Комментарии 85
Всё-таки для CSR я бы выбрал самостоятельную генерацию.
+4
только для некоммерческого использования
причем коммерческое оно или нет — они решают сами
вполне можно столкнуться с тем, что через год вам продлевать сертификат откажутся и попросят денег
причем коммерческое оно или нет — они решают сами
вполне можно столкнуться с тем, что через год вам продлевать сертификат откажутся и попросят денег
0
Хорошо, хоть для не коммерческого использования можно применять.
Если для коммерческого сайта, который приносит хотя бы 100 тысяч в год чистой прибыли, необходимо шифрование, то потратить порядка нескольких тысяч в год на сертификат — это не большая сумма.
Если для коммерческого сайта, который приносит хотя бы 100 тысяч в год чистой прибыли, необходимо шифрование, то потратить порядка нескольких тысяч в год на сертификат — это не большая сумма.
+2
Там — недорого. $65 за любое количество сертификатов на три года (1 год работает возможность генерить сертификаты + 2 года — срок действия самих сертификатов). Итого — чуть меньше $22/год за сколько хочешь сертификатов.
+1
А вы уверены, что только для некоммерческого? Сходу нету на сайте ничего такого вроде.
0
Например, они мне отказались выдавать сертификат, углядев в моём домашнем адресе (с номером квартиры, кстати) коммерческий адрес и попросили доказать обратное. Не поняв, как доказать, что я не верблюд, решил всё-таки купить сертификат у своего хостера.
0
Вот только у них геморрой с аутентификацией.
Сначала это незаметно. А вот когда срок сертификата аутентификации истекает, ты идёшь в FAQ и узнаёшь, что нужно регистрировать новую учётку и писать в саппорт, чтобы на неё перенесли твои домены.
Я на это дело посмотрел и пошёл покупать сертификат за деньги.
Так было около полутора-двух лет назад. Как дела сейчас обстоят — не знаю.
Сначала это незаметно. А вот когда срок сертификата аутентификации истекает, ты идёшь в FAQ и узнаёшь, что нужно регистрировать новую учётку и писать в саппорт, чтобы на неё перенесли твои домены.
Я на это дело посмотрел и пошёл покупать сертификат за деньги.
Так было около полутора-двух лет назад. Как дела сейчас обстоят — не знаю.
0
Можно просто обновить свой сертификат до того как он истек (в последний месяц вроде обновлять можно), тогда этой проблемы не возникает.
0
Когда я пользовался их сервисом, мне не приходило напоминаний, что надо продлить сертификат. Узнал по факту.
Я, конечно, понимаю, что можно поставить напоминание в календаре, но всё же. Мне было проще купить сертификат за ~$5, чем маяться с восстановлением. Было бы нужно несколько — может быть, остался бы с ними и экономил. Вот если wildcard нужен будет — скорее всего, обращусь к ним снова. А пока вот WoSign попробую.
Я, конечно, понимаю, что можно поставить напоминание в календаре, но всё же. Мне было проще купить сертификат за ~$5, чем маяться с восстановлением. Было бы нужно несколько — может быть, остался бы с ними и экономил. Вот если wildcard нужен будет — скорее всего, обращусь к ним снова. А пока вот WoSign попробую.
0
мне исправно приходят уведомления за 2 недели до кноца уже 3-й год,
и на сертификаты на email и на сертификаты на домены…
может уведомление порезало спам фильтром?
и на сертификаты на email и на сертификаты на домены…
может уведомление порезало спам фильтром?
0
может уведомление порезало спам фильтром?Кстати, Gmail режет уведомления от Certum. Если бы не выключенный спам-фильтр, было бы очень печально.
0
Че-то в свете того, что китайцы по-тихому взламывают в Интернете нужные им цели как-то ссыкотно у них сертификат заказывать.
+2
Для получения ssl сертификата потребуется знание английского, работающий ящик администратора вашего домена и 15 свободных минут.Причём эти 15 минут уйдут на ожидание открытия страницы =)
Видимо, хабраэффект сработал, сейчас сайт долго тупит, а потом отдаёт 504 Gateway Time-out.
0
Было ж и совсем недавно — m.habrahabr.ru/post/249529/
-3
НЛО прилетело и опубликовало эту надпись здесь
Сгенерить сертификаты можно только один раз? Вдруг мне на ещё один поддомен понадобится сертификат, что делать в таком случае?
