Comments 85
только для некоммерческого использования
причем коммерческое оно или нет — они решают сами
вполне можно столкнуться с тем, что через год вам продлевать сертификат откажутся и попросят денег
Хорошо, хоть для не коммерческого использования можно применять.
Если для коммерческого сайта, который приносит хотя бы 100 тысяч в год чистой прибыли, необходимо шифрование, то потратить порядка нескольких тысяч в год на сертификат — это не большая сумма.
Там — недорого. $65 за любое количество сертификатов на три года (1 год работает возможность генерить сертификаты + 2 года — срок действия самих сертификатов). Итого — чуть меньше $22/год за сколько хочешь сертификатов.
А вы уверены, что только для некоммерческого? Сходу нету на сайте ничего такого вроде.
Это они потом говорят, когда в выдаче сертификата отказывают и ты у них спрашиваешь почему.
Например, они мне отказались выдавать сертификат, углядев в моём домашнем адресе (с номером квартиры, кстати) коммерческий адрес и попросили доказать обратное. Не поняв, как доказать, что я не верблюд, решил всё-таки купить сертификат у своего хостера.
Вот только у них геморрой с аутентификацией.
Сначала это незаметно. А вот когда срок сертификата аутентификации истекает, ты идёшь в FAQ и узнаёшь, что нужно регистрировать новую учётку и писать в саппорт, чтобы на неё перенесли твои домены.
Я на это дело посмотрел и пошёл покупать сертификат за деньги.
Так было около полутора-двух лет назад. Как дела сейчас обстоят — не знаю.
Можно просто обновить свой сертификат до того как он истек (в последний месяц вроде обновлять можно), тогда этой проблемы не возникает.
Когда я пользовался их сервисом, мне не приходило напоминаний, что надо продлить сертификат. Узнал по факту.
Я, конечно, понимаю, что можно поставить напоминание в календаре, но всё же. Мне было проще купить сертификат за ~$5, чем маяться с восстановлением. Было бы нужно несколько — может быть, остался бы с ними и экономил. Вот если wildcard нужен будет — скорее всего, обращусь к ним снова. А пока вот WoSign попробую.
мне исправно приходят уведомления за 2 недели до кноца уже 3-й год,
и на сертификаты на email и на сертификаты на домены…

может уведомление порезало спам фильтром?
может уведомление порезало спам фильтром?
Кстати, Gmail режет уведомления от Certum. Если бы не выключенный спам-фильтр, было бы очень печально.
Че-то в свете того, что китайцы по-тихому взламывают в Интернете нужные им цели как-то ссыкотно у них сертификат заказывать.
А как заказанный у них сертификат может на что-либо повлиять?
1. CRL и OCSP-серверы в Китае, пинг 400-450 мс, высокая задержка при первом посещении сайта.
2. Право аннулирования сертификата за CA.
1. Частично решается с помощью OCSP stampling. Для бизнеса, которому важна скорость загрузки сайта для той доли пользователей, чьи браузеры не поддерживают это, это может быть важно, согласен.
2. Имхо, вообще не проблема. С чего они будут аннулировать CA? Я может просто не слышал таких историй, но вроде просто так не должны аннулировать. А если вдруг и аннулируют — ну выпустите другой сертификат. Domain-Verified сертификат за полчаса можно купить где угодно.

