che rende impossibile l’utilizzo di cPanel. Lo screenshot evidenzia l’errore ottenuto utilizzando il browser chrome ver. 79.xx con Debian 10 stable.
cPanel Your ip has changed – Browser Chrome 79.xx – Debian 10
Significa che si sta con tutta probabilità utilizzando una connessione che cPanel non considera sufficientemente sicura ad esempio per cambi troppo frequenti nel numero ip assegnato dal provider quando si accede ad internet.
Esistono diverse soluzioni al problema per quanto mi riguarda consiglio di di utilizzare un browser come il TOR-browser. Il browser in questione usando la rete TOR che ha ip di uscita adeguatemente stabili non creerà incertezze a cPanel sul numero ip con il quale viene raggiunto Questa è anche un’occasione per fare pratica con un browser che ha il vantaggio di consentire la navigazione anonima ( quasi). Il TOR-browser basato su firefox paga solo il pegno di una navigazione più lenta tuttavia in una rete in cui oramai tutto è ultra tracciato e controllato un po’ di pratica con un interessante browser anonimizzante può essere utile.
Tor Browser 9.xx
Ecco la pagina main di cPanel disponibile grazie a TOR Browser. La connessione utilizzata è la stessa che provocava l’errore con il browser chrome mostrata a inizio pagina.
cPanel 11 Main Page – accesso utilizzando TOR Browser 9.xx
Alcune diverse alternative per risolvere il problema : – farsi assegnare e quindi utilizzare un IP statico, – disattivare o farsi disattivare il controllo di sicurezza basato sulla “cookie IP validation” – cambiare ISP … direi eccessivo 🙂 – a pensarci bene ritengo che anche un tunnel ssh utilizzando un server pubblico
Let’s encrypt è un autorità di certificazione che, con l’obiettivo di riuscire a cifrare tutte le comunicazioni sul web, offre gratuitamente certificati per il protocollo SSL/TLS. Il protocollo https è un esempio di applicazione del protocollo crittografico TLS/SSL. ACME ( Automated Certificate Management Environment ) è il protocollo utilizzato da Let’s Encript per l’autenticazione e il rilascio dei certificati.
Da marzo 2018 Let’s Encrypt offre gratuitamente anche i certificati Wildcard. Il certificato Wildcard che vale per domini del tipo *.dominio.it prende il nome proprio dal carattere jolly * in inglese Wildcard. Il certicato Wildcard è di grande comodità con un solo certificato di tipo *.dominio.it è possibile infatti certificare tutti i sottodomini del tipo xxxx.dominio.it.
La procedura per installare certificati wildcard letsencrypt si differenzia da quella descritta in Certificato SSL/TLS gratuito con Let’s Encrypt e installazione in cpanel – provider Arvixe – linux per un maggior numero di dettagli: più immagini, più blocchi di terminale. Gli scripts script riferiti alla fase di rinnovo. Nel caso del certificato Wildcard invece di utilizzare un file per autenticare la proprietà del dominio è necessario aggiungere un record DNS TXT con nome e valore fornito da let’s encrypt.
In debian sono disponibili diversi applicativi per la gestione dei certificati ACME in questo caso verrà utilizzato certbot (python) che è quello consigliato, al momento, da Let’s Encrypt.
Certbot
L’installazione di certbot da terminale è di tipo tradizionale
su apt install certbot
Oltre a certbot verranno installati anche una serie di pacchetti python. Il linguaggio in cui certbot è sviluppato.
Per la generazione del certificati utilizzare il comando per la generazione manuale degli stessi con alcuni parametri aggiuntivi
sudo certbot certonly --manual --preferred-challenges=dns --server https://acme-v02.api.letsencrypt.org/directory
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator manual, Installer None
Please enter in your domain name(s) (comma and/or space separated) (Enter 'c'
to cancel): siagri.net, *.siagri.net
Cert is due for renewal, auto-renewing...
Renewing an existing certificate
Performing the following challenges:
dns-01 challenge for siagri.net
dns-01 challenge for siagri.net
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
NOTE: The IP of this machine will be publicly logged as having requested this
certificate. If you're running certbot in manual mode on a machine that is not
your server, please ensure you're okay with that.
Are you OK with your IP being logged?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: Y
la verifica della disponibilità diretta (proprietà) del dominio avviene con l’aggiunta di un record TXT alle impostazioni DNS. In questo caso trattandosi di 2 domini due saranno i record da aggiungere del tipo: Name= _acme-challenge.nome-dominio.xxx Type = TXT Record = XXXXXXXXXXXXXXXXXXXXXXXXXX
a terminale avremo:
Please deploy a DNS TXT record under the name
_acme-challenge.siagri.net with the following value:
cTN5jWrb5h4usxn9B8gTO1Gavvs2ZUdHQmNU_MIrQWQ
Before continuing, verify the record is deployed.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Press Enter to Continue
(This must be set up in addition to the previous challenges; do not remove,
replace, or undo the previous challenge tasks yet. Note that you might be
asked to create multiple distinct TXT records with the same name. This is
permitted by DNS standards.)