0
Там можно указать несколько доменов. Мне требовался только один, не проверял на сколько доменов можно генерировать. Но поле ввода у них достаточное для большого количества. Кто-то уже сделал себе на несколько доменов?
0
Отправил форму еще с утра, пока ничего на почту от них не пришло. В заявке указал около 6 поддоменов. Ждем-с
0
Вот, спустя сутки пришло письмо с ссылкой на сертификат. Действительно, для всех субдоменов — один сертификат. Порадовало что в итоговом архиве с сертификатом — уже всё подготовлено для различных серверов (apache, iis, nginx, tomcat, etc) — мелочь, как говорится, а приятно. SHA1 на 1 год, запустился сразу на тестовом домене (nginx)
0
Так при указании нескольких доменов выдается один общий сертификат на все. Т.е. если понадобилось отозвать сертификат (где-то читал, что они бесплатно отзывают, но не уверен) для какого-то домена, отзывается для всех сразу. По-моему, это не есть хорошо.
0
China? Joke.
-3
Появился 4-й шаг при регистрации. Видимо сделали, чтобы не так быстро разбирали «горячие» SSL.
0
Не работает для.рф доменов, к сожалению
+1
Кто подскажет, как довести до А+? результаты
А по поводу сертификатов — лучше потратиться, тем более траты не такие-то и большие для одного домена (а кому надо с поддоменами — это особый случай, но тут уже без оплаты маловероятно получить вменяемый сертификат с гарантией).
А по поводу сертификатов — лучше потратиться, тем более траты не такие-то и большие для одного домена (а кому надо с поддоменами — это особый случай, но тут уже без оплаты маловероятно получить вменяемый сертификат с гарантией).
0
В конфигурации nginx добавить:
add_header Strict-Transport-Security max-age=31536000;
31536000 как пример, столько секунд в году, и столько времени ваш сайт можно будет посещать только по HTTPS. Подробнее здесь. Как минимум нужно устанавливать 15768000 (полгода), с меньшим значением A+ не будет.
add_header Strict-Transport-Security max-age=31536000;
31536000 как пример, столько секунд в году, и столько времени ваш сайт можно будет посещать только по HTTPS. Подробнее здесь. Как минимум нужно устанавливать 15768000 (полгода), с меньшим значением A+ не будет.
0
Это уже есть:
часть конфига
listen 443 ssl deferred spdy;
#listen [::]:80 default ipv6only=on; ## listen for ipv6
ssl on;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate ssl/trustchain.pem;
ssl_certificate ssl/ssl-bundle.crt;
ssl_certificate_key ssl/andreil_by.key;
ssl_dhparam ssl/dhparam.pem;
ssl_session_cache shared:SSL:20m;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DES';
ssl_prefer_server_ciphers on;
resolver 8.8.8.8 [2001:4860:4860::8888];
add_header X-Frame-Options "SAMEORIGIN";
add_header X-Content-Type-Options "nosniff";
add_header Strict-Transport-Security "max-age=31536000";
add_header X-XSS-Protection "1; mode=block";
add_header Public-Key-Pins 'pin-sha256="[blah-blah]"; max-age=5184000;';
0
НЛО прилетело и опубликовало эту надпись здесь
Хм, значит, надо будет пересобрать nginx…
0
Ну да, пересобрать… Или просто поместить пустой index.html, чтобы nginx отдавал заголовки, как я вам в личке написал.
В вашем случае ещё и вместо промежуточного отдаётся корневой сертификат, цепочка неправильная, об этом тоже писал.
В вашем случае ещё и вместо промежуточного отдаётся корневой сертификат, цепочка неправильная, об этом тоже писал.
0
Возможно, дело в другом:
Т.е. если вы добавите хотя бы один add_header в location, перестанут работат add_header, указанные выше (в блоках server и http).
Против этого может помочь плагин headers-more с директивой more_set_headers.
Эти директивы складываются с предыдущими уровнями, а не заменяются.
Директивы [add_header] наследуются с предыдущего уровня при условии, что на данном уровне не описаны свои директивы add_header.nginx.org/ru/docs/http/ngx_http_headers_module.html#add_header
Т.е. если вы добавите хотя бы один add_header в location, перестанут работат add_header, указанные выше (в блоках server и http).
Против этого может помочь плагин headers-more с директивой more_set_headers.
Эти директивы складываются с предыдущими уровнями, а не заменяются.
0
НЛО прилетело и опубликовало эту надпись здесь
Дорогие хабравчане. Родненькие!
Прекратите хабраэффект!
Прекратите хабраэффект!