Мне интересно было про «повлиять» именно в связи с тем, что якобы китайцы что-то по-тихому взламывают. Просто если кто-то думает, что выпустив сертификат для вашего сервера они могут что-либо взломать, то это не так. Точнее так только в том странном случае, если вы доверили генерацию закрытого ключа им. Но так делать не следует в любом случае, это азы криптографии.
Да, я как раз имел в виду тот случай, если они же генерируют закрытую часть.
Подконтрольный CA+ботнет на роутерах-мыльницах = MITM без палева.
Для получения ssl сертификата потребуется знание английского, работающий ящик администратора вашего домена и 15 свободных минут.
Причём эти 15 минут уйдут на ожидание открытия страницы =)
Видимо, хабраэффект сработал, сейчас сайт долго тупит, а потом отдаёт 504 Gateway Time-out.
caine, прошу внимательней читать, я указал, что тот метод уже не работает и предоставил новую ссылку :)
А кто у них корневой сертификат? На buy.wosign.com/ отдаёт «UTN — DATACorp SGC». В прошлой теме писали про StartCOM. StartCOM не интересен, ибо Java таких не знает. А если от имени «UTN — DATACorp SGC», то это ведь совсем другое дело.
Помимо наличия корневого сертификата, у WoSign есть промежуточные, выданные от StartCom и Comodo. Лучше заранее проверить, к какому корню будет вести цепочка сертификации.
Сгенерить сертификаты можно только один раз? Вдруг мне на ещё один поддомен понадобится сертификат, что делать в таком случае?
Там можно указать несколько доменов. Мне требовался только один, не проверял на сколько доменов можно генерировать. Но поле ввода у них достаточное для большого количества. Кто-то уже сделал себе на несколько доменов?
Отправил форму еще с утра, пока ничего на почту от них не пришло. В заявке указал около 6 поддоменов. Ждем-с
Вот, спустя сутки пришло письмо с ссылкой на сертификат. Действительно, для всех субдоменов — один сертификат. Порадовало что в итоговом архиве с сертификатом — уже всё подготовлено для различных серверов (apache, iis, nginx, tomcat, etc) — мелочь, как говорится, а приятно. SHA1 на 1 год, запустился сразу на тестовом домене (nginx)
Так при указании нескольких доменов выдается один общий сертификат на все. Т.е. если понадобилось отозвать сертификат (где-то читал, что они бесплатно отзывают, но не уверен) для какого-то домена, отзывается для всех сразу. По-моему, это не есть хорошо.
Появился 4-й шаг при регистрации. Видимо сделали, чтобы не так быстро разбирали «горячие» SSL.
StartSSL тоже.рф не поддерживает, печаль. Я так понимаю, для .xn--p1ai сертификат бесплатно никак не получишь?
У StartSSL было, но убрали из-за плохой поддержки, у меня CSR неправильно обрабатывался, пока ещё было доступно. Можно на 3 месяца у Comodo, у них поддержка ".рф" из коробки.
Кто подскажет, как довести до А+? результаты
А по поводу сертификатов — лучше потратиться, тем более траты не такие-то и большие для одного домена (а кому надо с поддоменами — это особый случай, но тут уже без оплаты маловероятно получить вменяемый сертификат с гарантией).
В конфигурации nginx добавить:
add_header Strict-Transport-Security max-age=31536000;

31536000 как пример, столько секунд в году, и столько времени ваш сайт можно будет посещать только по HTTPS. Подробнее здесь. Как минимум нужно устанавливать 15768000 (полгода), с меньшим значением A+ не будет.
Это уже есть:
часть конфига
        listen   443 ssl deferred spdy;
        #listen   [::]:80 default ipv6only=on; ## listen for ipv6

        ssl                     on;
        ssl_stapling            on;
        ssl_stapling_verify     on;
        ssl_trusted_certificate ssl/trustchain.pem;
        ssl_certificate         ssl/ssl-bundle.crt;
        ssl_certificate_key     ssl/andreil_by.key;
        ssl_dhparam             ssl/dhparam.pem;
        ssl_session_cache       shared:SSL:20m;
        ssl_session_timeout     5m;
        ssl_protocols           TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers             'EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DES';
        ssl_prefer_server_ciphers on;

        resolver        8.8.8.8 [2001:4860:4860::8888];

        add_header              X-Frame-Options                 "SAMEORIGIN";
        add_header              X-Content-Type-Options          "nosniff";
        add_header              Strict-Transport-Security       "max-age=31536000";
        add_header              X-XSS-Protection                "1; mode=block";
        add_header              Public-Key-Pins 'pin-sha256="[blah-blah]"; max-age=5184000;';

Ваш сервер не отдаёт все эти заголовки, можете сами проверить: curl -D /dev/stdout andreil.by

Помимо прочего у вас лишние сертификаты в отдаваемой цепочке, изучите раздел «Certification Paths» в вашем отчёте. На оценку вроде это не влияет, но всё равно лишние байты при каждом HTTPS-соединении.
Ну да, пересобрать… Или просто поместить пустой index.html, чтобы nginx отдавал заголовки, как я вам в личке написал.

