Pull to refresh

Comments 80

Вроде как Google (их браузер) начал блочить сайты с китайскими сертификатами. Или я что-то путаю?
Вы путаете. вот мой проект на котором стоит WoSing сертификат, fktpm.ru, проверьте. Я использую Google Chrome и Firefox.
Ну сейчас они и должны работать, гугл сказал что даст вебмастерам время перейти на другие сертификаты. Ну если комментатор ниже говорит что проблема только с «China Internet Network Information Center», тогда претензий нет.
Да уж, пуделек машет хвостиком и готов принять нового хозяина :D
Оу, дак это сайт Факультета Компьютерных Технологий и Прикладной Математики.
Ну, не серьезно как-то
И чего там хорошего, я не очень понял?
Это был сарказм.
С рейтинг — мал,
SSL3 включен — POODLE уязвимость,
OCSP нет,
HPKP нет
несколько слабых шифров (возможно для поддержки старых браузеров)
Для A+ не требуется OCSP-сшивание, да и всё равно вы его не реализовали, потому что логика nginx такая, что чтобы оно работало на виртуальном хосте, оно обязательно должно быть на дефолтном тоже, в вашем случае это api.fktpm.ru.
www.ssllabs.com/ssltest/analyze.html?d=api.fktpm.ru&hideResults=on
OCSP stapling No
OCSP stapling для китайца срабатывает со 2-3 раза. Далеко первый раз идет запрос.
Плюс к этому нужен nginx 1.7.x+, на младших версиях нужно костылить.

Для A+ нужно HPKP, по-моему.
Для A+ нужно HPKP, по-моему.
HSTS.
HPKP в продакшне использовать нужно с большой осторожностью.
Спасибо. Да, действительно, забыл сделать nginx reload
OCSP stapling No

