«Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только

    Мы в 1cloud предоставляем услуги аренды виртуальной инфраструктуры и совсем недавно начали поставлять SSL-сертификаты от Сomodo, Geotrust, Rapidssl, Symantec и Thawte. Добавление такой возможности сподвигло нас к беглому анализу публикаций, которые затрагивали те или иные аспекты работы с SSL и выходили на Хабре за последние пару лет.

    Мы обнаружили значительный объем переводных материалов и постов в корпоративных блогах, но и без руководств не обошлось. Именно на практической составляющей мы и решили сделать ставку в нашей подборке из полезных материалов.


    / фото Intel Free Press CC

    SSL (сокр. от Secure Socket Layer — уровень защищенных сокетов) — это технология безопасных соединений, реализуемых за счет асимметричного шифрования для аутентификации ключей обмена. SSL-сертификат — это уникальный цифровой идентификатор веб-сайта. Он делает возможным установление HTTPS соединения между веб-сервером и интернет-браузером клиента, обеспечивая конфиденциальность передаваемой информации.

    Подтверждать можно как отношение веб-сервера к домену, так и данные компании-владельца сайта. В зависимости от типа сертификата:

    Domain Validation (DV). Данный вид сертификатов предусматривает, в первую очередь, шифрование сессии, а не аутентификацию веб-сайта. Он не содержит данных о компании и подтверждает только доменное имя, гарантируя пользователю достоверность используемого веб-ресурса. Сертификаты с валидацией по домену предлагают начальный уровень надежности, так как не требуют документальной идентификации от заказчика.

    Organisation Validation (OV). Такие сертификаты являются подтверждением не только сайта, но и данных организации-владельца. Последние заверяются с помощью проверки официальных регистрационных документов компании-заказчика сертификата. Получение OV-сертификата возможно только юридическим лицом.

    Extended Validation (EV). Этот тип сертификатов обеспечивает самый высокий уровень доверия и позволяет отобразить название организации-владельца сайта в адресной строке браузера пользователя («зеленая адресная строка»). Процесс получения такого сертификата занимает до 14 дней.


    Для некоторых сертификатов предлагается финансовая гарантия (от 10 тысяч долларов). Она актуальна, в первую очередь, для посетителя сайта, на котором установлен сертификат. В случае, если посетитель такого сайта финансово пострадает от мошенничества, связанного с подменой сайта и утечкой конфиденциальных данных, то центр сертификации компенсирует убытки в пределах суммы гарантии.

    SSL-сертификат можно купить напрямую у центра сертификации, но это не очень эффективно. Более выгодной является покупка SSL-сертификата у партнера, закупающего сертификаты оптом специальным ценам. При этом можно использовать и бесплатные SSL-сертификаты, но они больше подходят для тестирования и могут обладать низким уровнем доверия.

    Информационно-развлекательное


    Что веб-разработчикам следует знать об SSL
    Первой поставили ссылку на пост из своего блога на Хабре. В нем мы привели краткий разбор часто встречающихся вопросов по использованию технологии SSL на основе заметок команды проекта CertSimple и других материалов по теме.

    SSL/TLS: история уязвимостей
    Презентация / семинар Владимира Лепихина (учебный центр «Информзащита») на конференции Positive Hack Days. Видео доклада можно посмотреть тут.

    Что такое TLS
    Переводной материал, позволит познакомиться TLS (Transport Layer Security), предшественником которого является SSL. Подготовлен на основе главы книги «High Performance Browser Networking» авторства Ильи Григорика.

    BearSSL — реализация SSL/TLS на C
    Обзор философии, возможностей, краткая документация и планы по развитию библиотеки Томаса Порнина, эксперта по криптографии.

    УЦ из Китая по ошибке выдал пользователю SSL-сертификат для домена GitHub
    Ошибку удостоверяющего центра WoSign обнаружил студент Университета Центральной Флориды. Именно для этого учреждения и был выдан дублирующий сертификат.

    WoSign Free SSL — конец большой китайской халявы
    Еще один материал о китайском УЦ и очередных изменениях условий предоставления бесплатных SSL-сертификатов.

    Исправлена серьезная ошибка в настройках SSL в web-ролях Microsoft Azure
    Дмитрий Мещеряков из департамента продуктов для разработчиков ABBYY прокомментировал распространенную ошибку, о которой он рассказывал ранее в блоге компании.

