Pull to refresh

Comments 43

В середине декабря брал себе сертификат, тогда тоже уже можно было на 3 года брать.
Тоже брал себе трёхгодичные. Но, хотя ещё не везде подходит срок к концу — поглядываю в сторону Let's Encrypt и потихоньку заменяю.
Думаю, с появлением Let's Encrypt, WoSign выглядит уже не так интересно. У Let's Encrypt срок действия конечно только три месяца, но можно настроить автоматическое продление. К тому же, насколько я помню, сертификаты WoSign не всеми браузерами корректно поддерживаются.
Как и у Lets Encrypt, CloudFlare и других. ХР (исключая ФФ) / Android 2.x в пролете.
У WoSign, насколько я помню, проблемы были в Safari, на iOS 9.
Проверил, всё ок. У меня с ноября серт от WoSign на 3 года получен.
XP обещают поправить с 22 марта
Подскажите где почитать про решение для XP.
ХР (исключая ФФ) / Android 2.x в пролете.
Чего это? FireFox работает с сертификатами совершенно одинаково на всех ОС, в том числе и на XP, и на Android.
Именно поэтому в скобках написано "исключая ФФ" ;)
"Поддержка Windows XP корпорацией Microsoft прекращена 8 апреля 2014."

Хватит разврата: закопайте уже стюардессу. (С)
Ох, лучше бы поддержку десятки прекратили
Не совсем так, у LE на сегодняшний день есть несколько проблем: короткий срок действия сертификатов и нужно заморочиться с настройкой автоматического продления с использованием sudo, на хабре есть статьи на эту тему. woSign же хорошая тема, чтобы спокойно переждать некоторое время до тех пор пока LE не станет более удобным чем сейчас, особенно если как раз, как мне, нужно иметь в пакете несколько поддоменов.
Строго говоря, там можно и без sudo через --docroot и прописанные во всех вхостах в nginx location (/.well-known, что ли) на один каталог.
К сожалению, пока что с Let's Encrypt проблем больше, чем с WoSign.
WoSign, похоже, ограничил количество доменов в одном сертификате по техническим, а не каким-то другим, причинам, т.к. они мне без особых вопросов выдали 7 сертификатов подряд за сутки, в каждом по 5 поддоменов.
У Let's Encrypt есть ограничение в выдаче 5 сертификатов в 7 дней на один зарегистрированный домен. Т.е. хотите вы, например, получить сертификат на каждый из 20 ваших серверов, и натыкаетесь на это ограничение. Выхода два: можно выпускать не все сертификаты сразу, а разнести это, например, на месяц, а можно добавлять несколько доменов в один сертификат, но тогда вам нужно будет подтверждать серверы вручную (или использовать какой-то сторонний плагин, который зайдет на нужный сервер и создаст нужный файл).
Кроме того, в Let's Encrypt есть ограничение на создание аккаунтов: 10 штук в 3 часа, но это уж не такая большая проблема.
Еще одна важная особенность, о которой нужно знать, заключается в том, что в CA с кросс-подписью от IdenTrust добавлена зона *.mil в Exclude Name Constrainsts, от чего он не работает в Windows XP.
Чтобы не получать 20 сертификатов — можно получать один на одном сервере и потом его размножать. Мне кажется это логичным: если сейчас браузеры не ругаются на прыгания сертификатов, то могут начать это делать в будущем опять же для защиты от человека посередине подменяющего сертификат, например помнить какой сертификат был в прошлый раз и выдавать предупреждения если он поменялся без видимой причины.
Я хотел именно много сертификатов для того, чтобы в случае компрометации одного сервера, злоумышленник не получил доступ к сертификату для всех доменов.
Для этого нужно выпускать отдельный сертификат на каждый домен, а не на каждый сервер. Соответственно на каждом сервере будут только сертификаты своих доменов.

