Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 85
Всё-таки для CSR я бы выбрал самостоятельную генерацию.
StartSSL давно и стабильно раздает бесплатные сертификаты.
только для некоммерческого использования
причем коммерческое оно или нет — они решают сами
вполне можно столкнуться с тем, что через год вам продлевать сертификат откажутся и попросят денег
причем коммерческое оно или нет — они решают сами
вполне можно столкнуться с тем, что через год вам продлевать сертификат откажутся и попросят денег
Хорошо, хоть для не коммерческого использования можно применять.
Если для коммерческого сайта, который приносит хотя бы 100 тысяч в год чистой прибыли, необходимо шифрование, то потратить порядка нескольких тысяч в год на сертификат — это не большая сумма.
Если для коммерческого сайта, который приносит хотя бы 100 тысяч в год чистой прибыли, необходимо шифрование, то потратить порядка нескольких тысяч в год на сертификат — это не большая сумма.
Там — недорого. $65 за любое количество сертификатов на три года (1 год работает возможность генерить сертификаты + 2 года — срок действия самих сертификатов). Итого — чуть меньше $22/год за сколько хочешь сертификатов.
А вы уверены, что только для некоммерческого? Сходу нету на сайте ничего такого вроде.
Например, они мне отказались выдавать сертификат, углядев в моём домашнем адресе (с номером квартиры, кстати) коммерческий адрес и попросили доказать обратное. Не поняв, как доказать, что я не верблюд, решил всё-таки купить сертификат у своего хостера.
Вот только у них геморрой с аутентификацией.
Сначала это незаметно. А вот когда срок сертификата аутентификации истекает, ты идёшь в FAQ и узнаёшь, что нужно регистрировать новую учётку и писать в саппорт, чтобы на неё перенесли твои домены.
Я на это дело посмотрел и пошёл покупать сертификат за деньги.
Так было около полутора-двух лет назад. Как дела сейчас обстоят — не знаю.
Сначала это незаметно. А вот когда срок сертификата аутентификации истекает, ты идёшь в FAQ и узнаёшь, что нужно регистрировать новую учётку и писать в саппорт, чтобы на неё перенесли твои домены.
Я на это дело посмотрел и пошёл покупать сертификат за деньги.
Так было около полутора-двух лет назад. Как дела сейчас обстоят — не знаю.
Можно просто обновить свой сертификат до того как он истек (в последний месяц вроде обновлять можно), тогда этой проблемы не возникает.
Когда я пользовался их сервисом, мне не приходило напоминаний, что надо продлить сертификат. Узнал по факту.
Я, конечно, понимаю, что можно поставить напоминание в календаре, но всё же. Мне было проще купить сертификат за ~$5, чем маяться с восстановлением. Было бы нужно несколько — может быть, остался бы с ними и экономил. Вот если wildcard нужен будет — скорее всего, обращусь к ним снова. А пока вот WoSign попробую.
Я, конечно, понимаю, что можно поставить напоминание в календаре, но всё же. Мне было проще купить сертификат за ~$5, чем маяться с восстановлением. Было бы нужно несколько — может быть, остался бы с ними и экономил. Вот если wildcard нужен будет — скорее всего, обращусь к ним снова. А пока вот WoSign попробую.
мне исправно приходят уведомления за 2 недели до кноца уже 3-й год,
и на сертификаты на email и на сертификаты на домены…
может уведомление порезало спам фильтром?
и на сертификаты на email и на сертификаты на домены…
может уведомление порезало спам фильтром?
может уведомление порезало спам фильтром?Кстати, Gmail режет уведомления от Certum. Если бы не выключенный спам-фильтр, было бы очень печально.
Че-то в свете того, что китайцы по-тихому взламывают в Интернете нужные им цели как-то ссыкотно у них сертификат заказывать.
Для получения ssl сертификата потребуется знание английского, работающий ящик администратора вашего домена и 15 свободных минут.Причём эти 15 минут уйдут на ожидание открытия страницы =)
Видимо, хабраэффект сработал, сейчас сайт долго тупит, а потом отдаёт 504 Gateway Time-out.
Было ж и совсем недавно — m.habrahabr.ru/post/249529/
Сгенерить сертификаты можно только один раз? Вдруг мне на ещё один поддомен понадобится сертификат, что делать в таком случае?
