Comments 80
Вроде как Google (их браузер) начал блочить сайты с китайскими сертификатами. Или я что-то путаю?
Вы путаете. вот мой проект на котором стоит WoSing сертификат, fktpm.ru, проверьте. Я использую Google Chrome и Firefox.
Ну сейчас они и должны работать, гугл сказал что даст вебмастерам время перейти на другие сертификаты. Ну если комментатор ниже говорит что проблема только с «China Internet Network Information Center», тогда претензий нет.
Да уж, пуделек машет хвостиком и готов принять нового хозяина :D
И чего там хорошего, я не очень понял?
Это был сарказм.
С рейтинг — мал,
SSL3 включен — POODLE уязвимость,
OCSP нет,
HPKP нет
несколько слабых шифров (возможно для поддержки старых браузеров)
С рейтинг — мал,
SSL3 включен — POODLE уязвимость,
OCSP нет,
HPKP нет
несколько слабых шифров (возможно для поддержки старых браузеров)
Спасибо. добавил OCSP, теперь A+
Воот! Теперь все гуд ;)
Для A+ не требуется OCSP-сшивание, да и всё равно вы его не реализовали, потому что логика nginx такая, что чтобы оно работало на виртуальном хосте, оно обязательно должно быть на дефолтном тоже, в вашем случае это api.fktpm.ru.
www.ssllabs.com/ssltest/analyze.html?d=api.fktpm.ru&hideResults=on
www.ssllabs.com/ssltest/analyze.html?d=api.fktpm.ru&hideResults=on
OCSP stapling No
OCSP stapling для китайца срабатывает со 2-3 раза. Далеко первый раз идет запрос.
Плюс к этому нужен nginx 1.7.x+, на младших версиях нужно костылить.
Для A+ нужно HPKP, по-моему.
Плюс к этому нужен nginx 1.7.x+, на младших версиях нужно костылить.
Для A+ нужно HPKP, по-моему.
Спасибо. Да, действительно, забыл сделать nginx reload
Сейчас
В статью добавил ссылку на сайт с подробным описанием, как включить «OCSP stapling»
OCSP stapling No
Сейчас
OCSP stapling Yes
В статью добавил ссылку на сайт с подробным описанием, как включить «OCSP stapling»
Факультет какого университета? Можно только дагадаться по ссылке «сайты… приветствуют вас», что КубГУ, но лучше явно написать прямо в заголовке.
UFO just landed and posted this here
Хм. Китайцы хотят вкинуть много сертификатов на рынок, чтобы потом в легкую читать все данные проходящие через https по их сертификатам?
Вы разоблачили китайский заговор! Да, ассиметричное шифрование именно так и работает.
UFO just landed and posted this here
Для подмены сертификата достаточно быть доверенным CA. Раздавать бесплатные сертификаты никакой необходимости нет.
UFO just landed and posted this here
Для подмены сертификата не нужно, чтобы подменяемый сертификат был подписан тем же CA.
Вот взяли и положили китайцев :)
Попробую я через пару дней…
Да, у них, во-первых, из России долго сайт открывается, а во-вторых, нужно быстро регить сертик, т.к часто сессия слетает. Т.е лучше заранее приготовить список сайтов для сертика, файл CSR и открыть почту для валидации домена, чтобы быстро отправить заявку.
Ага, тоже заметил сей хабраэффект. Ещё пару раз попробую, и «будем подождать».
О господи, не понимаю я гонки за этими дешевыми сертификатами. Если нужен один — отдать 7-8$ в год — сравнимо с ценой домена. Если нужно много — то покупаешь известный бренд оптом у крупного игрока, да и всё: хоть барыж ими, хоть сам используй. Например, тыц — всего по 4 бакса.
А где вы за 7-8 баксов в год видели? Базовый от 50 баксов стоит. Wildcard я дешевле 150 не находил. Про EV вообще молчу.
Не Wildcard или EV, но для маленького сайта, вроде, пойдет: Comodo Positive SSL за $12 на 3 года. Четыре бакса в год.
Любой wildcard, а тем более EV сравнивать с wosign'овским сертификатом на пачку SAN как-то странно, вам не кажется?
гатавай тамайт, пичаль-бида
А пробовал кто отозвать их сертификат и запросить новый?
Может кто знает, поддерживают ли эти сертификаты Android 4+ / iOS 6+ браузеры?