Utilizzando cPanel è possibile aggiungere il record TXT alle impostazioni DNS
Precedente record TXT in cpanel
Sostituzione del valore comunicato nei record TXT
prima di premere [Enter] e avviare la verifica conviene accertarsi che i record TXT siano effettivamente disponibili. In questo caso anche una decina di minuti. Il tempo dipende dall’impostazione TTL.
E’ possibile verificare la disponibilità dei record TXT con il comando host:
host -a _acme-challenge.siagri.net
Trying "_acme-challenge.siagri.net"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53558
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;_acme-challenge.siagri.net. IN ANY
;; ANSWER SECTION:
_acme-challenge.siagri.net. 599 IN TXT "nurUeHu_DSfm0l8kU9y9SrzGDzvr4wwvZFzWvcPDXxs"
_acme-challenge.siagri.net. 599 IN TXT "I7NjTUZYZbH_fv-Znj0ML8SJcJc-EbOiMGQwKSHG5Gk"
Received 156 bytes from 8.8.8.8#53 in 137 ms
premetere Entere verrà comunicato il secondo Record TXT. E cambiare anche il secondo Record TXT. con Host possiamo verificare che ambedue i record TXT sono quelli indicati le letsencrypt.
host -a _acme-challenge.siagri.net
Trying "_acme-challenge.siagri.net"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31089
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;_acme-challenge.siagri.net. IN ANY
;; ANSWER SECTION:
_acme-challenge.siagri.net. 599 IN TXT "I7NjTUZYZbH_fv-Znj0ML8SJcJc-EbOiMGQwKSHG5Gk"
_acme-challenge.siagri.net. 599 IN TXT "oyUu6-NK4PEK0IhQNhR96FgqXAk_Jp3kMKb4qh0Oyvc"
Received 156 bytes from 8.8.8.8#53 in 178 ms
Al termine la cartella /etc/letsencrypt si popolerà con il certificato e la full chain come indicato nel messaggio che appare a video.
Before continuing, verify the record is deployed.
(This must be set up in addition to the previous challenges; do not remove,
replace, or undo the previous challenge tasks yet. Note that you might be
asked to create multiple distinct TXT records with the same name. This is
permitted by DNS standards.)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Press Enter to Continue
Waiting for verification...
Cleaning up challenges
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/siagri.net/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/siagri.net/privkey.pem
Your cert will expire on 2020-07-03. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
"certbot renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
Al termine la cartella /etc/letsencrypt si popolerà con il certificato e la full chain come indicato nel messaggio che appare a video.
Installazione certificato SSL/TLS Let’S Encrypt con cPanel
Con un taglia incolla andranno caricati il certificato ( file cert.pem ) e la Private Key ( file privkey.pem ). Opzionale chain.pem in Certificate: Authority
Se tutto va correttamente avremo il messaggio SSL Certificate Successfully …
Qualora di aggiungano nuovi sottodomini sarà sufficiente richiamare il certificato già installato per poter abilitare il protocollo https:
L’unica nota non positiva dei certificati Let’s Encrypt è che gli stessi non hanno durata annuale ma di soli 90 giorni con i wildcard è ampiamente compensata.
Let’s encrypt è un autorità di certificazione che, con l’obiettivo di riuscire a cifrare tutte le comunicazioni sul web, offre gratuitamente certificati per il protocollo SSL/TLS. Il protocollo https è un esempio di applicazione del protocollo crittografico TLS/SSL. ACME ( Automated Certificate Management Environment ) è il protocollo utilizzato da Let’s Encript per l’autenticazione e il rilascio dei certificati.
Da marzo 2018 Let’s Encrypt offre gratuitamente anche i certificati Wildcard. Il certificato Wildcard che vale per domini del tipo *.dominio.it prende il nome proprio dal carattere jolly * in inglese Wildcard. Il certicato Wildcard è di grande comodità con un solo certificato di tipo *.dominio.it è possibile infatti certificare tutti i sottodomini del tipo xxxx.dominio.it.
In debian sono disponibili diversi applicativi per la gestione dei certificati ACME in questo caso verrà utilizzato certbot (python) che è quello consigliato, al momento, da Let’s Encrypt.
Certbot
L’installazione di certbot da terminale è di tipo tradizionale
su apt install certbot
Oltre a certbot verranno installati anche una serie di pacchetti python. Il linguaggio in cui certbot è sviluppato.