-2
Там теперь аккаунт на WoSign требуют, а регистрация только на китайском. В общем кончилась раздача слонов :)
+1
Описание регистрации прекрасно описано в этом комментарии: habrahabr.ru/post/249529/#comment_8260181
0
Регистрация проходит на ура. Сертификаты раздаются. Только одно но… гугл переводчик неверно мне перевел ссылку, где скачать сертификат)))
Бродил около него пару часов… потом решил удалить и без регистрации заказать, там на почту приходит ссылка на архив… а тут на тебе)
Бродил около него пару часов… потом решил удалить и без регистрации заказать, там на почту приходит ссылка на архив… а тут на тебе)
0
Про buy.wosign.com/free/ выяснилась некоторая вещь.
Заказывал ssl-сертификат, на этапе валидации домена нужно ввести валидационный емейл.
Создал на своем почтовом сервере адрес admin@mydomain, валидировал домен на него, больше нигде этот емейл не светил.
Через час после валидации (и после создания) на этот емейл пришёл спам.
Причем русскоязычный, родной такой спам.
Заказывал ssl-сертификат, на этапе валидации домена нужно ввести валидационный емейл.
Создал на своем почтовом сервере адрес admin@mydomain, валидировал домен на него, больше нигде этот емейл не светил.
Через час после валидации (и после создания) на этот емейл пришёл спам.
Причем русскоязычный, родной такой спам.
0
Не думаю, что это связано с WoSign, скорее это перебор почтовых адресов для спам рассылки.
Если бы создали адрес типо beleberda@mydomain, то ничего бы не пришло.
webmaster, admin, derector, info, noreplay и т.д. являются довольно стандартными и часто используются.
Если бы создали адрес типо beleberda@mydomain, то ничего бы не пришло.
webmaster, admin, derector, info, noreplay и т.д. являются довольно стандартными и часто используются.
+1
Я создал адрес webmaster@домен.сом — спама нет, возможно с admin вам просто повезло
0
Теперь выдают аж на 3 года.
+1
Тоже решил воспользоваться этим СЦ. Вроде норм. Получил сертификат на 3 года на несколько доменов. Столкнулся с небольшой трудностью — не могу найти как подключить (получить для начала) промежуточные сертификаты. А так же как сделать поддержку OCSP. Домен на проверке выдаёт C. Выше никак ((
Может кто даст толковое объяснение как это всё настроить?
Вот конфиг
server {
listen 443 ssl spdy;
server_name kai-zer.ru;
root /path/to/root;
index index.php;
add_header Strict-Transport-Security max-age=31536000;
ssl on;
ssl_protocols TLSv1 TLSv1.2 TLSv1.2;
ssl_session_cache shared:SSL:20m;
ssl_session_timeout 10m;
ssl_certificate /root/ssl/1_kai-zer.ru_bundle.crt;
ssl_certificate_key /root/ssl/2_kai-zer.ru.key;
ssl_ciphers 'EECDH+ECDSA+AESGCM:AES128+EECDH:AES128+EDH:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!CAMELLIA:!ADH';
ssl_prefer_server_ciphers on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 10s;
add_header X-Frame-Options «DENY»;
add_header X-Content-Type-Options «nosniff»;
add_header Strict-Transport-Security «max-age=31536000»;
add_header Public-Key-Pins 'pin-sha256=«5R/vW29oE/61kwZ2ITx5YCY7tesJlPGcYnd+C3+/JF0=»; max-age=5184000;';
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /root/ssl/trustchain.pem;
ssl_stapling_responder ocsp2.wosign.cn/ca2g2/server1/free;
ssl_dhparam /root/ssl/dh.pem;
location / {
index index.php;
}
location ~ \.php$ {
include fastcgi_params;
fastcgi_pass unix:/var/run/php5-fpm.sock;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
}
}
listen 443 ssl spdy;
server_name kai-zer.ru;
root /path/to/root;
index index.php;
add_header Strict-Transport-Security max-age=31536000;
ssl on;
ssl_protocols TLSv1 TLSv1.2 TLSv1.2;
ssl_session_cache shared:SSL:20m;
ssl_session_timeout 10m;
ssl_certificate /root/ssl/1_kai-zer.ru_bundle.crt;
ssl_certificate_key /root/ssl/2_kai-zer.ru.key;
ssl_ciphers 'EECDH+ECDSA+AESGCM:AES128+EECDH:AES128+EDH:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!CAMELLIA:!ADH';
ssl_prefer_server_ciphers on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 10s;
add_header X-Frame-Options «DENY»;
add_header X-Content-Type-Options «nosniff»;
add_header Strict-Transport-Security «max-age=31536000»;
add_header Public-Key-Pins 'pin-sha256=«5R/vW29oE/61kwZ2ITx5YCY7tesJlPGcYnd+C3+/JF0=»; max-age=5184000;';
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /root/ssl/trustchain.pem;
ssl_stapling_responder ocsp2.wosign.cn/ca2g2/server1/free;
ssl_dhparam /root/ssl/dh.pem;
location / {
index index.php;
}
location ~ \.php$ {
include fastcgi_params;
fastcgi_pass unix:/var/run/php5-fpm.sock;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
}
}
Может кто даст толковое объяснение как это всё настроить?