    Центр сертификации Let's Encrypt выдал миллион бесплатных сертификатов
    Анатолий Елизар, редактор ТМ, напоминает о достижениях и прогрессе Let's Encrypt, некоммерческого проекта Mozilla и EFF.

    Let's Encrypt выходит в публичную бету
    Еще один материал о сервисе Let's Encrypt, в котором даны краткие пояснения того, почему на этом этапе развития проекта было выбрано 90-дневное время жизни сертификатов.

    SSL-сертификаты: всем, каждому, и пусть никто не уйдёт обиженным
    И еще один материал о центре сертификации Let's Encrypt. Целью проекта является ускорение перехода всемирной паутины от HTTP к HTTPS.



    Google прекращает поддержку SHA-1 сертификатов вслед за Mozilla и Microsoft
    Новостная заметка от редакции ТМ, которая продолжает «держать руку на пульсе» в том числе и по теме TLS- и SSL-сертификатов.

    Коллизия для SHA-1 за 100$ тыс
    Предупреждение о возможных рисках, связанных с использованием сертификатов с SHA-1, и предполагаемом появлении услуги по поиску коллизий SHA1. Заметка на основе пресс-релиза экспертов из Нидерландов и Сингапура.

    Безопасность SSL/TLS российского интернет-банкинга
    Занимательное исследование защищенности подключений к онлайн-сервисам ТОП-50 российских банков (по активам) за авторством adinadinov. Помимо сравнительной таблички приведены основные выводы и практические рекомендации.

    Бесплатные SSL-сертификаты — теперь на 3 года от WoSign
    Краткая заметка по теме от REZ1DENT3, ну вы поняли.

    Лучшая практика развертывания SSL/TLS (часть 1)
    Базовая информация о том, как правильно развернуть SSL/TLS. Продолжение теории — во второй части материала.

    Лучшая практика развертывания SSL/TLS (часть 2)
    Продолжение рассказа об основных моментах, которые составляют процесс развертывания SSL/TLS.

    Как и зачем мы делаем TLS в Яндексе
    Интереснейший материал kyprizel о том, как Яндекс внедряет TLS: способы терминации, унификация компонентов, сертификаты, производительность, безопасность и другие нюансы.

    Уязвимость DROWN в SSLv2 позволяет дешифровать TLS-трафик
    Об уязвимости под названием DROWN, которая позволяет дешифровать TLS-трафик клиента, и вариантых защиты. Рассказывают эксперты Digital Security.

    Прошлое и настоящее SSL-сертификатов
    Базовый обзор по инфраструктуре открытых ключей (PKI) плюс немного об отзыве сертификатов, злоупотреблении доверием и перспективах использования SSL-сертификатов.



    Практические руководства


    Настройка HTTPS для вашего приложения на Azure App Service
    Подробная пошаговая инструкция для тех, кто использует свое доменное имя. Подготовка, получение сертификата и советы по установке.

    Генерация CSR-запроса в IIS 8
    В этой инструкции описана процедура генерации запроса на подпись сертификата на веб-сервере IIS 8 в Windows Server 2012 и заказа SSL-сертификата через панель управления 1cloud.

    Установка SSL-сертификата на IIS 8
    Как установить полученные сертификаты .CRT (файл сертификата для вашего сайта) и .CA (файл сертификата Центра Сертификации) на сервер.

    Установка SSL-сертификата на Apache (Linux)
    Эта пошаговая инструкция поможет установить приобретенный SSL-сертификат на веб-сервер Apache под управлением Linux: Ubuntu, Debian или CentOS.

    Генерация CSR-запроса на Linux/MacOS
    Создание CSR-запроса с помощью сервиса генерации и OpenSSL вместе с заказом SSL-сертификата через панель управления 1cloud.

    Установка SSL-сертификата на Nginx (Linux)
    Данное пошаговое руководство поможет установить приобретенный SSL-сертификат на веб-сервер Nginx под управлением Linux: Ubuntu, Debian или CentOS.

    Установка SSL-сертификата на 1С-Битрикс
    Система 1С-Битрикс работает под управлением дистрибутива Linux CentOS (генерация CSR-запроса — раздел для CentOS). Инструкция для генерации запроса, заказа и установки SSL-сертификатов.

    Установка SSL-сертификата на Nginx (Linux)
    Данное пошаговое руководство поможет установить приобретенный SSL-сертификат на веб-сервер Nginx под управлением Linux: Ubuntu, Debian или CentOS.

    Установка SSL-сертификатов на файловое хранилище D-Link DNS-320L
    Решение проблемы подключения устройства как сетевого диска в Widnows.

    Быстрая установка SSL сертификата от StartSSL в почтовом сервере iRedMail
    Процесс замены SSL-сертификатов и скрипт, позволяющий автоматизировать все необходимые действия.



    Рекомендации по обеспечению безопасности Windows Server 2008/2012
    Для обеспечения безопасности подключений по RDP в случае, когда соединение с сервером осуществляется не через VPN, рекомендуется использовать SSL/TLS-туннелирование соединения. Об этом и не только.

    Защищенное TLS-соединение с использованием Boost.Asio и OpenSSL под Windows
    Для сборки сервера и клиента под Windows с использованием Boost Asio и OpenSSL плюс организацией обмена информацией по защищенному TLS-каналу.

    SSL/TLS-сертификаты для клиентов AWS
    Вводная информация и краткая инструкция для тех, кто пользуется Amazon Web Services.

    Настройка SSL для приложений на AWS
    Пошаговое объяснение процесса получения SSL-сертификата.

    Дружим virt-manager с удаленной системой поверх TLS
    Пошаговая инструкция от saamich о том, что нужно для использования графического virt-manager'а для управления гипервизорами на удаленных серверах.

    Настройка Nginx с Let's Encrypt на CentOS 7
    Руководство для Let's Encrypt, некоммерческого проекта Mozilla и EFF, рассказы о котором были приведены выше.

    Инструкция по установке SSL-сертификата Let’s Encrypt на сервер с CMS Bitrix и Nginx
    Подготовка, получение сертификата, настройка и обновление.

    Настройка SSL-сертификата для проекта «Raise Your Flag» на Nginx
    Практический пост одного из участников проекта по поиску вакансий. Сам проект размещен на DigitalOcean.

    Источники по теме SSL-сертификатов от Palo Alto Networks
    Типы сертификатов и практические руководства различного уровня сложности.



    Как перевести сайт целиком на постоянный HTTPS для всех
    Перевод руководства для серверов на базе Linux, на которых установлен Nginx.

    Мигрируем на HTTPS
    Еще один перевод от редакции ТМ, в котором описаны шаги, которые необходимо предпринять для перевода вашего сайта с HTTP на HTTPS.

    Переходим на HTTPS на Nginx
    О том, что сделал pistonsky, когда к нему пришел босс и заявил, что ему нужен HTTPS. Инструкция в 5 простых шагов.

    Поддержка HTTPS совсем без настроек
    @rekby написал программу для автоматического выписывания ssl-сертификатов налету. Кратко о требованиях и принципах работы.

    Почему до сих пор повсеместно не используется HTTPS
    Хороший вопрос и достойный ответ, перевод которого опубликовал thevar1able.

    Повсеместный переход на HTTPS
    Почему это не нужно делать всем, и на что следует обратить внимание, если говорить о TLS.
    • +20
    • 8.9k
    • 4
    1cloud.ru
    336.31
    IaaS, VPS, VDS, Частное и публичное облако, SSL
    Share post

    Comments 4

      +4
      Спасибо за топик! Добавил в закладки
        –2
        непонятная смесь базовой информации про типы сертификатов и неактуальных уже статей годовой давности. Нельзя давать PR писать технический статьи, даже если это «дайжест»
          0
          а что изменилось за прошедший год? Нормальный, вроде, дайджест
            +2
            Let's Encrypt выходит в публичную бету — новость от декабря 2015, ну вот совсем ничего не изменилось с той поры в сервисе.

            WoSign Free SSL — конец большой китайской халявы
            Ну да, Firefox их почти заблокировал, Google их таки заблокировал. Компания накрылась медным тазом, но новость давностью год и 10 дней является самой актуальной.

            Google прекращает поддержку SHA-1 сертификатов вслед за Mozilla и Microsoft
            да уже 8 раз раз пересмотрели и сократили сроки отказа за этот год с момента выхода этой новости

            При этом ни слова о том что тот же Firefox вводит поддержку TLS1.3 или о нем самом.Да и еще куча более интересных тем и новостей, включая альтернативные реализации библиотек, новые уязвимости или протоколы.

            Руководства обычно устаревают медленнее, но в виде 100500 ссылок на себя любимых выглядит как поисковый спам (кстати неэффективный). И да, есть руковожства который покрывают все это в одной статье.

        Only users with full accounts can post comments. Log in, please.