Проблема работы по https нескольких доменов на одном IP решается через SNI и не требует перечисления всех доменов сервера в одном сертификате.
В том-то и дело, что у меня 20 доменов на 20 разных серверах, у которых разные IP. Чтобы мне подтвердить домены, мне нужно либо выполнять все действия на тех серверах, на IP которых указывают эти домены, либо временно изменить A и AAAA-записи на один и тот же сервер на всех 20 доменах. И смогу я получить только 5 сертификатов в 7 дней (у меня один и тот же домен, с 20 поддоменами).
Ну можно же /.well-known реплицировать или проксить на общий бекенд.
…для чего нужно либо настраивать и держать запущенным веб-сервер, либо писать скрипт, который будет запускать его по запросу на всех серверах.
А 20 доменов на 20 серверах вы вручную настраиваете? Не понял ситуации тогда, я думал у вас 20 разных сайтов отдаются одним облаком в 20 фронтендов.
Да, вручную.
Чтобы избежать возможного недопонимания: Let's Encrypt ограничивает выдачу сертификатов на один «купленный» домен (имя + доменная зона, domain.com), а у меня разные серверы висят на поддоменах одного домена (serv1.domain.com, serv2.domain.com). В Let's Encrypt нельзя подтвердить владение только корневым доменом (domain.com), нужно каждый раз (при выпуске любого сертификата) подтверждать все поддомены, для чего мне нужно либо писать скрипт, который каким-либо образом заходит на сервер, запускает там веб-сервер и кладет файл с нужным содержимым, либо заходить на него вручную, что не было бы такой уж проблемой без ограничения на количество выдаваемых сертификатов в 7 дней (раз в 3 месяца можно и вручную все это сделать, но не раз в неделю в течение месяца, через каждые 2 месяца).

В то же время, у большинства центов сертификации достаточно один раз подтвердить владение корневым доменом (domain.com), и можно выпускать и перевыпускать сертификаты без дальнейшего подтверждения, в том числе и для поддоменов.
Никаких сторонних плагинов.

В случае с Nginx во фронтенде эти проблемы решаются просто:
в директории конфигурационных файлов nginx создаем файл letsencrypt.conf, содержащий в себе следующие настройки:

location /.well-known/acme-challenge {
root /your_validate_dir;
}
далее перегружаем web-сервер по команде service nginx restart, после чего можем смело запрашивать сертификаты, указывая директорию /your_validate_dir в качестве корневой для любого домена/сайта или группы (если создаем групповой сертификат):

/letsencrypt certonly --webroot -w /your_validate_dir -d site.ru
Еще раз: я получаю сертификат не с того компьютера (и IP), на который выдается сертификат. И на том компьютере, на который выдается сертификат, нет веб-сервера.
Брал бесплатные, проблем не было. По нужде оплатил годовой сертификат (было несколько лет назад). В итоге полгода ждал живого письма-подтверждения, которое не пришло. Ни трекинга, ни каких-либо объяснений со стороны ребят не получил. Выслали второе, но когда оно наконец-то дошло, у меня уже были куплены сертификаты в других компаниях.
У бесплатного были проблемы с OCSP, он периодически не отвечал и FF отказывался открывать сайты с такими сертификатами без OCSP stapling.
Платные для компании выпускать дорого ($120) и муторно, проще купить в GoGetSSL сертификат с DV за копейки и с моментальной верификацией.
Стоит перейти на Wosign с Startssl? Пугает только то что wosign китайская…
Wosign использует корневой сертификат Startssl, но зато подпись у них SHA256, в то время как у StartSSL бесплатные сертификаты идут с SHA1. Так что да, стоит.
у StartSSL бесплатные сертификаты идут с SHA1
все нормально там у них с SHA256.
Мы на WoSign перевели почти все свои проекты, проблем не встречали
А что насчет
​Make sure to configure OCSP stapling on your webserver since WoSign only operates OCSP responders in China which results in a bad latency for western visitors where the browser queries the OCSP responder before opening the connection. It might as well result in a privacy issue since WoSign a.k.a «the Chinese» know who visits which website. With OCSP stapling you effectively mitigate both problems.

Что нужно сделать дополнительно?
OCSP stapling у нас сконфигурирован с помощью nginx
У StartSSL он тоже пару раз ложился (возможно только бесплатный CA) и FF отказывался открывать сайт, но OCSP stapling решает эту проблему.
Теперь Wosign использует запрос на создания сертификата, а не делает его целиком на своей стороне (как было еще в августе). Это значит, что они никогда не увидят закрытый ключ — то есть бояться того, что они китайские особо нечего.
Сказки не рассказывайте, уже давным давно они делают как по реквесту так и внутреннюю генерацию. Кто как желает. У меня сертификаты как минимум прошлых годов.
Не утверждаю на 100%, но замечал иногда, что сайты на сертификате wosign открываются дольше. И кто-то на хабре говорил, что это из-за того, что серверы находятся в поднебесной, и время уходит на фильтрацию китайского файерволла. Однако грех жаловаться на +1-2 секунды за бесплатные сертификаты.
Если настроить OCSP Stapling, то этой проблемы в большинстве случаев не будет.
Странно, запилил себе на 3 года, во всех десктопнах браузерах все работает нормально, в iOS выдает что "site identity cannot be verified"
Заказал сертификат для 5 доменов на срок 2 года. Все сайты работает без проблем. Вопрос: Можно ли перевыпустить сертификат бесплатно у них?
Sign up to leave a comment.

Articles