Там можно указать несколько доменов. Мне требовался только один, не проверял на сколько доменов можно генерировать. Но поле ввода у них достаточное для большого количества. Кто-то уже сделал себе на несколько доменов?
Отправил форму еще с утра, пока ничего на почту от них не пришло. В заявке указал около 6 поддоменов. Ждем-с
Вот, спустя сутки пришло письмо с ссылкой на сертификат. Действительно, для всех субдоменов — один сертификат. Порадовало что в итоговом архиве с сертификатом — уже всё подготовлено для различных серверов (apache, iis, nginx, tomcat, etc) — мелочь, как говорится, а приятно. SHA1 на 1 год, запустился сразу на тестовом домене (nginx)
Так при указании нескольких доменов выдается один общий сертификат на все. Т.е. если понадобилось отозвать сертификат (где-то читал, что они бесплатно отзывают, но не уверен) для какого-то домена, отзывается для всех сразу. По-моему, это не есть хорошо.
China? Joke.
Появился 4-й шаг при регистрации. Видимо сделали, чтобы не так быстро разбирали «горячие» SSL.
Не работает для.рф доменов, к сожалению
Кто подскажет, как довести до А+? результаты
А по поводу сертификатов — лучше потратиться, тем более траты не такие-то и большие для одного домена (а кому надо с поддоменами — это особый случай, но тут уже без оплаты маловероятно получить вменяемый сертификат с гарантией).
А по поводу сертификатов — лучше потратиться, тем более траты не такие-то и большие для одного домена (а кому надо с поддоменами — это особый случай, но тут уже без оплаты маловероятно получить вменяемый сертификат с гарантией).
В конфигурации nginx добавить:
add_header Strict-Transport-Security max-age=31536000;
31536000 как пример, столько секунд в году, и столько времени ваш сайт можно будет посещать только по HTTPS. Подробнее здесь. Как минимум нужно устанавливать 15768000 (полгода), с меньшим значением A+ не будет.
add_header Strict-Transport-Security max-age=31536000;
31536000 как пример, столько секунд в году, и столько времени ваш сайт можно будет посещать только по HTTPS. Подробнее здесь. Как минимум нужно устанавливать 15768000 (полгода), с меньшим значением A+ не будет.
Это уже есть:
часть конфига
listen 443 ssl deferred spdy;
#listen [::]:80 default ipv6only=on; ## listen for ipv6
ssl on;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate ssl/trustchain.pem;
ssl_certificate ssl/ssl-bundle.crt;
ssl_certificate_key ssl/andreil_by.key;
ssl_dhparam ssl/dhparam.pem;
ssl_session_cache shared:SSL:20m;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DES';
ssl_prefer_server_ciphers on;
resolver 8.8.8.8 [2001:4860:4860::8888];
add_header X-Frame-Options "SAMEORIGIN";
add_header X-Content-Type-Options "nosniff";
add_header Strict-Transport-Security "max-age=31536000";
add_header X-XSS-Protection "1; mode=block";
add_header Public-Key-Pins 'pin-sha256="[blah-blah]"; max-age=5184000;';
Хм, значит, надо будет пересобрать nginx…
Ну да, пересобрать… Или просто поместить пустой index.html, чтобы nginx отдавал заголовки, как я вам в личке написал.
В вашем случае ещё и вместо промежуточного отдаётся корневой сертификат, цепочка неправильная, об этом тоже писал.
В вашем случае ещё и вместо промежуточного отдаётся корневой сертификат, цепочка неправильная, об этом тоже писал.
Возможно, дело в другом:
Т.е. если вы добавите хотя бы один add_header в location, перестанут работат add_header, указанные выше (в блоках server и http).
Против этого может помочь плагин headers-more с директивой more_set_headers.
Эти директивы складываются с предыдущими уровнями, а не заменяются.
Директивы [add_header] наследуются с предыдущего уровня при условии, что на данном уровне не описаны свои директивы add_header.nginx.org/ru/docs/http/ngx_http_headers_module.html#add_header
Т.е. если вы добавите хотя бы один add_header в location, перестанут работат add_header, указанные выше (в блоках server и http).
Против этого может помочь плагин headers-more с директивой more_set_headers.
Эти директивы складываются с предыдущими уровнями, а не заменяются.
Дорогие хабравчане. Родненькие!
Прекратите хабраэффект!
Прекратите хабраэффект!