А зачем делать сертификаты аж на 3 года? Это вроде бы достаточно большое время жизни для ключа.
Такое «время жизни» не для секьюрности сертификатов, а грубо говоря, для того чтобы поглубже залезть нам с вами в карман…
К примеру (если вдруг теоретически появится какой-то мат. алгоритм, уменьшающий сложность обратного вычисления, ну или тупо возможен брут на N-машинах: просто берётся в три раза больше машин (N*3) и подбирается за год а не за три…
Ну и вообще-то, сертификат можно отозвать (например чтобы увеличить стойкость нового).
К примеру (если вдруг теоретически появится какой-то мат. алгоритм, уменьшающий сложность обратного вычисления, ну или тупо возможен брут на N-машинах: просто берётся в три раза больше машин (N*3) и подбирается за год а не за три…
Ну и вообще-то, сертификат можно отозвать (например чтобы увеличить стойкость нового).
Реквестую мануал по установке этих сертитфикатов для хостинга, приложений и т.д.
Раз уж пошла такая пьянка, кто-нить подскажет бесплатный хостинг с PHP и MySQL и поддержкой установки своих SSL сертификатов и не требующих выделенного IP? Нужно для open-source проекта.
Подскажите, может кто видел в сети — имеются ли бесплатные сертификаты для IDN-доменов (рф)? Проект некоммерческий, а пользователей защитить хочется.
прикрыли лавочку китайцы.
теперь только 1 домен free на 1 год :(
далее по 1.99$ каждый домен за каждый год
теперь только 1 домен free на 1 год :(
далее по 1.99$ каждый домен за каждый год
letsencrypt.org в ближайшее время станет доступен всем и уже является доверенным во всех основных браузерах, так-что нет смысла горевать)
Твою мать( я как раз потерял auth сертификат в startssl. А через месяц заканчивается мой сертификат на домен. И что делать-то?
Создайте новую учетку, startssl «помнит» владельца домена только 30 дней.
Я вот тут задумался насчёт let's encrypt. Они начинают за 3 дня до окончания моего сертификата. Можно успеть. Хотя наверное проще прдстраховаться и получить stsrtsll дополнительно.
Ну, выпустите сейчас и поменяйте, не дожидаясь, когда сертик протухнет. Зачем ждать?
А по срокам, сертик у демо-домена helloworld.letsencrypt.org протухнет 11 декабря 2015, а по расписанию:
Так что в этом году, возможно, и увидим.
А по срокам, сертик у демо-домена helloworld.letsencrypt.org протухнет 11 декабря 2015, а по расписанию:
First certificate: Week of September 7, 2015
General availability: Week of November 16, 2015
Так что в этом году, возможно, и увидим.
Можно ещё купить какой-нибудь rapidssl за $10 и на пару лет забыть о проблеме.
А кто-нибудь сталкивался с проблемами сертификатов WoSign на устройствах apple?
Я такой поставил сертификат от WoSign на 3 года, радуюсь что все так здорово, а тут набежали айфонопользователи и говорят что у них сайт не открывается. И то же самое на макбуках.
Убил дней 5, ковырялся-ковырялся, получил класс A+ по ssllabs, а айфон по-прежнему говорит «не удается проверить удостоверение сертификата».
Говорит, выдан «WoSign CA Free SSL...», при этом пишет «ненадежный», хотя никаких криминальных подробностей про него не пишет.
При этом сейчас проверил fktpm.ru — на том же айфоне отлично открывается. Хотя все поля во всех свойствах те же самые (вроде).
У меня апач а не nginx, вот конфиг:
SSLCertificateChainFile генерировал по этой статье: habrahabr.ru/post/254231
До этого всякие комоды и freessl работали отлично, был стабильный C. (Уязвимость POODLE, слабые алгоритмы, древний TLS и т.п.), ни с какими классами A+ я даже не заморачивался. А китайцев почему-то эпл не хочет воспринимать ни в какую.
Что там надо еще включить для счастья на айфонах?
Я такой поставил сертификат от WoSign на 3 года, радуюсь что все так здорово, а тут набежали айфонопользователи и говорят что у них сайт не открывается. И то же самое на макбуках.
Убил дней 5, ковырялся-ковырялся, получил класс A+ по ssllabs, а айфон по-прежнему говорит «не удается проверить удостоверение сертификата».
Говорит, выдан «WoSign CA Free SSL...», при этом пишет «ненадежный», хотя никаких криминальных подробностей про него не пишет.
При этом сейчас проверил fktpm.ru — на том же айфоне отлично открывается. Хотя все поля во всех свойствах те же самые (вроде).
У меня апач а не nginx, вот конфиг:
SSLCertificateFile /data/www/ssl/webmail.crt
SSLCertificateKeyFile /data/www/ssl/webmail.key
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite kEECDH+AES128:kEECDH:kEDH:-3DES:kRSA+AES128:kEDH+3DES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!LOW:!SEED:!CAMELLIA:!IDE
A:!PSK:!SRP:!SSLv2;
SSLCertificateChainFile /data/www/ssl/wosign/ca-certs.pem
SSLHonorCipherOrder On
SSLCACertificateFile /data/www/ssl/wosign_root_bundle.crt
Header add Strict-Transport-Security "max-age=31536000"
Header add Content-Security-Policy-Report-Only "default-src https:; script-src https: 'unsafe-eval' 'unsafe-inline'; style-src https: 'unsa
fe-inline'; img-src https: data:; font-src https: data:; report-uri /csp-report"
SSLCertificateChainFile генерировал по этой статье: habrahabr.ru/post/254231
До этого всякие комоды и freessl работали отлично, был стабильный C. (Уязвимость POODLE, слабые алгоритмы, древний TLS и т.п.), ни с какими классами A+ я даже не заморачивался. А китайцев почему-то эпл не хочет воспринимать ни в какую.
Что там надо еще включить для счастья на айфонах?
SSLCertificateFile /data/www/ssl/webmail.crt
SSLCertificateKeyFile /data/www/ssl/webmail.key
По-моему, что-то тут не так. Что за webmail.crt\.key?
Я надеюсь, вы не сунули сюда ключи для веб-почты из wosign-кабинета?
help.ubuntu.ru/wiki/apache_и_https:
# Публичный сертификат сервера
SSLCertificateFile /etc/ssl/certs/server.pem
# Приватный ключ сервера
SSLCertificateKeyFile /etc/ssl/private/server.key
PS. У меня nginx и сайты с wosign-сертиками открываются на яблоках при А+ ssllabs
Что за webmail.crt\.key?
Просто переименовал для удобства…
Все, разобрался, я сам лопух.
После того как запостил сюда, пришла в голову мысль пересоздать сертификат. И повторив процедуру, я понял, что сунул туда не тот root-bundle ключ.
Уже не помню, откуда я его тогда взял, может быть это и были «ключи для веб-почты из wosign-кабинета», сейчас указал правильный root-bundle, и сайт заработал.
Оказывается, бывает и так: почему-то только apple на сертификат ругался, винде, андроиду и всем остальным все нравилось.
P.S: кстати подтверждаю: теперь только на год новые сертификаты нахаляву дают. Хорошо я тот старый успел получить на 3 года.
Доброго времени суток! Смотрю сейчас вы на Let's Encrypt перебрались. Расскажите, пожалуйста, в чём причина. Может нашли в WoSign какой то фатальный недостаток?
Просто компании mozilla доверия больше. Let's Encrypt можно настроить на авто продление, что освобождает вас от рутиной работы.
Понятно, благодарю. На счёт автопродления — ерунда это всё. Мне один из сертификатов, например, нужен для заливки в «железный» IP KVM, никакого авто продления там просто не настроить, также не настроить его не для чего кроме пары веб серверов, к админке шлюза моего тоже не прикрутить и т. д… В итоге получается что у меня авто продление заработает в одном месте: на апаче с «сайтом» (фактически домашняя страничка, буквально, почти одна). В целом я бы вообще не мучался ибо сертификат в той железке нужен лишь потому что Java последних версий откровенно насилует мозг придирками к сертификату и ничего в итоге просто не работает как не извращайся. По сути на IP KVM сертификат вообще не нужен ибо всё происходит в локалке, но в итоге сейчас приходиться использовать древнюю 6 жабу с кучей дыр и прочего безобразия которая работает и при добавлении исключения вообще позволяет выкинуть этот бессмысленный самоподписанный сертификат на 10 лет.
29 сентября 2016 года, WoSign закрыла возможность бесплатных SSL-сертификатов. Пожалуйста, обновите информацию в посте :)
Only those users with full accounts are able to leave comments. Log in, please.
Бесплатные SSL-сертификаты — теперь на 3 года от WoSign