====== Certificate SSL în Linux - ce sunt și cum le instalezi ======

Dacă ai primit vreodată un avertisment de tipul „Conexiunea nu este securizată" în navigator sau ai văzut un lacăt verde în bara de adrese, ai interacționat deja cu certificate SSL. Dar ce sunt mai exact și cum le gestionezi în Linux Mint?

===== Ce este un certificat SSL? =====

Un certificat SSL (sau TLS, în terminologia modernă) este un fișier digital care confirmă identitatea unui server și permite criptarea comunicației dintre tine și acel server. Practic, când accesezi un sit prin HTTPS, navigatorul verifică dacă certificatul serverului este semnat de o autoritate de certificare (CA - Certificate Authority) în care are încredere.

Sistemul de operare și navigatoarele vin cu o listă preinstalată de astfel de autorități de încredere - companii precum Let's Encrypt, DigiCert sau Comodo. Dacă un certificat este semnat de una dintre acestea, conexiunea este considerată sigură automat.

Fișierele cu extensia ''.crt'' sunt certificate în format text (Base64), pe care le poți deschide cu orice editor și vei vedea ceva de genul:

<code>
-----BEGIN CERTIFICATE-----
MIIDXTCCAkWgAwIBAgIJAMQ...
-----END CERTIFICATE-----
</code>

===== De ce ai nevoie să instalezi manual un certificat? =====

Există câteva situații frecvente în care trebuie să adaugi manual un certificat:

  * Accesezi un server intern din rețeaua locală sau a organizației tale, cu un certificat semnat de o CA proprie (nu una publică)
  * Rulezi servicii auto-găzduite (Nextcloud, Gitea, Vaultwarden etc.) cu certificate generate de tine
  * O aplicație sau un script refuză să se conecteze la un server și primești erori de tipul ''certificate verify failed''

===== Instalare la nivel de sistem =====

Aceasta este metoda principală și afectează toate aplicațiile care folosesc magazinul de certificate al sistemului (curl, wget, Python, git și altele).

**1.** Copiază fișierul ''.crt'' în directorul destinat certificatelor externe:

<code bash>
sudo cp certificatul.crt /usr/local/share/ca-certificates/
</code>

**2.** Actualizează lista de certificate de încredere:

<code bash>
sudo update-ca-certificates
</code>

Dacă totul a mers bine, vei vedea un mesaj de tipul ''1 added, 0 removed''.

**3.** Verifici că a fost adăugat:

<code bash>
ls /etc/ssl/certs/ | grep numele-certificatului
</code>

===== Instalare în Firefox =====

Firefox nu folosește magazinul de certificate al sistemului - are propriul depozit intern. Trebuie să îl adaugi separat.

**Prin interfață grafică** (recomandat pentru începători):

  - Deschide Firefox și mergi la **Preferințe → Confidențialitate și securitate**
  - Derulează în jos până la secțiunea **Certificate** și apasă **Vizualizare certificate**
  - Selectează tab-ul **Autorități** și apasă **Importare**
  - Selectează fișierul ''.crt'' și bifează opțiunea de a avea încredere în certificat pentru identificarea siturilor web

**Prin terminal**, folosind utilitarul ''certutil'':

<code bash>
sudo apt install libnss3-tools
certutil -A -n "NumeCertificat" -t "CT,," -i certificatul.crt -d sql:$HOME/.mozilla/firefox/*.default-release
</code>

===== Verificarea unui certificat =====

Dacă vrei să inspectezi un fișier ''.crt'' înainte de a-l instala, poți vedea detaliile lui cu:

<code bash>
openssl x509 -in certificatul.crt -text -noout
</code>

Vei vedea informații despre cine l-a emis, pentru ce domeniu este valabil și până când este activ.

===== Concluzie =====

Instalarea unui certificat în Linux Mint nu este complicată, dar e important să știi că sistemul și Firefox folosesc magazine de certificate separate. Pentru majoritatea situațiilor din viața de zi cu zi - servicii interne, servere auto-găzduite, rețele de organizații - metoda cu ''update-ca-certificates'' este suficientă. Firefox necesită un pas suplimentar.

Dacă după instalare tot primești erori SSL într-o aplicație specifică, verifică dacă aceasta are propriul mecanism de gestionare a certificatelor (Python, de exemplu, folosește uneori un bundle propriu).

{{tag>linux certificate ssl tls linux-mint securitate tutorial}}