Там теперь аккаунт на WoSign требуют, а регистрация только на китайском. В общем кончилась раздача слонов :)
Описание регистрации прекрасно описано в этом комментарии: habrahabr.ru/post/249529/#comment_8260181
Регистрация проходит на ура. Сертификаты раздаются. Только одно но… гугл переводчик неверно мне перевел ссылку, где скачать сертификат)))
Бродил около него пару часов… потом решил удалить и без регистрации заказать, там на почту приходит ссылка на архив… а тут на тебе)
Бродил около него пару часов… потом решил удалить и без регистрации заказать, там на почту приходит ссылка на архив… а тут на тебе)
Про buy.wosign.com/free/ выяснилась некоторая вещь.
Заказывал ssl-сертификат, на этапе валидации домена нужно ввести валидационный емейл.
Создал на своем почтовом сервере адрес admin@mydomain, валидировал домен на него, больше нигде этот емейл не светил.
Через час после валидации (и после создания) на этот емейл пришёл спам.
Причем русскоязычный, родной такой спам.
Заказывал ssl-сертификат, на этапе валидации домена нужно ввести валидационный емейл.
Создал на своем почтовом сервере адрес admin@mydomain, валидировал домен на него, больше нигде этот емейл не светил.
Через час после валидации (и после создания) на этот емейл пришёл спам.
Причем русскоязычный, родной такой спам.
Не думаю, что это связано с WoSign, скорее это перебор почтовых адресов для спам рассылки.
Если бы создали адрес типо beleberda@mydomain, то ничего бы не пришло.
webmaster, admin, derector, info, noreplay и т.д. являются довольно стандартными и часто используются.
Если бы создали адрес типо beleberda@mydomain, то ничего бы не пришло.
webmaster, admin, derector, info, noreplay и т.д. являются довольно стандартными и часто используются.
Я создал адрес webmaster@домен.сом — спама нет, возможно с admin вам просто повезло
Теперь выдают аж на 3 года.
Тоже решил воспользоваться этим СЦ. Вроде норм. Получил сертификат на 3 года на несколько доменов. Столкнулся с небольшой трудностью — не могу найти как подключить (получить для начала) промежуточные сертификаты. А так же как сделать поддержку OCSP. Домен на проверке выдаёт C. Выше никак ((
Может кто даст толковое объяснение как это всё настроить?
Вот конфиг
server {
listen 443 ssl spdy;
server_name kai-zer.ru;
root /path/to/root;
index index.php;
add_header Strict-Transport-Security max-age=31536000;
ssl on;
ssl_protocols TLSv1 TLSv1.2 TLSv1.2;
ssl_session_cache shared:SSL:20m;
ssl_session_timeout 10m;
ssl_certificate /root/ssl/1_kai-zer.ru_bundle.crt;
ssl_certificate_key /root/ssl/2_kai-zer.ru.key;
ssl_ciphers 'EECDH+ECDSA+AESGCM:AES128+EECDH:AES128+EDH:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!CAMELLIA:!ADH';
ssl_prefer_server_ciphers on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 10s;
add_header X-Frame-Options «DENY»;
add_header X-Content-Type-Options «nosniff»;
add_header Strict-Transport-Security «max-age=31536000»;
add_header Public-Key-Pins 'pin-sha256=«5R/vW29oE/61kwZ2ITx5YCY7tesJlPGcYnd+C3+/JF0=»; max-age=5184000;';
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /root/ssl/trustchain.pem;
ssl_stapling_responder ocsp2.wosign.cn/ca2g2/server1/free;
ssl_dhparam /root/ssl/dh.pem;
location / {
index index.php;
}
location ~ \.php$ {
include fastcgi_params;
fastcgi_pass unix:/var/run/php5-fpm.sock;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
}
}
listen 443 ssl spdy;
server_name kai-zer.ru;
root /path/to/root;
index index.php;
add_header Strict-Transport-Security max-age=31536000;
ssl on;
ssl_protocols TLSv1 TLSv1.2 TLSv1.2;
ssl_session_cache shared:SSL:20m;
ssl_session_timeout 10m;
ssl_certificate /root/ssl/1_kai-zer.ru_bundle.crt;
ssl_certificate_key /root/ssl/2_kai-zer.ru.key;
ssl_ciphers 'EECDH+ECDSA+AESGCM:AES128+EECDH:AES128+EDH:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!CAMELLIA:!ADH';
ssl_prefer_server_ciphers on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 10s;
add_header X-Frame-Options «DENY»;
add_header X-Content-Type-Options «nosniff»;
add_header Strict-Transport-Security «max-age=31536000»;
add_header Public-Key-Pins 'pin-sha256=«5R/vW29oE/61kwZ2ITx5YCY7tesJlPGcYnd+C3+/JF0=»; max-age=5184000;';
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /root/ssl/trustchain.pem;
ssl_stapling_responder ocsp2.wosign.cn/ca2g2/server1/free;
ssl_dhparam /root/ssl/dh.pem;
location / {
index index.php;
}
location ~ \.php$ {
include fastcgi_params;
fastcgi_pass unix:/var/run/php5-fpm.sock;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
}
}
Может кто даст толковое объяснение как это всё настроить?