В вашем случае ещё и вместо промежуточного отдаётся корневой сертификат, цепочка неправильная, об этом тоже писал.
Возможно, дело в другом:
Директивы [add_header] наследуются с предыдущего уровня при условии, что на данном уровне не описаны свои директивы add_header.
nginx.org/ru/docs/http/ngx_http_headers_module.html#add_header

Т.е. если вы добавите хотя бы один add_header в location, перестанут работат add_header, указанные выше (в блоках server и http).

Против этого может помочь плагин headers-more с директивой more_set_headers.
Эти директивы складываются с предыдущими уровнями, а не заменяются.
Вчера заказал сертификат, сегодня утром пришёл. Вспомнил, что забыл добавить домен mail.server.com в сертификат. Заказал ещё раз уже с этим доменом. Буквально через 10 минут пришёл второй сертификат, с доменом. Причём вчерашний сертификат пришёл на один год, а сегодняшний на два года (заказывал на 2 года и тот и тот, CSR один и тот же). Забавно.

Корневой сертификат StartCom Certification Authority кому интересно.
Там теперь аккаунт на WoSign требуют, а регистрация только на китайском. В общем кончилась раздача слонов :)
в хроме прекрасно работает клик правой кнопкой «перевести на русский», если аналогичная всплывашка не появляется.
Мы не ищем легких путей. ;)
Добавил инструкцию по регистрации в заметку. Спасибо.
Регистрация проходит на ура. Сертификаты раздаются. Только одно но… гугл переводчик неверно мне перевел ссылку, где скачать сертификат)))
image
Бродил около него пару часов… потом решил удалить и без регистрации заказать, там на почту приходит ссылка на архив… а тут на тебе)
Про buy.wosign.com/free/ выяснилась некоторая вещь.
Заказывал ssl-сертификат, на этапе валидации домена нужно ввести валидационный емейл.
Создал на своем почтовом сервере адрес admin@mydomain, валидировал домен на него, больше нигде этот емейл не светил.
Через час после валидации (и после создания) на этот емейл пришёл спам.
Причем русскоязычный, родной такой спам.
Не думаю, что это связано с WoSign, скорее это перебор почтовых адресов для спам рассылки.
Если бы создали адрес типо beleberda@mydomain, то ничего бы не пришло.
webmaster, admin, derector, info, noreplay и т.д. являются довольно стандартными и часто используются.
Я создал адрес webmaster@домен.сом — спама нет, возможно с admin вам просто повезло
Тоже решил воспользоваться этим СЦ. Вроде норм. Получил сертификат на 3 года на несколько доменов. Столкнулся с небольшой трудностью — не могу найти как подключить (получить для начала) промежуточные сертификаты. А так же как сделать поддержку OCSP. Домен на проверке выдаёт C. Выше никак ((
Вот конфиг
server {
listen 443 ssl spdy;
server_name kai-zer.ru;
root /path/to/root;
index index.php;
add_header Strict-Transport-Security max-age=31536000;
ssl on;
ssl_protocols TLSv1 TLSv1.2 TLSv1.2;
ssl_session_cache shared:SSL:20m;
ssl_session_timeout 10m;
ssl_certificate /root/ssl/1_kai-zer.ru_bundle.crt;
ssl_certificate_key /root/ssl/2_kai-zer.ru.key;
ssl_ciphers 'EECDH+ECDSA+AESGCM:AES128+EECDH:AES128+EDH:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!CAMELLIA:!ADH';
ssl_prefer_server_ciphers on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 10s;
add_header X-Frame-Options «DENY»;
add_header X-Content-Type-Options «nosniff»;
add_header Strict-Transport-Security «max-age=31536000»;
add_header Public-Key-Pins 'pin-sha256=«5R/vW29oE/61kwZ2ITx5YCY7tesJlPGcYnd+C3+/JF0=»; max-age=5184000;';

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /root/ssl/trustchain.pem;
ssl_stapling_responder ocsp2.wosign.cn/ca2g2/server1/free;
ssl_dhparam /root/ssl/dh.pem;

location / {
index index.php;
}
location ~ \.php$ {
include fastcgi_params;
fastcgi_pass unix:/var/run/php5-fpm.sock;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
}
}



Может кто даст толковое объяснение как это всё настроить?
Если не будет цепочки, то браузеры будут считать сертификат не доверенным.
Попробуй так

в server добавь
ssl on;
ssl_certificate key.crt;
ssl_certificate_key key.key;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers «RC4:HIGH:!aNULL:!MD5:!kEDH»;
add_header Strict-Transport-Security 'max-age=604800';

А в http добавь
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;
ssl_prefer_server_ciphers on;
ssl_stapling on;
resolver 8.8.8.8;
У nginx OCSP stapling работает странно. Читал, что обязательно включить его на всех виртуальных хостах, для которых включен SSL. Иначе работать не будет.
При включённом SSL3 максимум можно получить только B или C. Да, и почему наивысший приоритет шифру RC4, использование которого запрещено?
HSTS со сроком в неделю вместо года, но по сравнению с тем, что выше, это уже мелочь :).
UFO landed and left these words here
Ребят, подскажите пожалуйста, есть ли какие-то норм бесплатные альтернативы?
У них теперь ошибка:
Sorry, due to some security consideration,
WoSign decide to close the free SSL certificate application temporarily. Sept. 29th 2016.
Вообще- то он был куплен WoSign, и по идее может иметь те же проблемы.
кто посоветует, что делать?
начал когда то процедуру получения сертификата, пришла ссылка на почтовый ящик о его получении, ну я и подзабил. Сейчас понадобился. Перехожу по ссылке и не могу подобрать пароль на сертификат.
http://prntscr.com/e9z5xu
Хочу восстановить — сука, капча на китайском блть )
http://prntscr.com/e9z6o2
кто сможет ввести капчу?)

Статья была написана несколько лет назад, так что тут этот вопрос немного не уместен.

хм… ну, полученный на одном домене на 2 года работает нормально, в хроме и файерфоксе
Нет, сертификаты уже не работают в бета-версии Chrome 57+ и не будут в ближайшей версии Firefox.

Остается мало времени до того, как выйдет новый релиз браузеров. Лучше поторопиться.

Отличная альтернатива Let's Encrypt — Free SSL/TLS Certificates.

Можно настроить на сервере, чтобы сертификаты обновлялись автоматически каждые 3 месяца, например используя `certbot`. Virtualmin так же может автоматически обновлять сертификаты LetsEncrypt.
Новые сертификаты не работают. Вроде это написано в той статье, что я привёл выше.
можете подсказать?
у меня много поддоменов, свой dns. Часть на одном сервере, часть — на отдельных серверах с отдельными адресами.
Могу ли я автоматизировать все это дело с сертификатами?
Стоит centos 6.x, apache.

Хотелось бы пример/алгоритм, хотя бы по одному доменному имени вида subname.name.ru на отдельном сервере.

Я так понимаю, мне бы помог wildcard сертификат, но они дорогие зараза.
Да, можно автоматизировать. Как уже написали на сайте letsencrypt.org есть достаточное количество информации, как настроить cron для автоматической процедуры выдачи сертификатов каждые 3 месяца.

Мы пользуемся Webmin+Virtualmin. Там все просто. Импортировал виртуальный-сервер (домен), зашел в настройки SSL и добавил LetsEncrypt SSL сертификат. Указать нужно только сам доменпервого уровня + те домены третьего уровня, которые будут использоваться. Здесь важно понимать, что стандартная процедура верификации домена происходит за счет помещения в корневой каталог сайта ключа идентификации в папку .well-known, поэтому все те домены на которые вы хотите получить сертификат должны открываться через браузер, например `http://sub1.domain.com/.well-known/.....`, другими словами они должны быть прописаны в DNS и HTTPd.

Скачать Webmin можно здесь и GPL версию Virtualmin с здесь.

Там 5 минут настройки и все готово. Сертификаты живут только 3 месяца, поэтому в поле как часто обновлять сертификаты должно быть значение меньше или равно трем.
Only those users with full accounts are able to leave comments. Log in, please.