0
Пробовал вообще простым способом
Так всё ещё хуже.
Пробовал добавлять корневой сертификат — тоже самое. Лучше не становится. Уровень С — это максимум. С вот такими ответами =(
вот так
ssl on;
ssl_certificate /root/ssl/1_kai-zer.ru_bundle.crt;
ssl_certificate_key /root/ssl/2_kai-zer.ru.key;
ssl_certificate /root/ssl/1_kai-zer.ru_bundle.crt;
ssl_certificate_key /root/ssl/2_kai-zer.ru.key;
Так всё ещё хуже.
Пробовал добавлять корневой сертификат — тоже самое. Лучше не становится. Уровень С — это максимум. С вот такими ответами =(
0
Попробуй так
в server добавь
ssl on;
ssl_certificate key.crt;
ssl_certificate_key key.key;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers «RC4:HIGH:!aNULL:!MD5:!kEDH»;
add_header Strict-Transport-Security 'max-age=604800';
А в http добавь
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;
ssl_prefer_server_ciphers on;
ssl_stapling on;
resolver 8.8.8.8;
в server добавь
ssl on;
ssl_certificate key.crt;
ssl_certificate_key key.key;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers «RC4:HIGH:!aNULL:!MD5:!kEDH»;
add_header Strict-Transport-Security 'max-age=604800';
А в http добавь
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;
ssl_prefer_server_ciphers on;
ssl_stapling on;
resolver 8.8.8.8;
0
Спасибо )) Теперь выдаёт А+. Возьму на заметку. Осталось решить с OCSP stapling.
0
У nginx OCSP stapling работает странно. Читал, что обязательно включить его на всех виртуальных хостах, для которых включен SSL. Иначе работать не будет.
0
Сделал как описано тут:
А всё равно тестер пишет NO.
www.ssllabs.com/ssltest/analyze.html?d=kai-zer.ru&hideResults=off
А всё равно тестер пишет NO.
www.ssllabs.com/ssltest/analyze.html?d=kai-zer.ru&hideResults=off
0
Мне хватило ssl_stapling on;
www.ssllabs.com/ssltest/analyze.html?d=files.ultracoder.org
www.ssllabs.com/ssltest/analyze.html?d=files.ultracoder.org
0
При включённом SSL3 максимум можно получить только B или C. Да, и почему наивысший приоритет шифру RC4, использование которого запрещено?
HSTS со сроком в неделю вместо года, но по сравнению с тем, что выше, это уже мелочь :).
HSTS со сроком в неделю вместо года, но по сравнению с тем, что выше, это уже мелочь :).
0
0
Ребят, подскажите пожалуйста, есть ли какие-то норм бесплатные альтернативы?
У них теперь ошибка:
Sorry, due to some security consideration,
WoSign decide to close the free SSL certificate application temporarily. Sept. 29th 2016.
У них теперь ошибка:
Sorry, due to some security consideration,
WoSign decide to close the free SSL certificate application temporarily. Sept. 29th 2016.
0
кто посоветует, что делать?
начал когда то процедуру получения сертификата, пришла ссылка на почтовый ящик о его получении, ну я и подзабил. Сейчас понадобился. Перехожу по ссылке и не могу подобрать пароль на сертификат.
http://prntscr.com/e9z5xu
Хочу восстановить — сука, капча на китайском блть )
http://prntscr.com/e9z6o2
кто сможет ввести капчу?)
начал когда то процедуру получения сертификата, пришла ссылка на почтовый ящик о его получении, ну я и подзабил. Сейчас понадобился. Перехожу по ссылке и не могу подобрать пароль на сертификат.
http://prntscr.com/e9z5xu
Хочу восстановить — сука, капча на китайском блть )
http://prntscr.com/e9z6o2
кто сможет ввести капчу?)