Пробовал вообще простым способом
Так всё ещё хуже.
Пробовал добавлять корневой сертификат — тоже самое. Лучше не становится. Уровень С — это максимум. С вот такими ответами =(
вот так
ssl on;
ssl_certificate /root/ssl/1_kai-zer.ru_bundle.crt;
ssl_certificate_key /root/ssl/2_kai-zer.ru.key;
ssl_certificate /root/ssl/1_kai-zer.ru_bundle.crt;
ssl_certificate_key /root/ssl/2_kai-zer.ru.key;
Так всё ещё хуже.
Пробовал добавлять корневой сертификат — тоже самое. Лучше не становится. Уровень С — это максимум. С вот такими ответами =(
Попробуй так
в server добавь
ssl on;
ssl_certificate key.crt;
ssl_certificate_key key.key;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers «RC4:HIGH:!aNULL:!MD5:!kEDH»;
add_header Strict-Transport-Security 'max-age=604800';
А в http добавь
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;
ssl_prefer_server_ciphers on;
ssl_stapling on;
resolver 8.8.8.8;
в server добавь
ssl on;
ssl_certificate key.crt;
ssl_certificate_key key.key;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers «RC4:HIGH:!aNULL:!MD5:!kEDH»;
add_header Strict-Transport-Security 'max-age=604800';
А в http добавь
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;
ssl_prefer_server_ciphers on;
ssl_stapling on;
resolver 8.8.8.8;
Спасибо )) Теперь выдаёт А+. Возьму на заметку. Осталось решить с OCSP stapling.
У nginx OCSP stapling работает странно. Читал, что обязательно включить его на всех виртуальных хостах, для которых включен SSL. Иначе работать не будет.
Сделал как описано тут:
А всё равно тестер пишет NO.
www.ssllabs.com/ssltest/analyze.html?d=kai-zer.ru&hideResults=off
А всё равно тестер пишет NO.
www.ssllabs.com/ssltest/analyze.html?d=kai-zer.ru&hideResults=off
Мне хватило ssl_stapling on;
www.ssllabs.com/ssltest/analyze.html?d=files.ultracoder.org
www.ssllabs.com/ssltest/analyze.html?d=files.ultracoder.org
При включённом SSL3 максимум можно получить только B или C. Да, и почему наивысший приоритет шифру RC4, использование которого запрещено?
HSTS со сроком в неделю вместо года, но по сравнению с тем, что выше, это уже мелочь :).
HSTS со сроком в неделю вместо года, но по сравнению с тем, что выше, это уже мелочь :).
Ребят, подскажите пожалуйста, есть ли какие-то норм бесплатные альтернативы?
У них теперь ошибка:
Sorry, due to some security consideration,
WoSign decide to close the free SSL certificate application temporarily. Sept. 29th 2016.
У них теперь ошибка:
Sorry, due to some security consideration,
WoSign decide to close the free SSL certificate application temporarily. Sept. 29th 2016.
Как вариант еще: StartSSL
кто посоветует, что делать?
начал когда то процедуру получения сертификата, пришла ссылка на почтовый ящик о его получении, ну я и подзабил. Сейчас понадобился. Перехожу по ссылке и не могу подобрать пароль на сертификат.
http://prntscr.com/e9z5xu
Хочу восстановить — сука, капча на китайском блть )
http://prntscr.com/e9z6o2
кто сможет ввести капчу?)
