado adquirido comercialmente provavelmente aponta para uma autoridade de certificação reconhecida e amplamente confiável, o cliente Web considera o servidor Web confiável.
Certifique-se de que, ao receber o certificado pelo qual pagou, não o entregue a mais ninguém. (Normalmente eu diria para não compartilhá-lo com ninguém, exceto em quem você confia, como a empresa que executa o servidor web que você está usando. Mas como você está executando seu próprio servidor web, essa exceção pode não se aplicar. Embora , se o seu "servidor virtual privado" ("VPS") não estiver criptografado, provavelmente o seu host VPS poderá acessar os dados.) Se alguém não confiável obtiver uma cópia desse certificado, então poderá ser confiável que seja você. Em outras palavras, esse ladrão pode efetivamente roubar sua identidade. Portanto, não publique publicamente o certificado pelo qual você pagou.
Uma coisa que você pode fazer com seu provedor DNS é configurar registros de recursos DNS. Em muitos casos, você configura registros AAAA e/ou A com eles. Pessoalmente, costumo apenas configurar registros NS com o provedor DNS e hospedar eu mesmo os registros AAAA e/ou A. Seu provedor de DNS não precisa ser a mesma organização de quem fornece seus certificados. (Se estiver usando "Let's Encrypt" como sua autoridade de certificação, espero que sejam organizações diferentes.)
Responder2
Se eu comprar o nome de domínio (www.example.com) de algum provedor terceirizado e, em seguida, configurar o domínio para apontar para o IP do meu VPS fornecido por uma parte não relacionada, quem gerencia os certificados?
Quem estiver gerenciando o VPS administrará isso. Os registradores de domínio (provedores de nomes de domínio) tecnicamente lidam apenas com endereços IP e entradas de nomes de domínio associados ao seu VPS.
Devo fazer todo o manuseio (certificados, configuração TLS, escuta https, etc.) na configuração VPS e Nginx, ou tudo isso é gerenciado pelo provedor de nome de domínio? Ou algumas coisas são tratadas pelo provedor de nome de domínio e outras na minha configuração do Nginx?
Certificados, TLS, https, etc. são coisas que você configuraria no servidor com Nginx, etc. Os provedores de nomes de domínio não têm função neste aspecto.