Сейчас
OCSP stapling Yes


В статью добавил ссылку на сайт с подробным описанием, как включить «OCSP stapling»
Факультет какого университета? Можно только дагадаться по ссылке «сайты… приветствуют вас», что КубГУ, но лучше явно написать прямо в заголовке.
UFO just landed and posted this here
Почитаю на досуге. Спасибо за наводку.
Хм. Китайцы хотят вкинуть много сертификатов на рынок, чтобы потом в легкую читать все данные проходящие через https по их сертификатам?
Вы разоблачили китайский заговор! Да, ассиметричное шифрование именно так и работает.
UFO just landed and posted this here
Для подмены сертификата достаточно быть доверенным CA. Раздавать бесплатные сертификаты никакой необходимости нет.
UFO just landed and posted this here
Для подмены сертификата не нужно, чтобы подменяемый сертификат был подписан тем же CA.
Оно как бы да, но можно HPKP по ключу CA это немного «ограничить»… (И да, я знаю, что это не для посетителей забредших на сайт первый раз;).
И да, я знаю, что это не для посетителей забредших на сайт первый раз;)
Нужно просто договориться с вендорами браузеров о прелоаде HPKP для вашего сайта, делов-то ;).
Не всегда. Если используется пиннинг, то приложение будет проверять, выдан ли полученный сертификат тем же CA, что и «вшитый».
Да, у них, во-первых, из России долго сайт открывается, а во-вторых, нужно быстро регить сертик, т.к часто сессия слетает. Т.е лучше заранее приготовить список сайтов для сертика, файл CSR и открыть почту для валидации домена, чтобы быстро отправить заявку.
так и делаю, просто видимо нагрузка…
Ага, тоже заметил сей хабраэффект. Ещё пару раз попробую, и «будем подождать».
О господи, не понимаю я гонки за этими дешевыми сертификатами. Если нужен один — отдать 7-8$ в год — сравнимо с ценой домена. Если нужно много — то покупаешь известный бренд оптом у крупного игрока, да и всё: хоть барыж ими, хоть сам используй. Например, тыц — всего по 4 бакса.
А где вы за 7-8 баксов в год видели? Базовый от 50 баксов стоит. Wildcard я дешевле 150 не находил. Про EV вообще молчу.
Я даже китайцам больше доверяю, чем комоде.
Для mitm абсолютно по барабану кем у вас подписан сертификат. Достаточно быть в trust chain.
Прекрасно это понимаю, я в целом о доверии. Комоду из keychain-а с тех самых пор вынес, каждый раз вручную проверяю на всякий случай.
Любой wildcard, а тем более EV сравнивать с wosign'овским сертификатом на пачку SAN как-то странно, вам не кажется?
Несмотря на таймаут, на почту все равно приходит линк на получение сертификата.
Что намекает, что ocsp/crl могут работать хреновастенько, могут вылезти проблемы при необходимости отзыва и т. п.
А пробовал кто отозвать их сертификат и запросить новый?
можно запросить новый не отзывая старый. Я так делал.
Так ведь смысл именно в отзыве старого.
Может кто знает, поддерживают ли эти сертификаты Android 4+ / iOS 6+ браузеры?
Да. Я получил позавчера, все работает.
Подтверждаю — на неделе обновил сертификат, никаких проблем не замечено
Android 2 не объявляет о том, какой сайт хочет открыть, и сервер отправляет дефолтный сертификат. То же самое с IE на XP.
А зачем делать сертификаты аж на 3 года? Это вроде бы достаточно большое время жизни для ключа.
Такое «время жизни» не для секьюрности сертификатов, а грубо говоря, для того чтобы поглубже залезть нам с вами в карман…
К примеру (если вдруг теоретически появится какой-то мат. алгоритм, уменьшающий сложность обратного вычисления, ну или тупо возможен брут на N-машинах: просто берётся в три раза больше машин (N*3) и подбирается за год а не за три…
Ну и вообще-то, сертификат можно отозвать (например чтобы увеличить стойкость нового).
Реквестую мануал по установке этих сертитфикатов для хостинга, приложений и т.д.
UFO just landed and posted this here
Реквестирую мануал по пользованию google.com в виде развернутой статьи на хабре. Попробовал одеть форму друга летчика. Сидит свободно, но как в ней вводить запрос и куда?
Раз уж пошла такая пьянка, кто-нить подскажет бесплатный хостинг с PHP и MySQL и поддержкой установки своих SSL сертификатов и не требующих выделенного IP? Нужно для open-source проекта.
Micro instance EC2 в AWS на первый год
Подскажите, может кто видел в сети — имеются ли бесплатные сертификаты для IDN-доменов (рф)? Проект некоммерческий, а пользователей защитить хочется.
Не проще взять у реселлеров comodo за $10 на пару лет? Домен.рф для некоммерческого проекта наверняка не бесплатный.
прикрыли лавочку китайцы.
теперь только 1 домен free на 1 год :(
далее по 1.99$ каждый домен за каждый год
letsencrypt.org в ближайшее время станет доступен всем и уже является доверенным во всех основных браузерах, так-что нет смысла горевать)
Только вот сомнения у меня, что будет возможно накидать в сертификат поддомены.
А так да, уже заждался, когда мозилла наконец-то выкатит в массы letsencrypt
Судя по примеру команд клиента в readme https://github.com/letsencrypt/letsencrypt на старте точно будут сертификаты с несколькими SAN, wildcard сертификаты 'обсуждаются'
Твою мать( я как раз потерял auth сертификат в startssl. А через месяц заканчивается мой сертификат на домен. И что делать-то?
Создайте новую учетку, startssl «помнит» владельца домена только 30 дней.
Я вот тут задумался насчёт let's encrypt. Они начинают за 3 дня до окончания моего сертификата. Можно успеть. Хотя наверное проще прдстраховаться и получить stsrtsll дополнительно.
Ну, выпустите сейчас и поменяйте, не дожидаясь, когда сертик протухнет. Зачем ждать?
А по срокам, сертик у демо-домена helloworld.letsencrypt.org протухнет 11 декабря 2015, а по расписанию:
First certificate: Week of September 7, 2015
General availability: Week of November 16, 2015

Так что в этом году, возможно, и увидим.
Можно ещё купить какой-нибудь rapidssl за $10 и на пару лет забыть о проблеме.
А кто-нибудь сталкивался с проблемами сертификатов WoSign на устройствах apple?

Я такой поставил сертификат от WoSign на 3 года, радуюсь что все так здорово, а тут набежали айфонопользователи и говорят что у них сайт не открывается. И то же самое на макбуках.
Убил дней 5, ковырялся-ковырялся, получил класс A+ по ssllabs, а айфон по-прежнему говорит «не удается проверить удостоверение сертификата».
Говорит, выдан «WoSign CA Free SSL...», при этом пишет «ненадежный», хотя никаких криминальных подробностей про него не пишет.

