Как стать автором
Обновить

Комментарии 85

Всё-таки для CSR я бы выбрал самостоятельную генерацию.
StartSSL давно и стабильно раздает бесплатные сертификаты.
только для некоммерческого использования
причем коммерческое оно или нет — они решают сами
вполне можно столкнуться с тем, что через год вам продлевать сертификат откажутся и попросят денег
Хорошо, хоть для не коммерческого использования можно применять.
Если для коммерческого сайта, который приносит хотя бы 100 тысяч в год чистой прибыли, необходимо шифрование, то потратить порядка нескольких тысяч в год на сертификат — это не большая сумма.
Там — недорого. $65 за любое количество сертификатов на три года (1 год работает возможность генерить сертификаты + 2 года — срок действия самих сертификатов). Итого — чуть меньше $22/год за сколько хочешь сертификатов.
А вы уверены, что только для некоммерческого? Сходу нету на сайте ничего такого вроде.
Это они потом говорят, когда в выдаче сертификата отказывают и ты у них спрашиваешь почему.
Например, они мне отказались выдавать сертификат, углядев в моём домашнем адресе (с номером квартиры, кстати) коммерческий адрес и попросили доказать обратное. Не поняв, как доказать, что я не верблюд, решил всё-таки купить сертификат у своего хостера.
Вот только у них геморрой с аутентификацией.
Сначала это незаметно. А вот когда срок сертификата аутентификации истекает, ты идёшь в FAQ и узнаёшь, что нужно регистрировать новую учётку и писать в саппорт, чтобы на неё перенесли твои домены.
Я на это дело посмотрел и пошёл покупать сертификат за деньги.
Так было около полутора-двух лет назад. Как дела сейчас обстоят — не знаю.
Можно просто обновить свой сертификат до того как он истек (в последний месяц вроде обновлять можно), тогда этой проблемы не возникает.
Когда я пользовался их сервисом, мне не приходило напоминаний, что надо продлить сертификат. Узнал по факту.
Я, конечно, понимаю, что можно поставить напоминание в календаре, но всё же. Мне было проще купить сертификат за ~$5, чем маяться с восстановлением. Было бы нужно несколько — может быть, остался бы с ними и экономил. Вот если wildcard нужен будет — скорее всего, обращусь к ним снова. А пока вот WoSign попробую.
мне исправно приходят уведомления за 2 недели до кноца уже 3-й год,
и на сертификаты на email и на сертификаты на домены…

