Certificate SSL în Linux - ce sunt și cum le instalezi

Dacă ai primit vreodată un avertisment de tipul „Conexiunea nu este securizată„ în navigator sau ai văzut un lacăt verde în bara de adrese, ai interacționat deja cu certificate SSL. Dar ce sunt mai exact și cum le gestionezi în Linux Mint?

Ce este un certificat SSL?

Un certificat SSL (sau TLS, în terminologia modernă) este un fișier digital care confirmă identitatea unui server și permite criptarea comunicației dintre tine și acel server. Practic, când accesezi un sit prin HTTPS, navigatorul verifică dacă certificatul serverului este semnat de o autoritate de certificare (CA - Certificate Authority) în care are încredere.

Sistemul de operare și navigatoarele vin cu o listă preinstalată de astfel de autorități de încredere - companii precum Let's Encrypt, DigiCert sau Comodo. Dacă un certificat este semnat de una dintre acestea, conexiunea este considerată sigură automat.

Fișierele cu extensia .crt sunt certificate în format text (Base64), pe care le poți deschide cu orice editor și vei vedea ceva de genul:

-----BEGIN CERTIFICATE-----
MIIDXTCCAkWgAwIBAgIJAMQ...
-----END CERTIFICATE-----

De ce ai nevoie să instalezi manual un certificat?

Există câteva situații frecvente în care trebuie să adaugi manual un certificat:

Accesezi un server intern din rețeaua locală sau a organizației tale, cu un certificat semnat de o CA proprie (nu una publică)
Rulezi servicii auto-găzduite (Nextcloud, Gitea, Vaultwarden etc.) cu certificate generate de tine
O aplicație sau un script refuză să se conecteze la un server și primești erori de tipul certificate verify failed

Instalare la nivel de sistem

Aceasta este metoda principală și afectează toate aplicațiile care folosesc magazinul de certificate al sistemului (curl, wget, Python, git și altele).

1. Copiază fișierul .crt în directorul destinat certificatelor externe:

sudo cp certificatul.crt /usr/local/share/ca-certificates/

2. Actualizează lista de certificate de încredere:

sudo update-ca-certificates

Dacă totul a mers bine, vei vedea un mesaj de tipul 1 added, 0 removed.

3. Verifici că a fost adăugat:

ls /etc/ssl/certs/ | grep numele-certificatului

Instalare în Firefox

Firefox nu folosește magazinul de certificate al sistemului - are propriul depozit intern. Trebuie să îl adaugi separat.

Prin interfață grafică (recomandat pentru începători):

Deschide Firefox și mergi la Preferințe → Confidențialitate și securitate
Derulează în jos până la secțiunea Certificate și apasă Vizualizare certificate
Selectează tab-ul Autorități și apasă Importare
Selectează fișierul .crt și bifează opțiunea de a avea încredere în certificat pentru identificarea siturilor web

Prin terminal, folosind utilitarul certutil:

sudo apt install libnss3-tools
certutil -A -n "NumeCertificat" -t "CT,," -i certificatul.crt -d sql:$HOME/.mozilla/firefox/*.default-release

Verificarea unui certificat

Dacă vrei să inspectezi un fișier .crt înainte de a-l instala, poți vedea detaliile lui cu:

openssl x509 -in certificatul.crt -text -noout

Vei vedea informații despre cine l-a emis, pentru ce domeniu este valabil și până când este activ.

Concluzie

Instalarea unui certificat în Linux Mint nu este complicată, dar e important să știi că sistemul și Firefox folosesc magazine de certificate separate. Pentru majoritatea situațiilor din viața de zi cu zi - servicii interne, servere auto-găzduite, rețele de organizații - metoda cu update-ca-certificates este suficientă. Firefox necesită un pas suplimentar.

Dacă după instalare tot primești erori SSL într-o aplicație specifică, verifică dacă aceasta are propriul mecanism de gestionare a certificatelor (Python, de exemplu, folosește uneori un bundle propriu).

linux, certificate, ssl, tls, linux-mint, securitate, tutorial