начал когда то процедуру получения сертификата, пришла ссылка на почтовый ящик о его получении, ну я и подзабил. Сейчас понадобился. Перехожу по ссылке и не могу подобрать пароль на сертификат.
http://prntscr.com/e9z5xu
Хочу восстановить — сука, капча на китайском блть )
http://prntscr.com/e9z6o2
кто сможет ввести капчу?)
Статья была написана несколько лет назад, так что тут этот вопрос немного не уместен.
хм… ну, полученный на одном домене на 2 года работает нормально, в хроме и файерфоксе
Мои сертификаты тоже работают. А эта контора больше не выдаёт сертификаты
Нет, сертификаты уже не работают в бета-версии Chrome 57+ и не будут в ближайшей версии Firefox.
Остается мало времени до того, как выйдет новый релиз браузеров. Лучше поторопиться.
Отличная альтернатива Let's Encrypt — Free SSL/TLS Certificates.
Можно настроить на сервере, чтобы сертификаты обновлялись автоматически каждые 3 месяца, например используя `certbot`. Virtualmin так же может автоматически обновлять сертификаты LetsEncrypt.
Остается мало времени до того, как выйдет новый релиз браузеров. Лучше поторопиться.
Отличная альтернатива Let's Encrypt — Free SSL/TLS Certificates.
Можно настроить на сервере, чтобы сертификаты обновлялись автоматически каждые 3 месяца, например используя `certbot`. Virtualmin так же может автоматически обновлять сертификаты LetsEncrypt.
WoSign — нет. Let's Encrypt — да.
можете подсказать?
у меня много поддоменов, свой dns. Часть на одном сервере, часть — на отдельных серверах с отдельными адресами.
Могу ли я автоматизировать все это дело с сертификатами?
Стоит centos 6.x, apache.
Хотелось бы пример/алгоритм, хотя бы по одному доменному имени вида subname.name.ru на отдельном сервере.
Я так понимаю, мне бы помог wildcard сертификат, но они дорогие зараза.
у меня много поддоменов, свой dns. Часть на одном сервере, часть — на отдельных серверах с отдельными адресами.
Могу ли я автоматизировать все это дело с сертификатами?
Стоит centos 6.x, apache.
Хотелось бы пример/алгоритм, хотя бы по одному доменному имени вида subname.name.ru на отдельном сервере.
Я так понимаю, мне бы помог wildcard сертификат, но они дорогие зараза.
https://letsencrypt.org/ рассказывает о вагоне и маленькой тележке способов автоматизации на большинстве ЯП
Да, можно автоматизировать. Как уже написали на сайте letsencrypt.org есть достаточное количество информации, как настроить cron для автоматической процедуры выдачи сертификатов каждые 3 месяца.
Мы пользуемся Webmin+Virtualmin. Там все просто. Импортировал виртуальный-сервер (домен), зашел в настройки SSL и добавил LetsEncrypt SSL сертификат. Указать нужно только сам доменпервого уровня + те домены третьего уровня, которые будут использоваться. Здесь важно понимать, что стандартная процедура верификации домена происходит за счет помещения в корневой каталог сайта ключа идентификации в папку .well-known, поэтому все те домены на которые вы хотите получить сертификат должны открываться через браузер, например `http://sub1.domain.com/.well-known/.....`, другими словами они должны быть прописаны в DNS и HTTPd.
Скачать Webmin можно здесь и GPL версию Virtualmin с здесь.
Там 5 минут настройки и все готово. Сертификаты живут только 3 месяца, поэтому в поле как часто обновлять сертификаты должно быть значение меньше или равно трем.
Мы пользуемся Webmin+Virtualmin. Там все просто. Импортировал виртуальный-сервер (домен), зашел в настройки SSL и добавил LetsEncrypt SSL сертификат. Указать нужно только сам доменпервого уровня + те домены третьего уровня, которые будут использоваться. Здесь важно понимать, что стандартная процедура верификации домена происходит за счет помещения в корневой каталог сайта ключа идентификации в папку .well-known, поэтому все те домены на которые вы хотите получить сертификат должны открываться через браузер, например `http://sub1.domain.com/.well-known/.....`, другими словами они должны быть прописаны в DNS и HTTPd.
Скачать Webmin можно здесь и GPL версию Virtualmin с здесь.
Там 5 минут настройки и все готово. Сертификаты живут только 3 месяца, поэтому в поле как часто обновлять сертификаты должно быть значение меньше или равно трем.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Бесплатные SSL-сертификаты на 2 года от WoSign