может уведомление порезало спам фильтром?
может уведомление порезало спам фильтром?
Кстати, Gmail режет уведомления от Certum. Если бы не выключенный спам-фильтр, было бы очень печально.
Че-то в свете того, что китайцы по-тихому взламывают в Интернете нужные им цели как-то ссыкотно у них сертификат заказывать.
НЛО прилетело и опубликовало эту надпись здесь
1. CRL и OCSP-серверы в Китае, пинг 400-450 мс, высокая задержка при первом посещении сайта.
2. Право аннулирования сертификата за CA.
НЛО прилетело и опубликовало эту надпись здесь
Да, я как раз имел в виду тот случай, если они же генерируют закрытую часть.
Подконтрольный CA+ботнет на роутерах-мыльницах = MITM без палева.
Любой CA может выпустить любой сертификат же.
Для получения ssl сертификата потребуется знание английского, работающий ящик администратора вашего домена и 15 свободных минут.
Причём эти 15 минут уйдут на ожидание открытия страницы =)
Видимо, хабраэффект сработал, сейчас сайт долго тупит, а потом отдаёт 504 Gateway Time-out.
caine, прошу внимательней читать, я указал, что тот метод уже не работает и предоставил новую ссылку :)
НЛО прилетело и опубликовало эту надпись здесь
Помимо наличия корневого сертификата, у WoSign есть промежуточные, выданные от StartCom и Comodo. Лучше заранее проверить, к какому корню будет вести цепочка сертификации.
Сгенерить сертификаты можно только один раз? Вдруг мне на ещё один поддомен понадобится сертификат, что делать в таком случае?
Там можно указать несколько доменов. Мне требовался только один, не проверял на сколько доменов можно генерировать. Но поле ввода у них достаточное для большого количества. Кто-то уже сделал себе на несколько доменов?
Отправил форму еще с утра, пока ничего на почту от них не пришло. В заявке указал около 6 поддоменов. Ждем-с
Вот, спустя сутки пришло письмо с ссылкой на сертификат. Действительно, для всех субдоменов — один сертификат. Порадовало что в итоговом архиве с сертификатом — уже всё подготовлено для различных серверов (apache, iis, nginx, tomcat, etc) — мелочь, как говорится, а приятно. SHA1 на 1 год, запустился сразу на тестовом домене (nginx)
Так при указании нескольких доменов выдается один общий сертификат на все. Т.е. если понадобилось отозвать сертификат (где-то читал, что они бесплатно отзывают, но не уверен) для какого-то домена, отзывается для всех сразу. По-моему, это не есть хорошо.
Появился 4-й шаг при регистрации. Видимо сделали, чтобы не так быстро разбирали «горячие» SSL.
Не работает для.рф доменов, к сожалению
StartSSL тоже.рф не поддерживает, печаль. Я так понимаю, для .xn--p1ai сертификат бесплатно никак не получишь?
У StartSSL было, но убрали из-за плохой поддержки, у меня CSR неправильно обрабатывался, пока ещё было доступно. Можно на 3 месяца у Comodo, у них поддержка ".рф" из коробки.
Кто подскажет, как довести до А+? результаты
А по поводу сертификатов — лучше потратиться, тем более траты не такие-то и большие для одного домена (а кому надо с поддоменами — это особый случай, но тут уже без оплаты маловероятно получить вменяемый сертификат с гарантией).
В конфигурации nginx добавить:
add_header Strict-Transport-Security max-age=31536000;

31536000 как пример, столько секунд в году, и столько времени ваш сайт можно будет посещать только по HTTPS. Подробнее здесь. Как минимум нужно устанавливать 15768000 (полгода), с меньшим значением A+ не будет.
Это уже есть:
часть конфига
        listen   443 ssl deferred spdy;
        #listen   [::]:80 default ipv6only=on; ## listen for ipv6

        ssl                     on;
        ssl_stapling            on;
        ssl_stapling_verify     on;
        ssl_trusted_certificate ssl/trustchain.pem;
        ssl_certificate         ssl/ssl-bundle.crt;
        ssl_certificate_key     ssl/andreil_by.key;
        ssl_dhparam             ssl/dhparam.pem;
        ssl_session_cache       shared:SSL:20m;
        ssl_session_timeout     5m;
        ssl_protocols           TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers             'EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DES';
        ssl_prefer_server_ciphers on;

        resolver        8.8.8.8 [2001:4860:4860::8888];

        add_header              X-Frame-Options                 "SAMEORIGIN";
        add_header              X-Content-Type-Options          "nosniff";
        add_header              Strict-Transport-Security       "max-age=31536000";
        add_header              X-XSS-Protection                "1; mode=block";
        add_header              Public-Key-Pins 'pin-sha256="[blah-blah]"; max-age=5184000;';

НЛО прилетело и опубликовало эту надпись здесь
Хм, значит, надо будет пересобрать nginx…
Ну да, пересобрать… Или просто поместить пустой index.html, чтобы nginx отдавал заголовки, как я вам в личке написал.

В вашем случае ещё и вместо промежуточного отдаётся корневой сертификат, цепочка неправильная, об этом тоже писал.
Возможно, дело в другом:
Директивы [add_header] наследуются с предыдущего уровня при условии, что на данном уровне не описаны свои директивы add_header.
nginx.org/ru/docs/http/ngx_http_headers_module.html#add_header

Т.е. если вы добавите хотя бы один add_header в location, перестанут работат add_header, указанные выше (в блоках server и http).

Против этого может помочь плагин headers-more с директивой more_set_headers.
Эти директивы складываются с предыдущими уровнями, а не заменяются.
НЛО прилетело и опубликовало эту надпись здесь
Дорогие хабравчане. Родненькие!