При этом сейчас проверил fktpm.ru — на том же айфоне отлично открывается. Хотя все поля во всех свойствах те же самые (вроде).

У меня апач а не nginx, вот конфиг:
    SSLCertificateFile /data/www/ssl/webmail.crt
    SSLCertificateKeyFile /data/www/ssl/webmail.key
    SSLProtocol all -SSLv2 -SSLv3
    SSLCipherSuite kEECDH+AES128:kEECDH:kEDH:-3DES:kRSA+AES128:kEDH+3DES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!LOW:!SEED:!CAMELLIA:!IDE
A:!PSK:!SRP:!SSLv2;
    SSLCertificateChainFile /data/www/ssl/wosign/ca-certs.pem
    SSLHonorCipherOrder On
    SSLCACertificateFile /data/www/ssl/wosign_root_bundle.crt
    Header add Strict-Transport-Security "max-age=31536000"
    Header add Content-Security-Policy-Report-Only "default-src https:; script-src https: 'unsafe-eval' 'unsafe-inline'; style-src https: 'unsa
fe-inline'; img-src https: data:; font-src https: data:; report-uri /csp-report"


SSLCertificateChainFile генерировал по этой статье: habrahabr.ru/post/254231

До этого всякие комоды и freessl работали отлично, был стабильный C. (Уязвимость POODLE, слабые алгоритмы, древний TLS и т.п.), ни с какими классами A+ я даже не заморачивался. А китайцев почему-то эпл не хочет воспринимать ни в какую.

Что там надо еще включить для счастья на айфонах?
SSLCertificateFile /data/www/ssl/webmail.crt
SSLCertificateKeyFile /data/www/ssl/webmail.key

По-моему, что-то тут не так. Что за webmail.crt\.key?
Я надеюсь, вы не сунули сюда ключи для веб-почты из wosign-кабинета?

help.ubuntu.ru/wiki/apache_и_https:
# Публичный сертификат сервера
SSLCertificateFile /etc/ssl/certs/server.pem
# Приватный ключ сервера
SSLCertificateKeyFile /etc/ssl/private/server.key


PS. У меня nginx и сайты с wosign-сертиками открываются на яблоках при А+ ssllabs
Что за webmail.crt\.key?

Просто переименовал для удобства…

Все, разобрался, я сам лопух.
После того как запостил сюда, пришла в голову мысль пересоздать сертификат. И повторив процедуру, я понял, что сунул туда не тот root-bundle ключ.
Уже не помню, откуда я его тогда взял, может быть это и были «ключи для веб-почты из wosign-кабинета», сейчас указал правильный root-bundle, и сайт заработал.

Оказывается, бывает и так: почему-то только apple на сертификат ругался, винде, андроиду и всем остальным все нравилось.

P.S: кстати подтверждаю: теперь только на год новые сертификаты нахаляву дают. Хорошо я тот старый успел получить на 3 года.
Доброго времени суток! Смотрю сейчас вы на Let's Encrypt перебрались. Расскажите, пожалуйста, в чём причина. Может нашли в WoSign какой то фатальный недостаток?
Просто компании mozilla доверия больше. Let's Encrypt можно настроить на авто продление, что освобождает вас от рутиной работы.
Понятно, благодарю. На счёт автопродления — ерунда это всё. Мне один из сертификатов, например, нужен для заливки в «железный» IP KVM, никакого авто продления там просто не настроить, также не настроить его не для чего кроме пары веб серверов, к админке шлюза моего тоже не прикрутить и т. д… В итоге получается что у меня авто продление заработает в одном месте: на апаче с «сайтом» (фактически домашняя страничка, буквально, почти одна). В целом я бы вообще не мучался ибо сертификат в той железке нужен лишь потому что Java последних версий откровенно насилует мозг придирками к сертификату и ничего в итоге просто не работает как не извращайся. По сути на IP KVM сертификат вообще не нужен ибо всё происходит в локалке, но в итоге сейчас приходиться использовать древнюю 6 жабу с кучей дыр и прочего безобразия которая работает и при добавлении исключения вообще позволяет выкинуть этот бессмысленный самоподписанный сертификат на 10 лет.
29 сентября 2016 года, WoSign закрыла возможность бесплатных SSL-сертификатов. Пожалуйста, обновите информацию в посте :)
обновил, спасибо. Используйте Let's Encrypt :)
Sign up to leave a comment.

Articles