Per la generazione del certificati utilizzare il comando per la generazione manuale degli stessi con alcuni parametri aggiuntivi
# certbot certonly --manual
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Enter email address (used for urgent renewal and security notices) (Enter 'c' to
cancel):xxxxx@xxxxx.xx
-------------------------------------------------------------------------------
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must agree in order to register with the ACME server at https://acme-v01.api.letsencrypt.org/directory
-------------------------------------------------------------------------------
(A)gree/(C)ancel: A
Please enter in your domain name(s) (comma and/or space separated) (Enter 'c'
to cancel):siagri.net, *.siagri.net
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for siagri.net
http-01 challenge for www.siagri.net
-------------------------------------------------------------------------------
NOTE: The IP of this machine will be publicly logged as having requested this certificate. If you're running certbot in manual mode on a machine that is notyour server, please ensure you're okay with that.
Are you OK with your IP being logged?
-------------------------------------------------------------------------------
(Y)es/(N)o: Y
la verifica della disponibilità diretta (proprietà) del dominio avviene con l’aggiunta di un record TXT alle impostazioni DNS. In questo caso trattandosi di 2 domini due saranno i record da aggiungere del tipo: Name= _acme-challenge.nome-dominio.xxx Type = TXT Record = XXXXXXXXXXXXXXXXXXXXXXXXXX
a terminale avremo:
Please deploy a DNS TXT record under the name
_acme-challenge.siagri.net with the following value:
cTN5jWrb5h4usxn9B8gTO1Gavvs2ZUdHQmNU_MIrQWQ
Before continuing, verify the record is deployed.
(This must be set up in addition to the previous challenges; do not remove,
replace, or undo the previous challenge tasks yet. Note that you might be
asked to create multiple distinct TXT records with the same name. This is
permitted by DNS standards.)
Utilizzando cPanel è possibile aggiungere il record TXT alle impostazioni DNS
prima di premere [Enter] e avviare la verifica conviene accertarsi che i record TXT siano effettivamente disponibili. In questo caso anche una decina di minuti. Il tempo dipende dall’impostazione TTL.
E’ possibile verificare la disponibilità dei record TXT con il comando host:
# host -a _acme-challenge.siagri.net
Trying "_acme-challenge.siagri.net"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12061
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;_acme-challenge.siagri.net. IN ANY
;; ANSWER SECTION:
_acme-challenge.siagri.net. 21531 IN TXT "cTN5jWrb5h4usxn9B8gTO1Gavvs2ZUdHQmNU_MIrQWQ"
_acme-challenge.siagri.net. 21531 IN TXT "iBOBItw3dpNWHGynOSeCgWzdZKl5_0Na4cpn0yJB-T0"
Received 156 bytes from 8.8.8.8#53 in 72 ms
Al termine la cartella /etc/letsencrypt si popolerà con il certificato e la full chain come indicato nel messaggio che appare a video.
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/siagri.net/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/siagri.net/privkey.pem
Your cert will expire on 2019-10-11. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
"certbot renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
Installazione certificato SSL/TLS Let’S Encrypt con cPanel
Con un taglia incolla andranno caricati il certificato ( file cert.pem ) e la Private Key ( file privkey.pem ). Opzionale chain.pem in Certificate: Authority
Se tutto va correttamente avremo il messaggio SSL Certificate Successfully …
Qualora di aggiungano nuovi sottodomini sarà sufficiente richiamare il certificato già installato per poter abilitare il protocollo https:
L’unica nota non positiva dei certificati Let’s Encrypt è che gli stessi non hanno durata annuale ma di soli 90 giorni con i wildcard è ampiamente compensata.
Let’s encrypt è un autorità di certificazione che, con l’obiettivo di riuscire a cifrare tutte le comunicazioni sul web, offre gratuitamente certificati per il protocollo TLS. Il Trasport Layer Security(TLS) e il precursore SSL ( Secure Sockets Layer ) consentono comunicazioni sicure su reti TCP/IP come internet. Il protocollo https è un esempio di applicazione del protocollo crittografico TLS/SSL. ACME ( Automated Certificate Management Environment ) è il protocollo utilizzato da Let’s Encript per l’autenticazione e il rilascio dei certificati.
Se si considera che Let’s Encrypt offre i certificati gratuitamente, che oramai è altamente consigliato adottare il protocollo https e che Google nel 2017 ha promesso di premiare nell’indicizzazione i siti https ecco che i certificati di Let’ Encrypt risultano estremamenti comodi e utili sopratutto per i siti personali.
Di seguito la procedura per generare e installare certificati letsencrypt su domini ospitati presso il provider Arvixe che utilizza cpanel come strumento di amministrazione dei vari servizi di web hosting.
