Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 45
Получается, по факту они будут иметь возможность слушать трафик даже на сайтах с ssl.
Честно говоря, для администраторов не вижу явной выгоды в переключении на cloudflare c SSL, ведь валидный годовой сертификат от startssl можно получить совершенно бесплатно, правда не wildcard, а на www и домен второго уровня.
Честно говоря, для администраторов не вижу явной выгоды в переключении на cloudflare c SSL, ведь валидный годовой сертификат от startssl можно получить совершенно бесплатно, правда не wildcard, а на www и домен второго уровня.
Там надо светить свои данные для получения сертификата
Предоставить данные для получения сертификата ( кстати сертификат первого уровня требует только подтверждения владения доменом ) и предоставить весь свой веб трафик, немного разные вещи.
Покажите мне любое место где предлагается только подтвердить права владения доменом и не просят ФИО
nikolayvaganov выше написал, что StartSSL требует подтверждение только владения доменом для бесплатного сертификата(www.example.com, example.com, some.example.com)
p.s. Но никто не мешает сделать десять сертификатов на десять поддоменов.
p.s. Но никто не мешает сделать десять сертификатов на десять поддоменов.
Мешает. У startssl на один домен можно только один сертификат получить. Либо domain+www.domain или domain+anything.domain
Либо уже пройти платную процедуру подтверждения (да, тут анонимности уже не будет), и строгать все, что надо.
А в чем проблема? Себя не хочется называть, или тупо денег жалко?
А в чем проблема? Себя не хочется называть, или тупо денег жалко?
Либо за год что-то изменилось, либо вы делаете что-то не так. У меня два действующих сертификата на одном аккаунте: www.domain.com + domain.com и secure.domain.com + domain.com
На втором аккаунте на этот же домен есть сертификат www.domain.com + domain.com.
Так что попробуйте еще раз завести новый сертификат на старый домен, указав другой поддомен. А если всё же не удастся, зарегистрируйте другой аккаунт и верифицируйте в нем этот же домен.
На втором аккаунте на этот же домен есть сертификат www.domain.com + domain.com.
Так что попробуйте еще раз завести новый сертификат на старый домен, указав другой поддомен. А если всё же не удастся, зарегистрируйте другой аккаунт и верифицируйте в нем этот же домен.
Со вторым аккаунтом, как я понимаю, нужно что бы срок верификации прошел, он там на 30 дней, что ли верифицируется, через 30 дней второй аккаунт может на себя спокойно.
Что-то вы придумываете. Нет такого понятия, как «верификация аккаунта». Есть понятие «верификация домена», «верификация емэйла», «верификация личности» и «верификация компании». Первые два бесплатны и проходят в автоматическом режиме. Второй и третий — платные процедуры, проверяются людьми, нужны для wildcard и сертификатов с собственным именем в адресной строке.
Любые базовые самые дешевые сертификаты.
Подтверждаются кликом по ссылке, которая придет на email указанный в whois домена.
Подтверждаются кликом по ссылке, которая придет на email указанный в whois домена.
Наверное, к Universal SSL не стоит относиться как к панацее. Это решение, позволяющее закрыть SSL'ем даже те сайты, на которые тратить хотя бы несколько долларов на сертификат бессмысленно. Все равно это лучше, чем полностью открытый трафик, хотя бы по такой причине.
Я бы сказал, что в данном случае больше выгоды получает конечный посетитель, чем администратор ресурса.
Если вы и так пользуетесь cloudflare и уже пропускаете через него свой трафик в виде HTTP — лишняя опция не помешает.
А интернет-магазины, финансы и другие сервисы вряд ли будут переходить на такую схему.
Что касается StartSSL — и тут и там есть свои плюсы и минусы. Все индивидуально в каждом случае. Вообще говоря, чем шире выбор вариантов — тем лучше :)
Я бы сказал, что в данном случае больше выгоды получает конечный посетитель, чем администратор ресурса.
Если вы и так пользуетесь cloudflare и уже пропускаете через него свой трафик в виде HTTP — лишняя опция не помешает.
А интернет-магазины, финансы и другие сервисы вряд ли будут переходить на такую схему.
Что касается StartSSL — и тут и там есть свои плюсы и минусы. Все индивидуально в каждом случае. Вообще говоря, чем шире выбор вариантов — тем лучше :)
Так и wildcard сертификат нынче покупается за единицы (максимум — за десятки) долларов, дешевле даже бизнес-ланча в иных местах.
В любом случае, бесплатный сертификат — это лишние риски. startssl могут отозвать серт, если решат, что использование стало коммерческим. А уж если сайт требует cdn, верно, поток юзеров, серьезно поменявшийся, случись сертификату оказаться отозванным, уже окупит покупку платного.
В любом случае, бесплатный сертификат — это лишние риски. startssl могут отозвать серт, если решат, что использование стало коммерческим. А уж если сайт требует cdn, верно, поток юзеров, серьезно поменявшийся, случись сертификату оказаться отозванным, уже окупит покупку платного.
Нигде еще не встречал за единицы. Если поделитесь ссылкой — буду очень признателен!
Сорри, с единицами я махнул. Wildcard — за «десятки» есть, но даже $70 — это все же не смертельно.
За единицы долларов дают только на один домен, Вы правы.
За единицы долларов дают только на один домен, Вы правы.
Вариант Full SSL допускает использование любого самоподписанного сертификата, что ненамного надежнее первой схемы и защищает трафик только от пассивного прослушивания.
Хм, скорей всего я не понимаю схему работы центров сертификации и SSL.
Но почему нельзя указать в Cloudflare самоподписанный сертификат так, чтобы только этот сертификат и был валидным для этого домена?
