HTTPS加密使用的Extended Validation (EV) SSL Certificate的問題

在「2019年3月18日星期一」到期以前大約30天，我收到comodo寄來的Renew更新認證的通知信，今天comodo又寄了新的通知信件，提醒我要Renew Your Expiring SSL Certificate的時間只剩下「5天」！最後「2天」又寄非常無聊的倒數通知信，告訴我只剩「2天」！

事實上我已經訂購了新的EV SSL Certificate認證，但是因為WHOIS移除email資訊，再加上comodo又必須像第一次購買EV SSL Certificate認證一樣，重新認證電話、公司登記證等資訊，我非常懷疑能否趕在倒數最後一天以前完成新的EV認證！最後還是因為Sectigo自己的問題，導致無法renew新的SSL證書！

你可以看到目前Sectigo網站上有4種不同的SSL證書，入門等級是Domain Validation (DV) TLS/SSL Certificate，只要US$99，中間是Organization Validation (OV) TLS/SSL Certificate，每年要US$179，最高等級是Extended Validation (EV) LS/SSL Certificate，每年要US$249。雖然還有最右邊的UCC Multi-Domain TLS/SSL Certificates，每年要US$285。但這個是適用在：

UCC TLS / SSL證書或Exchange TLS / SSL專為Microsoft Exchange和/或Microsoft Office Communication Server環境構建。

使用MS®Exchange2007或更高版本的Office Communications Server環境的組織可以將所有證書（最多100個）合併到Comodo CA的單個UC證書中。

insoler是使用macOS系統與Mac mini電腦架設。我們不使用Microsoft Exchange和/或Microsoft Office，甚至是Windows！所以就算UCC Multi-Domain只要US$1美元，我也不能買這個證書。

從企業級Extended Validation (EV)降級到免費SSL證書

我買了2年的企業級Extended Validation (EV)證書，但是在這2年內，似乎無人在意，也無人關心insoler網站是「企業級SSL證書」的安全網站！在這2年內註冊的新帳號，也幾乎是註冊之後就再也不來！從來沒看過有新的帳號再次回到insoler！

既然無法取得最高等級的Extended Validation (EV)企業級證書，那麼換成最低等級的Domain Validation (DV) TLS/SSL Certificate總可以吧？竟然不行！

既然無法取得最頂級的「Extended Validation (EV) SSL Certificate」企業級延伸SSL證書，又不能降級到DV證書，我就乾脆從「最頂級EV SSL」跳過最廉價的「DV SSL」直接改用「完全免費Let’s Encrypt」加密！

其實這並不是我第一次使用「免費SSL證書」！在2年前購買最頂級的「Extended Validation (EV) SSL Certificate」企業級延伸SSL證書以前，我試用了一年的「免費SSL證書」。由於只能「免費試用一年」所以在1年免費試用期滿以後，我決定跳過入門的DV等級，直接購買最頂級的「Extended Validation (EV) SSL Certificate」企業級延伸SSL證書！因為insoler是「公司網站」而非「個人網站」。

雖然是非常小的奈米公司的網站，但因為無人在意insoler是使用「企業級延伸SSL證書」還是「免費SSL證書」所以就乾脆回到免費SSL證書！但是這次是改用「Let's Encrypt - Free SSL/TLS Certificates」提供的SSL證書。

打開macOS High Sierra 10.13.6可以支援的最後一個版本的Server 5.6.3就會看到有3個「未讀」的通知提示，提醒網站管理者，憑證「www . insoler . com」已過期！

點選Server左邊欄位的「憑證」就會看到在幾個憑證中，Comodo發的EV憑證已經過期！到期日是「2019年3月18日星期一」！

點選這個已過期的Comodo憑證，就會看到「已於16小時前到期」的畫面！已經過期的憑證會變成完全無法使用！

由於Renew訂購新的EV憑證，需要確認公司相關資料，並且Comodo、Sectigo會親自打電話去公司確認相關資料，因此通常需要5-7天左右的作業時間，如果來不及更新，Sectigo會自動發出「臨時憑證」可以暫時使用。但事實上這個「暫時憑證」根本無法使用！直接顯示「憑證不受信任」！一個完全不受信任的新憑證，甚至比已經過期的憑證還要糟糕！

因為Sectigo一直不更新我的EV憑證，所以也沒有正式的EV證書可以匯入！

這個「自簽根憑證」是安裝好Server 5.6.3的時候，就會自動建立的憑證。當然，因為沒有向任何有公信力的團體認證過，當然也就等於「憑證不受信任」的臨時憑證或是過期憑證！

使用Homebrew安裝Let’s Encrypt免費憑證

事實上，我一直不想要使用Let’s Encrypt免費憑證！理由非常簡單，就是因為Let’s Encrypt網站上除了「說明」與「捐錢」什麼事都不能做！不能直接在網站上申請免費憑證，所以如果不是因為Comodo、Sectigo出問題，一直不願意發行新的EV憑證，逼得我不得不在「已過期憑證」之後改用免費憑證！

https://letsencrypt.org/

由於無法在Let’s Encrypt網站上申請憑證，只好到處爬文，終於找到在macOS上安裝Let’s Encrypt免費憑證的方式！首先必須要先安裝Homebrew這個macOS專用的工具程式。

由於安裝Homebrew程式本身，以及接下來要繼續安裝的任何程式，包括PHP 7.3、Apache、Imagick... 以及安裝憑證專用的certbot全部都必須「連上網站下載檔案」，所以會造成「安全性漏洞」！

為了避免有任何的「安全性漏洞」，我並不允許insoler與BNW網站的電腦可以上網！事實上我在防火牆上封鎖了全部的DMZ→WEB的網路埠！但是為了安裝Homebrew、certbot只好在防火牆上暫時開啟BNW主機的網路埠，把Homebrew、certbot安裝在BNW主機上，等到取得「免費憑證檔案」再把「憑證檔案」複製到insoler主機上使用！

安裝步驟是：

1. 安裝Homebrew。在終端機上直接輸入下載檔案的指令。

/usr/bin/ruby -e "$(curl -fsSL https ://raw.githubusercontent.com/Homebrew/install/master/install)"

2. 在終端機直接輸入brew安裝指令，繼續下載所需的檔案。由於我是在BNW網站安裝certbot，BNW主機還是老舊的OS X El Capitan 10.11.6，Homebrew已經不再支援舊的macOS版本！所以一開始會遇到許多錯誤，只好不斷的執行底下的這個指令，不斷重新安裝，直到正常安裝完畢為止！

brew install certbot

3. 透過certbot正式取得「免費憑證」：

www:inc brent$ sudo certbot certonly --manual -d www.insoler.com

Password:

Saving debug log to /var/log/letsencrypt/letsencrypt.log

Plugins selected: Authenticator manual, Installer None

Obtaining a new certificate

Performing the following challenges:

http-01 challenge for www.insoler.com

 

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

NOTE: The IP of this machine will be publicly logged as having requested this

certificate. If you're running certbot in manual mode on a machine that is not

your server, please ensure you're okay with that.

 

Are you OK with your IP being logged?

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

(Y)es/(N)o: y

 

 

在接下來的這個步驟，你必須在網站的根目錄底下建立一個.well-known以及acme-challenge的檔案夾。由於macOS上無法直接建立「句點」開頭的隱藏檔案夾，所以只能用終端機指令來建立「句點」開頭的隱藏檔案夾。

然後在acme-challenge檔案夾底下新增一個檔案名稱是AqdFQx_Mw61XclCrOggdXlVcWrs1VLPAgs7LTK6oujE（沒有副檔名）的純文字檔案，檔案內容是只有一行的加密文字「AqdFQx_Mw61XclCrOggdXlVcWrs1VLPAgs7LTK6oujE.iaVfwdA7KqqvUXc8PYzoXsiL1B1Xxj9LCASeGq04QGY」。

這個動作主要是用來證明你用有insoler網站的控制權，你可以在網站上建立加密檔案，來證明你擁有這個網站。不過，我非常懷疑，如果駭客入侵某個網站的Web Server主機，也在該網站上幫站長重新申請一個新的免費憑證，不知道會有什麼後果？

 

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Create a file containing just this data:

 

AqdFQx_Mw61XclCrOggdXlVcWrs1VLPAgs7LTK6oujE.iaVfwdA7KqqvUXc8PYzoXsiL1B1Xxj9LCASeGq04QGY

 

And make it available on your web server at this URL:

 

http ://www.insoler.com/.well-known/acme-challenge/AqdFQx_Mw61XclCrOggdXlVcWrs1VLPAgs7LTK6oujE

 

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Press Enter to Continue

Waiting for verification...

Cleaning up challenges

 

IMPORTANT NOTES:

 - Congratulations! Your certificate and chain have been saved at:

   /etc/letsencrypt/live/www.insoler.com/fullchain.pem

   Your key file has been saved at:

   /etc/letsencrypt/live/www.insoler.com/privkey.pem

   Your cert will expire on 2019-06-16. To obtain a new or tweaked

   version of this certificate in the future, simply run certbot

   again. To non-interactively renew *all* of your certificates, run

   "certbot renew"

 - If you like Certbot, please consider supporting our work by:

 

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate

   Donating to EFF:                    https://eff.org/donate-le

 

www:inc brent$

事實上，我先申請BNW的免費憑證來測試看看，但是不知道為什麼竟然失敗！我完全不知道原因出在哪裡？只好嘗試申請insoler的憑證看看，想不到一次就看到「Congratulations!」恭喜申請成功的訊息！

但是這個憑證只能用到「2019-06-16」為止，在過期以前，站長必須再回到終端機執行「certbot renew」指令來更新憑證！

事實上，我不但禁止Web Server主機上網，封鎖所有的網路埠，我甚至不信任Homebrew這種會從網路上下載一大堆我不知道是什麼內容的檔案！更不用說我更不相信certbot這種「bot」的機器人程式碼！

因此通常我都是在安裝好Homebrew以後，就會刪除整個檔案夾，當然也包括certbot！這樣的話，就算萬一Web Server被駭客入侵，駭客也無法直接利用現成的Homebrew工具，下載更多他想要的工具到網站主機上！

但是因為「免費憑證」的使用期限只有短短的3個月，每3個月就必須再回到終端機執行「certbot renew」指令來更新憑證！我只好保留Homebrew與certbot在BNW主機上。但是絕對不會安裝在insoler主機！

BNW網域即將在2019年5月到期，因此在5月以後，駭客也無法連上BNW網站，更不可能入侵！因此就算保留Homebrew與certbot在BNW主機上，應該也不會有任何的安全性問題。

我把certbot下載的「免費憑證」（放在/etc/letsencrypt/archive檔案夾裡面，總共有4個純文字檔案）複製到insoler以後，再使用Server 5.6.3的「匯入憑證」功能，把4個純文字檔案拖到Server視窗畫面上，就可以安裝好新的憑證，打開以後就像這樣：

當然，新的憑證必須可以用在HTTPS的SSL加密上才行！

這表示insoler已經成功的使用新的免費憑證，只不過有效期只有短短的3個月！

雖然說「3個月後到期」時間太短，常常需要更新憑證，有點麻煩。反正insoler的會員無人在意我們使用的SSL憑證是不是最安全、最頂級的「企業級EV憑證」還是「免費憑證」！當然，為了節省預算、開支，當然是選「免費憑證」繼續用5年、10年！