Прекратите хабраэффект!
Там теперь аккаунт на WoSign требуют, а регистрация только на китайском. В общем кончилась раздача слонов :)
Описание регистрации прекрасно описано в этом комментарии: habrahabr.ru/post/249529/#comment_8260181
в хроме прекрасно работает клик правой кнопкой «перевести на русский», если аналогичная всплывашка не появляется.
Мы не ищем легких путей. ;)
Добавил инструкцию по регистрации в заметку. Спасибо.
Регистрация проходит на ура. Сертификаты раздаются. Только одно но… гугл переводчик неверно мне перевел ссылку, где скачать сертификат)))
image
Бродил около него пару часов… потом решил удалить и без регистрации заказать, там на почту приходит ссылка на архив… а тут на тебе)
Про buy.wosign.com/free/ выяснилась некоторая вещь.
Заказывал ssl-сертификат, на этапе валидации домена нужно ввести валидационный емейл.
Создал на своем почтовом сервере адрес admin@mydomain, валидировал домен на него, больше нигде этот емейл не светил.
Через час после валидации (и после создания) на этот емейл пришёл спам.
Причем русскоязычный, родной такой спам.
Не думаю, что это связано с WoSign, скорее это перебор почтовых адресов для спам рассылки.
Если бы создали адрес типо beleberda@mydomain, то ничего бы не пришло.
webmaster, admin, derector, info, noreplay и т.д. являются довольно стандартными и часто используются.
Я создал адрес webmaster@домен.сом — спама нет, возможно с admin вам просто повезло
Теперь выдают аж на 3 года.
Подтверждаю, уже получил себе один такой
Тоже решил воспользоваться этим СЦ. Вроде норм. Получил сертификат на 3 года на несколько доменов. Столкнулся с небольшой трудностью — не могу найти как подключить (получить для начала) промежуточные сертификаты. А так же как сделать поддержку OCSP. Домен на проверке выдаёт C. Выше никак ((
Вот конфиг
server {
listen 443 ssl spdy;
server_name kai-zer.ru;
root /path/to/root;
index index.php;
add_header Strict-Transport-Security max-age=31536000;
ssl on;
ssl_protocols TLSv1 TLSv1.2 TLSv1.2;
ssl_session_cache shared:SSL:20m;
ssl_session_timeout 10m;
ssl_certificate /root/ssl/1_kai-zer.ru_bundle.crt;
ssl_certificate_key /root/ssl/2_kai-zer.ru.key;
ssl_ciphers 'EECDH+ECDSA+AESGCM:AES128+EECDH:AES128+EDH:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!CAMELLIA:!ADH';
ssl_prefer_server_ciphers on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 10s;
add_header X-Frame-Options «DENY»;
add_header X-Content-Type-Options «nosniff»;
add_header Strict-Transport-Security «max-age=31536000»;
add_header Public-Key-Pins 'pin-sha256=«5R/vW29oE/61kwZ2ITx5YCY7tesJlPGcYnd+C3+/JF0=»; max-age=5184000;';

ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /root/ssl/trustchain.pem;
ssl_stapling_responder ocsp2.wosign.cn/ca2g2/server1/free;
ssl_dhparam /root/ssl/dh.pem;

location / {
index index.php;
}
location ~ \.php$ {
include fastcgi_params;
fastcgi_pass unix:/var/run/php5-fpm.sock;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
}
}



Может кто даст толковое объяснение как это всё настроить?
А разве без промежуточных сертификатов не работает?
Если не будет цепочки, то браузеры будут считать сертификат не доверенным.
Пробовал вообще простым способом
вот так
ssl on;
ssl_certificate /root/ssl/1_kai-zer.ru_bundle.crt;
ssl_certificate_key /root/ssl/2_kai-zer.ru.key;



Так всё ещё хуже.