Трафик от пользователя идёт к cloudflare — он валиден как в схеме flexible ssl. А почему трафик между cloudflare и сайтом нельзя закрыть самоподписанным, но одним конкретным сертификатом и попытки соединений с другим сертификатом отвергать как невалидные?
Yandexbot уже умеет SNI или все еще нет?
Если верить www.ssllabs.com/ssltest/viewClient.html?name=YandexBot&version=Sep%202014, то умеет.
Фигня полная этот Cloudflare.
1 октября перевел свой сайт на их CDN как раз из-за возможности бесплатного SSL, 3 октября вернул все на место ибо сертификат они дают совершенно левый (что-то типа ssl2000.cloudflare.com) и никаким SNI там не пахнет, ни один браузер (IE11, Firefox, Chrome) нормально мой сайт не стал открывать по https, все браузеры выводили сообщение, что возможно Вы стали жертвой атаки, данные сертификата и домена не совпадают. Нафига мне такое счастье? Уж проще купить дешовый VPS и сделать хотя бы самоподписной сертификат.
1 октября перевел свой сайт на их CDN как раз из-за возможности бесплатного SSL, 3 октября вернул все на место ибо сертификат они дают совершенно левый (что-то типа ssl2000.cloudflare.com) и никаким SNI там не пахнет, ни один браузер (IE11, Firefox, Chrome) нормально мой сайт не стал открывать по https, все браузеры выводили сообщение, что возможно Вы стали жертвой атаки, данные сертификата и домена не совпадают. Нафига мне такое счастье? Уж проще купить дешовый VPS и сделать хотя бы самоподписной сертификат.
Что-то у вас не так пошло.
Да, сертификат вида что-то-там.cloudflaressl.com, но он показывается валидным для домена.
linux-lynx.ru
Вот пример.
Вижу сертификат зелененьким.
Да, индекс там пустой, это так должно быть. Домен завернул на CF чисто для тестирования их sslа.
Да, сертификат вида что-то-там.cloudflaressl.com, но он показывается валидным для домена.
linux-lynx.ru
Вот пример.
Вижу сертификат зелененьким.
Да, индекс там пустой, это так должно быть. Домен завернул на CF чисто для тестирования их sslа.
Возможно что-то пошло не так у cloudflare, но по виду в панели управления все было ОК, разбираться с тех.поддержкой и ждать у моря погоды на бесплатном тарифе не было желания, поэтому перевел все на старую схему, а то пользователи сайта стали возмущатся перебоями в работе в связи с изменением dns.
Ну первые дни у них могли быть странности.
Сейчас, как видите, все нормально.
Сейчас, как видите, все нормально.
У коллеги сайт был на cloudflare, никто в панель CF специально не заходил и настройки не менял. Вчера проверили — все работает по https:// вполне корректно.
Другое дело, что по умолчанию движок сайта пытался все ресурсы отдавать по http, но это решилось галочкой Force SSL в настройках движка.
Другое дело, что по умолчанию движок сайта пытался все ресурсы отдавать по http, но это решилось галочкой Force SSL в настройках движка.
попробовал перевести свой сайт на этот сертификат. в старой опере 12.17, которая еще действительно опера, и с которой многие не хотят расставаться — сайт не открывается. печально, шансы на то, что пофиксят несовместимость со старым браузером близки к нулю.
как вариант, делать https на сайте не принудительно, а опционально.
Либо использовать платный тариф cloudflare (если нужна cdn), либо просто получить сертификат у startssl/comodo/… и использовать его на своем сервере…
Либо использовать платный тариф cloudflare (если нужна cdn), либо просто получить сертификат у startssl/comodo/… и использовать его на своем сервере…
Я понимаю, что сейчас прибегут фанаты Оперы и меня побьют, но www.w3schools.com/browsers/browsers_opera.asp
O 12 — 0.2 %
Можно просто игнорировать.
O 12 — 0.2 %
Можно просто игнорировать.
зачем же бить, если можно задавить фактами :) в рунете Opera 12 — 3.7%, что в 2 с небольшим раза меньше, чем FF и больше, чем Explorer 11
Опера не поддерживает ECDSA, из алгоритмов с Forward secrecy только DHE_RSA, а он медленый и ресурсоемкий. RC4 уже не считается безопасным (и он так же накладнее, чем ECDSA), поэтому увы, совместимости не светит
Пишу с 12.17
Пишу с 12.17
Итого получается, что таким сертификатом можно подписать хоть google хоть paypal…
Хотя я так понимаю каждый раз при добавлении домена у них динамически создается новый сертификат, правда с задержкой.
И да…
Opera 12- не поддеживает ECDSA, только DHE
Хотя я так понимаю каждый раз при добавлении домена у них динамически создается новый сертификат, правда с задержкой.
И да…
Desktop Browsers
Opera 8 with TLS 1.1 enabled
Opera 12- не поддеживает ECDSA, только DHE
Да, но при этом потребуется подтвердить владение этими доменами и перенаправить их трафик в cloudflare.
А в случае с Google (ЕМНИП, поправьте в комментах, если что) еще и обойти certificate pinning как минимум в Chrome.
А в случае с Google (ЕМНИП, поправьте в комментах, если что) еще и обойти certificate pinning как минимум в Chrome.
Я немного о другом. Обычно ЦС при создании сертификата вроде не дает создать на домены типа goooogle, googie, и т.д. Возможно я ошибаюсь, но мне кажется что базовые проверки на сходство с популярными сервисами есть. Да, для этого существует Exxtended Validation — но если в платежных системох он много где встречается, то например в почтовиках — практически нигде.
Поможет такой способ?
https://habr.com/sandbox/107804/
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Cloudflare включил бесплатный SSL для всех сайтов