In debian sono disponibili diversi applicativi per la gestione dei certificati ACME in questo caso verrà utilizzato certbot ( python) .
Certbot
L’installazione di certbot da terminale è di tipo tradizionale
su apt install certbot
Oltre a certbot verranno installati anche una serie di pacchetti python. Il linguaggio in cui certbot è sviluppato.
Per la generazione del certificati utilizzare il comando per la generazione manuale degli stessi.
# certbot certonly –manual
# certbot certonly --manual
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Enter email address (used for urgent renewal and security notices) (Enter 'c' to
cancel):xxxxx@xxxxx.xx
-------------------------------------------------------------------------------
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must agree in order to register with the ACME server at https://acme-v01.api.letsencrypt.org/directory
-------------------------------------------------------------------------------
(A)gree/(C)ancel: A
Please enter in your domain name(s) (comma and/or space separated) (Enter 'c'
to cancel):siagri.net, www.siagri.net
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for siagri.net
http-01 challenge for www.siagri.net
-------------------------------------------------------------------------------
NOTE: The IP of this machine will be publicly logged as having requested this certificate. If you're running certbot in manual mode on a machine that is notyour server, please ensure you're okay with that.
Are you OK with your IP being logged?
-------------------------------------------------------------------------------
(Y)es/(N)o: Y
la verifica della disponibilità diretta (proprietà) del dominio avviene con il caricamento di piccolo file di testo di cui vengono comunicati nome e contenuto. In questo caso poichè vengono richiesti due certificati due saranno anche i piccoli file di testo comunicati e da caricare sul server
Bw5KW-y0qJgLMIn7c-IUc8oowqXhicveZYaRaVu14dw.DBdDaNi_BBF_J7FbGvBFEWowiqyGDrsusDvUHdfr9tk
...
-------------------------------------------------------------------------------
Press Enter to Continue
Utilizzando il file manager di cPanel è possibile caricare o comunque generare il file Bw5KW-y0qJgLMIn7c-IUc8oowqXhicveZYaRaVu14dw che avrà come contenuto la stringa: IUc8oowqXhicveZYaRaVu14dw.DBdDaNi_BBF_J7FbGvBFEWowiqyGDrsusDvUHdfr9tk il file dovrà trovarsi come indicato nella directory
public_html/.well-known/acme-challenge
prima di premere [Enter] per la verifica conviene accertarsi che il file sia effettivamente raggiugibile e mostri il contenuto con ad esempio
Al termine la cartella /etc/letsencrypt si popolerà con il certificato e la full chain come indicato nel messaggio che appare a video.
Waiting for verification...
Cleaning up challenges
Generating key (2048 bits): /etc/letsencrypt/keys/0000_key-certbot.pem
Creating CSR: /etc/letsencrypt/csr/0000_csr-certbot.pem
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/siagri.net/fullchain.pem. Your cert will expire on 2018-5-04. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
Installazione certificato SSL/TLS Let’S Encrypt con cPanel
Adesso che si dispone dei certificati SSL/TLS gli stessi vanno installati utilizzano Manage SSL Sites in cPanel
Con un taglia incolla andranno caricati il certificato ( file cert.pem ) e la Private Key ( file privkey.pem ). Opzionale chain.pem in Certificate: Authority
Se tutto va correttamente avremo il messaggio SSL Certificate Successfully …
L’unica nota negativa dei certificati Let’s Encrypt è che gli stessi non hanno durata annuale ma di soli 90 giorni.
assegnare i permessi ai certificati consigliato 600
chmod 600 /etc/apache2/ssl/apache.*
Adesso è necessario configurare apache perchè stia in ascolto sulla porta 443 la porta di default per il protocollo https:
vi /etc/apache2/ports.conf
# If you just change the port or add more ports here, you will likely also
# have to change the VirtualHost statement in
# /etc/apache2/sites-enabled/000-default.conf
Listen 80
<IfModule ssl_module>
Listen 443
</IfModule>
<IfModule mod_gnutls.c>
Listen 443
</IfModule>
La configurazione del virtual host di default che fornisce i dati tramite il protocollo https è presente nel file
/etc/apache2/sites-available/default-ssl
Da modificare secondo le proprie esigenze attenzione alla presenza di
<VirtualHost *:443>
Per abilitare l’host virtuale digitare:
a2ensite default-ssl
Verrà inserito un link simbolico nella directory
/etc/apache2/sites-enabled/default-ssl
al file
/etc/apache2/sites-available/default-ssl
Le modiciche saranno disponibili a seguito del riavvio del server o con il comando
service apache2 reload
L’accesso utilizzando il protocollo 443 determinerà comunque un messaggio di warning da parte del browser. Il certificato infatti essendo stato generato autonomamente e non acquistato da una autority riconosciuta viene intepretato come insicuro.