Пробовал добавлять корневой сертификат — тоже самое. Лучше не становится. Уровень С — это максимум. С вот такими ответами =(
Попробуй так

в server добавь
ssl on;
ssl_certificate key.crt;
ssl_certificate_key key.key;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers «RC4:HIGH:!aNULL:!MD5:!kEDH»;
add_header Strict-Transport-Security 'max-age=604800';

А в http добавь
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;
ssl_prefer_server_ciphers on;
ssl_stapling on;
resolver 8.8.8.8;
Спасибо )) Теперь выдаёт А+. Возьму на заметку. Осталось решить с OCSP stapling.
У nginx OCSP stapling работает странно. Читал, что обязательно включить его на всех виртуальных хостах, для которых включен SSL. Иначе работать не будет.
При включённом SSL3 максимум можно получить только B или C. Да, и почему наивысший приоритет шифру RC4, использование которого запрещено?
HSTS со сроком в неделю вместо года, но по сравнению с тем, что выше, это уже мелочь :).
OCSP stapling Yes
Оценка A+
Ура! Описал свои действия у себя в блоге
НЛО прилетело и опубликовало эту надпись здесь
Спасибо ) Проблема уже устранена )
Ребят, подскажите пожалуйста, есть ли какие-то норм бесплатные альтернативы?
У них теперь ошибка:
Sorry, due to some security consideration,
WoSign decide to close the free SSL certificate application temporarily. Sept. 29th 2016.
НЛО прилетело и опубликовало эту надпись здесь
Как вариант еще: StartSSL
НЛО прилетело и опубликовало эту надпись здесь
кто посоветует, что делать?
начал когда то процедуру получения сертификата, пришла ссылка на почтовый ящик о его получении, ну я и подзабил. Сейчас понадобился. Перехожу по ссылке и не могу подобрать пароль на сертификат.
http://prntscr.com/e9z5xu
Хочу восстановить — сука, капча на китайском блть )
http://prntscr.com/e9z6o2
кто сможет ввести капчу?)
НЛО прилетело и опубликовало эту надпись здесь

Статья была написана несколько лет назад, так что тут этот вопрос немного не уместен.

хм… ну, полученный на одном домене на 2 года работает нормально, в хроме и файерфоксе
НЛО прилетело и опубликовало эту надпись здесь

Мои сертификаты тоже работают. А эта контора больше не выдаёт сертификаты

Нет, сертификаты уже не работают в бета-версии Chrome 57+ и не будут в ближайшей версии Firefox.

Остается мало времени до того, как выйдет новый релиз браузеров. Лучше поторопиться.

Отличная альтернатива Let's Encrypt — Free SSL/TLS Certificates.

Можно настроить на сервере, чтобы сертификаты обновлялись автоматически каждые 3 месяца, например используя `certbot`. Virtualmin так же может автоматически обновлять сертификаты LetsEncrypt.
НЛО прилетело и опубликовало эту надпись здесь

WoSign — нет. Let's Encrypt — да.

можете подсказать?
у меня много поддоменов, свой dns. Часть на одном сервере, часть — на отдельных серверах с отдельными адресами.
Могу ли я автоматизировать все это дело с сертификатами?
Стоит centos 6.x, apache.

Хотелось бы пример/алгоритм, хотя бы по одному доменному имени вида subname.name.ru на отдельном сервере.

Я так понимаю, мне бы помог wildcard сертификат, но они дорогие зараза.
Спасибо! Мне подошёл bash-вариант с dehydrated
Да, можно автоматизировать. Как уже написали на сайте letsencrypt.org есть достаточное количество информации, как настроить cron для автоматической процедуры выдачи сертификатов каждые 3 месяца.

Мы пользуемся Webmin+Virtualmin. Там все просто. Импортировал виртуальный-сервер (домен), зашел в настройки SSL и добавил LetsEncrypt SSL сертификат. Указать нужно только сам доменпервого уровня + те домены третьего уровня, которые будут использоваться. Здесь важно понимать, что стандартная процедура верификации домена происходит за счет помещения в корневой каталог сайта ключа идентификации в папку .well-known, поэтому все те домены на которые вы хотите получить сертификат должны открываться через браузер, например `http://sub1.domain.com/.well-known/.....`, другими словами они должны быть прописаны в DNS и HTTPd.

Скачать Webmin можно здесь и GPL версию Virtualmin с здесь.

Там 5 минут настройки и все готово. Сертификаты живут только 3 месяца, поэтому в поле как часто обновлять сертификаты должно быть значение меньше или равно трем.
Спасибо! Мне подошёл bash-вариант с dehydrated
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории