29 февраля 2020г у Let's Encrypt был обнаружен баг в коде CAA, который появлялся во время выпуска сертификатов. Подробности бага можно найти на официальном форуме.

Что нужно чтобы устранить его?

_{Фото: www.bleepingcomputer.com}

Из-за глобального истечения срока действия технического сертификата SSL 30 мая перестали работать некоторые потоковые каналы на платформе Roku. В итоге пострадали пользователи умных устройств.

ОД «Информация для всех» опубликовало результаты очередного исследования уровня информационной безопасности сайтов государственных органов Российской Федерации, проведенного в рамках проекта «Монитор госсайтов». Исследование охватило 83 сайта всех федеральных органов законодательной, исполнительной и судебной власти, а также государственных органов Российской Федерации.

Привет.
Столкнулся с проблемой выбора SSL сертификата для своего проекта. Тема оказалась обширная для меня на столько, что я просто не знаю с какой стороны подойти к её решению и поэтому хотел бы попросить знающих хабрапрактиков разжевать мне и коллегам по хабра-цеху (с подобным интересом) о всех тонкостях SSL сертификатах.

www.schetov.ru

Добрый день,

мы рады представить вам наш продукт. Его можно отнести к модному нынче течению — стартап. Я думаю в основе любого стартапа лежит ИДЕЯ. К этому мы подошли основательно. В нашей команде присутствовали люди разных сфер деятельности (дизайнер, программист, продавец компьютеров), что позволило взглянуть на систему с разных сторон. После довольно таки длительных обсуждений было составлено чёткое представление системы.

Прошлая заметка была о сборке сервера из исходников.
многие сказали, что нынче такое не катит, пакеты им подавай.

Но в основном было нытье, типа — я умнее тебя ты работаешь не правильно, конфиг не пацанский… никто так и не сказал как и что поправить, где сделать правильнее и по другому, какие еще есть возможности конфигурации, и тд. да и heck с ним, у всех свои взгляды, я это принимаю.
Все же кто то взял себе на заметку, ну а кто-то прошёл мимо.
Почему я пишу об этом? Есть сайты, форумы со списками рассылок, есть много мануалов, но, люди продолжают сходить с ума в поисках нормального пояснения установок и настроек. Платят другим горе специалистам, а те ставят все криво и не полные конфиги, без оптимизации. А если нет разницы — зачем платить больше (с)??? Любой человек хотел бы настроить свой сервер и поставить магазин, и для начала ему нужен старт, показать, что это очень просто, что можно сэкономить на начале, потом, когда все заработает, уже задуматься — а всели так сложно? а могу ли я дальше все делать сам? сделать еще лучше поднабравшись опыта? Да все можно сделать самому. Не даром старая мудрость гласит — хочешь чтобы было хорошо, сделай все сам!

Чтобы не писать порожняком, будем конкретно делать установку и запуск сервера для магазина, под управлением — МАГЕНТО 1.4.0.1

Большинство компаний, обладающих веб-сайтами с возможностью проведения онлайн-операций, не понаслышке знают о проблемах, связанных с доверием пользователей к веб-ресурсам, таких как: большое количество незавершенных транзакций (включая заброшенные «личные корзины» в онлайн-магазинах), нежелание предоставлять конфиденциальную информацию, включая номера кредитных карт и т.д.

Украинский ICANN аккредитованный регистратор, компания «Центр интернет-имен Украины» (Ukrnames) запустила обновленный сервис регистрации и продления SSL сертификатов.

Неизвестным удалось несанкционированно получить валидный сертификат для .google.com. Это дает возможность проводить атаки MITM против пользователей гугло-сервисов.
Сертификат был выдан голландским центром сертификации DigiNotar и сейчас уже отозван.
Пользователям Google Chrome ничего не угрожает так как он проверяет валидность сертификатов онлайн. Mozilla Firefox выпустили обновление и рекомендуют вручную отключить сертификат DigiNotar в настройках браузера.

Компания Microsoft выпустила бюллютень безопасности и обновление которым удаляет корневой сертификат DigiNotar из Microsoft Certificate Trust List.

Статья на F-Secure

Привет, хабр!

О StartSSL я узнал от небезызвестного lissyara, в связи с чем ему очень благодарен.

Для начала расскажу, что же за зверь это. Как известно, SSL сертификаты выдаются центрами сертификации, чьи корневые сертификаты хранятся в хранилище сертификатов браузера\ОС (либо другого ПО, использующего SSL). Цена на большинство сертификатов зашкаливает, и платить приходится за каждый сертификат. Но у StartSSL весьма интересный подход — сами сертификаты у них бесплатные, вы платите только за проверку вашей личности.

Так же не может не радовать наличие русскоязычной поддержки.

Пару недель назад столкнулся с проблемой — стоит TomCat на сервере(windows 2008), ставлен не мной, мало того, я даже не видел как его ставили. Нужно сделать авторизацию по SSL протоколу. Раньше никогда не настраивал веб-сервера ни на винде ни на никсах, а решать нужно в кратчайшие сроки — 3 дня. Решил спросить у гугла с яндексом и нашел куче статей как сделать SSL шифрование канала и одну малопонятную о «двухфазной авторизации». Мучался все 3 дня и на исходе срока получил решение (как всегда светлая идея пришла с великого бодуна). Теперь подробнее:
как устанавливать TomCat описывать не буду, т.к. таких статей валом.
Для начала создаём хранилище (keystore) с ключом:
Наберем в коммандной строке следующий код:

>keytool -genkey -alias tomcat -keyalg RSA -keystore mystore -validity 999 -keysize 512

Здесь:

Существует достаточно много цифровых сертификатов, каждый из которых служит для своих целей. Самые распространенный тип сертификатов это естественно SSL сертификаты, которые также имеют несколько подвидов. Также существуют Code Signing сертификаты, Website Anti Malware Scanner сертификаты и Unified Communications сертификаты.

