HTTPS je standard. Let’s Encrypt + Certbot = automatické SSL za minuty.
Instalace¶
sudo apt install certbot python3-certbot-nginx
Certifikát¶
sudo certbot –nginx -d example.com -d www.example.com sudo certbot renew –dry-run
Konfigurace¶
server { listen 443 ssl http2; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; } server { listen 80; return 301 https://$server_name$request_uri; }
Automatická obnova a best practices¶
Certbot automaticky nastaví cron job pro obnovu certifikátů — Let’s Encrypt certifikáty jsou platné 90 dní a obnovují se 30 dní před expirací. Příkaz certbot renew --dry-run ověří, že automatická obnova funguje správně. Pro wildcard certifikáty (*.example.com) potřebujete DNS challenge místo HTTP challenge.
Pro produkční nasazení doporučujeme SSL konfiguraci s moderními cipher suites, HSTS hlavičkou a OCSP stapling. Mozilla SSL Configuration Generator vygeneruje optimální Nginx/Apache konfiguraci pro váš use case. V kontejnerovém prostředí zvažte Traefik nebo Caddy, které automaticky získávají a obnovují Let’s Encrypt certifikáty bez manuální konfigurace Certbotu.
HTTPS pro všechny¶
Certbot — zadarmo a automaticky. Nastavte jednou, zapomeňte.