0
НЛО прилетело и опубликовало эту надпись здесь
Статья была написана несколько лет назад, так что тут этот вопрос немного не уместен.
0
хм… ну, полученный на одном домене на 2 года работает нормально, в хроме и файерфоксе
0
НЛО прилетело и опубликовало эту надпись здесь
Мои сертификаты тоже работают. А эта контора больше не выдаёт сертификаты
0
Нет, сертификаты уже не работают в бета-версии Chrome 57+ и не будут в ближайшей версии Firefox.
Остается мало времени до того, как выйдет новый релиз браузеров. Лучше поторопиться.
Отличная альтернатива Let's Encrypt — Free SSL/TLS Certificates.
Можно настроить на сервере, чтобы сертификаты обновлялись автоматически каждые 3 месяца, например используя `certbot`. Virtualmin так же может автоматически обновлять сертификаты LetsEncrypt.
Остается мало времени до того, как выйдет новый релиз браузеров. Лучше поторопиться.
Отличная альтернатива Let's Encrypt — Free SSL/TLS Certificates.
Можно настроить на сервере, чтобы сертификаты обновлялись автоматически каждые 3 месяца, например используя `certbot`. Virtualmin так же может автоматически обновлять сертификаты LetsEncrypt.
0
НЛО прилетело и опубликовало эту надпись здесь
WoSign — нет. Let's Encrypt — да.
0
можете подсказать?
у меня много поддоменов, свой dns. Часть на одном сервере, часть — на отдельных серверах с отдельными адресами.
Могу ли я автоматизировать все это дело с сертификатами?
Стоит centos 6.x, apache.
Хотелось бы пример/алгоритм, хотя бы по одному доменному имени вида subname.name.ru на отдельном сервере.
Я так понимаю, мне бы помог wildcard сертификат, но они дорогие зараза.
у меня много поддоменов, свой dns. Часть на одном сервере, часть — на отдельных серверах с отдельными адресами.
Могу ли я автоматизировать все это дело с сертификатами?
Стоит centos 6.x, apache.
Хотелось бы пример/алгоритм, хотя бы по одному доменному имени вида subname.name.ru на отдельном сервере.
Я так понимаю, мне бы помог wildcard сертификат, но они дорогие зараза.
0
https://letsencrypt.org/ рассказывает о вагоне и маленькой тележке способов автоматизации на большинстве ЯП
0
Да, можно автоматизировать. Как уже написали на сайте letsencrypt.org есть достаточное количество информации, как настроить cron для автоматической процедуры выдачи сертификатов каждые 3 месяца.
Мы пользуемся Webmin+Virtualmin. Там все просто. Импортировал виртуальный-сервер (домен), зашел в настройки SSL и добавил LetsEncrypt SSL сертификат. Указать нужно только сам доменпервого уровня + те домены третьего уровня, которые будут использоваться. Здесь важно понимать, что стандартная процедура верификации домена происходит за счет помещения в корневой каталог сайта ключа идентификации в папку .well-known, поэтому все те домены на которые вы хотите получить сертификат должны открываться через браузер, например `http://sub1.domain.com/.well-known/.....`, другими словами они должны быть прописаны в DNS и HTTPd.
Скачать Webmin можно здесь и GPL версию Virtualmin с здесь.
Там 5 минут настройки и все готово. Сертификаты живут только 3 месяца, поэтому в поле как часто обновлять сертификаты должно быть значение меньше или равно трем.
Мы пользуемся Webmin+Virtualmin. Там все просто. Импортировал виртуальный-сервер (домен), зашел в настройки SSL и добавил LetsEncrypt SSL сертификат. Указать нужно только сам доменпервого уровня + те домены третьего уровня, которые будут использоваться. Здесь важно понимать, что стандартная процедура верификации домена происходит за счет помещения в корневой каталог сайта ключа идентификации в папку .well-known, поэтому все те домены на которые вы хотите получить сертификат должны открываться через браузер, например `http://sub1.domain.com/.well-known/.....`, другими словами они должны быть прописаны в DNS и HTTPd.
Скачать Webmin можно здесь и GPL версию Virtualmin с здесь.
Там 5 минут настройки и все готово. Сертификаты живут только 3 месяца, поэтому в поле как часто обновлять сертификаты должно быть значение меньше или равно трем.
+1
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Бесплатные SSL-сертификаты на 2 года от WoSign