Поскольку мы занимаемся продажей всех видов сертификатов, то накопилось некоторое количество опыта по сертификатам и знаний как правильно подобрать нужный сертификат для конкретной ситуации. Постараюсь в нескольких постах поделиться этой информацией.

Так что если у вас стоит задача поднять защищенное https соединение для вашего сайта, то в этом посте я постараюсь раскрыть все тонкости и особенности SSL сертификатов, чтобы сделать правильный выбор было проще.

Из-за обилия SSL-сертификатов с различными «фишками» и опциями иногда становится сложно выбрать тот, который нужен именно тебе. Да так, чтобы не переплатить за ненужные функции.

REG.RU только за последний год выпустил несколько тысяч SSL-сертификатов для своих клиентов. Нам часто доводилось наблюдать, как владелец небольшого интернет-магазина, не слушая возражений, покупает SGC-сертификат с принудительно высоким уровнем шифрования, потому что «я читал, что этот – самый лучший».

Так аргументируют свой выбор многие владельцы сайтов, ведь сравнения SSL-сертификатов от одного производителя или по наличию / отсутствию какой-либо функции часто встречаются в сети, но подробного обзора сразу всех видов и практически всех производителей SSL-сертификатов с возможностью самому выбирать параметры сравнения до сих пор нигде не было.

Поэтому, чтобы ускорить и облегчить процесс выбора, специалисты REG.RU создали интерактивную таблицу сравнения SSL-сертификатов. Под катом подробности.

В сентябре Почта Mail.Ru включила HTTPS-шифрование для всех пользователей.

Преимущества защищенного соединения очевидны всем разработчикам крупных интернет-проектов. Большинство современных web-серверов (nginx, Apache, etc) и браузеров поддерживают HTTPS. В то же время сайтов, на которых безопасный протокол включен всегда и по умолчанию, не так много. Почему это так? С какими трудностями мы столкнулись при поддержке HTTPS? Читайте под катом.

При обсуждении облачных платформ вполне естественно возникает вопрос о надежности платформы и об ответственности провайдера за ее неполадки. При этом ожидания пользователей самые высокие – все должно идеально работать 25 часов в сутки, 9 дней в неделю и все дни в году. В реальном мире возникают всевозможные проблемы – то при отключении внешнего электроснабжения не отработает переход на резервное, то на дне емкости с дизтопливом окажется конденсат (вода), то 29 февраля «через год» вычислят увеличением года на единицу.

Не последнее место в списке проблем занимают сертификаты для SSL. Например, совершенно неожиданно может истечь срок действия сертификата какого-нибудь облачного сервиса.

Кто виноват, и что делать?

Давным-давно в нашей хостинг-панели Parallels Plesk Panel мы сделали такую интересную фишечку: если вводился адрес панели с указанием порта (8443), но без указания шифрования (https), то Plesk перенаправлял пользователя на адрес https://<server_hostname>:8443. Это было удобно. Кто-то к этому поведению привык. А кто-то — даже учел в своих процессах. В версии 11.5 мы заменили веб-сервер, обслуживающий сам Plesk, c lighttpd на nginx. И нечаянно сломали ту самую маленькую фишечку. Просто не смогли придумать, зачем бы она была нужна, и с новым веб-сервером ее не реализовали. Пользователям, обращавшимся по адресу http://:8443, стала показываться ошибка 400 - «Bad request».

Наши пользователи тут же напомнили нам, написав отзыв на forum.parallels.com (а мы читаем наш форум, да), - что ломать хорошие фичи и не давать ничего взамен - это плохо. Простите нас :) Вы скоро сможете увидеть в превью Parallels Plesk Panel 12.x, что мы ее вернули.


Это произошло еще 29 сентября, но новость прошла незамеченной мимо Хабра.
Как написано в блоге компании, «еще вчера в интернете было 2 миллиона сайтов, поддерживающих SSL. Сегодня мы удвоим это число.»

Что предлагается вкратце: бесплатные wildcard-сертификаты, поддержка SPDY, возможность зашифровать трафик также между cloudflare и вашим сервером. Заинтересовавшихся прошу под кат.

Доброго времени суток, уважаемые товарищи Хабра.
На написание статьи заметки, меня побудила статья: «Мигрируем на HTTPS».

Напоминаю, что китайцы в лице компании WoSign до сих пор раздают бесплатно сертификаты и теперь не обязательно знать китайский язык для того, чтобы его получить. Метод по статье «Бесплатные SSL-сертификаты на 2 года с поддержкой до 100 доменов» на данный момент не работает и за сертификат китайцы хотят от ￥488.

Доброго времени суток, Хабражители.
Прочитав статьи №1 и №2 (про бесплатные SSL сертификаты от китайских друзей WoSign столкнулся с тем, что многие не могут добиться OCSP stapling = Yes для этих сертификатов.
Хочу рассказать как этого добился я.

Мы получили сертификат WoSign, залили на сервер.
И так, приступим.