В конфигурации nginx добавить: add_header Strict-Transport-Security max-age=31536000;
31536000 как пример, столько секунд в году, и столько времени ваш сайт можно будет посещать только по HTTPS. Подробнее здесь. Как минимум нужно устанавливать 15768000 (полгода), с меньшим значением A+ не будет.
У StartSSL было, но убрали из-за плохой поддержки, у меня CSR неправильно обрабатывался, пока ещё было доступно. Можно на 3 месяца у Comodo, у них поддержка ".рф" из коробки.
Помимо наличия корневого сертификата, у WoSign есть промежуточные, выданные от StartCom и Comodo. Лучше заранее проверить, к какому корню будет вести цепочка сертификации.
Так если посещать сайт только в приватном режиме, HSTS работает в рамках этой приватной сессии. Достаточно закрыть все приватные окна, открыть одно заново, и первый запрос снова будет HTTP.
Update (Mar. 5): Further testing confirms that far more browsers are susceptible to the FREAK attack than originally believed. The following browsers appear to be vulnerable:
•Internet Explorer
•Chrome on Mac OS and Android < — нет iOS
•Safari on Mac OS and iOS
•Blackberry Browser
•Opera on Mac OS and Linux
(Earlier versions of our browser test gave incorrect results for IE; it is vulnerable.)
Не получилось отправить в Google Play содержательный и полезный для автора отзыв, потому что Google требовал его публикацию от настоящего имени через Google+. Только палки в колёса себе же ставят.
А я об этом и пишу: habrahabr.ru/post/252433/#comment_8318623
Да, ещё вот здесь месяц назад: habrahabr.ru/post/249529/#comment_8265737
В вашем случае ещё и вместо промежуточного отдаётся корневой сертификат, цепочка неправильная, об этом тоже писал.
add_header Strict-Transport-Security max-age=31536000;
31536000 как пример, столько секунд в году, и столько времени ваш сайт можно будет посещать только по HTTPS. Подробнее здесь. Как минимум нужно устанавливать 15768000 (полгода), с меньшим значением A+ не будет.
2. Право аннулирования сертификата за CA.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-----END CERTIFICATE-----
С сайта: