Пользователь
6,0
рейтинг
9 марта 2015 в 13:12

Разработка → Бесплатные SSL-сертификаты на 2 года от WoSign

Доброго времени суток, уважаемые товарищи Хабра.
На написание статьи заметки, меня побудила статья: «Мигрируем на HTTPS».

Напоминаю, что китайцы в лице компании WoSign до сих пор раздают бесплатно сертификаты и теперь не обязательно знать китайский язык для того, чтобы его получить. Метод по статье «Бесплатные SSL-сертификаты на 2 года с поддержкой до 100 доменов» на данный момент не работает и за сертификат китайцы хотят от ¥488.


Описывать способ получения ssl сертификата не вижу смысла — аудитория достаточно подкованная для этого.
Предлагаю гражданам Хабра пройти по новой ссылке https://buy.wosign.com/free/ для получения халявы.

Для получения ssl сертификата потребуется знание английского, работающий ящик администратора вашего домена и 15 свободных минут. Удачи!


Update: Согласно комментария ниже, WoSign требует регистрации https://login.wosign.com/reg.html. спасибо HarpyWar за инструкцию.
Регистрация на WoSign





Алексей @m0hn
карма
6,0
рейтинг 6,0
Пользователь
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (71)

  • +4
    Всё-таки для CSR я бы выбрал самостоятельную генерацию.
  • +3
    StartSSL давно и стабильно раздает бесплатные сертификаты.
    • 0
      только для некоммерческого использования
      причем коммерческое оно или нет — они решают сами
      вполне можно столкнуться с тем, что через год вам продлевать сертификат откажутся и попросят денег
      • +2
        Хорошо, хоть для не коммерческого использования можно применять.
        Если для коммерческого сайта, который приносит хотя бы 100 тысяч в год чистой прибыли, необходимо шифрование, то потратить порядка нескольких тысяч в год на сертификат — это не большая сумма.
      • +1
        Там — недорого. $65 за любое количество сертификатов на три года (1 год работает возможность генерить сертификаты + 2 года — срок действия самих сертификатов). Итого — чуть меньше $22/год за сколько хочешь сертификатов.
      • 0
        А вы уверены, что только для некоммерческого? Сходу нету на сайте ничего такого вроде.
        • 0
          Это они потом говорят, когда в выдаче сертификата отказывают и ты у них спрашиваешь почему.
    • 0
      Например, они мне отказались выдавать сертификат, углядев в моём домашнем адресе (с номером квартиры, кстати) коммерческий адрес и попросили доказать обратное. Не поняв, как доказать, что я не верблюд, решил всё-таки купить сертификат у своего хостера.
    • 0
      Вот только у них геморрой с аутентификацией.
      Сначала это незаметно. А вот когда срок сертификата аутентификации истекает, ты идёшь в FAQ и узнаёшь, что нужно регистрировать новую учётку и писать в саппорт, чтобы на неё перенесли твои домены.
      Я на это дело посмотрел и пошёл покупать сертификат за деньги.
      Так было около полутора-двух лет назад. Как дела сейчас обстоят — не знаю.
      • 0
        Можно просто обновить свой сертификат до того как он истек (в последний месяц вроде обновлять можно), тогда этой проблемы не возникает.
        • 0
          Когда я пользовался их сервисом, мне не приходило напоминаний, что надо продлить сертификат. Узнал по факту.
          Я, конечно, понимаю, что можно поставить напоминание в календаре, но всё же. Мне было проще купить сертификат за ~$5, чем маяться с восстановлением. Было бы нужно несколько — может быть, остался бы с ними и экономил. Вот если wildcard нужен будет — скорее всего, обращусь к ним снова. А пока вот WoSign попробую.
          • 0
            мне исправно приходят уведомления за 2 недели до кноца уже 3-й год,
            и на сертификаты на email и на сертификаты на домены…

            может уведомление порезало спам фильтром?
            • 0
              может уведомление порезало спам фильтром?
              Кстати, Gmail режет уведомления от Certum. Если бы не выключенный спам-фильтр, было бы очень печально.
  • +2
    Че-то в свете того, что китайцы по-тихому взламывают в Интернете нужные им цели как-то ссыкотно у них сертификат заказывать.
    • +1
      А как заказанный у них сертификат может на что-либо повлиять?
      • +1
        1. CRL и OCSP-серверы в Китае, пинг 400-450 мс, высокая задержка при первом посещении сайта.
        2. Право аннулирования сертификата за CA.
        • 0
          1. Частично решается с помощью OCSP stampling. Для бизнеса, которому важна скорость загрузки сайта для той доли пользователей, чьи браузеры не поддерживают это, это может быть важно, согласен.
          2. Имхо, вообще не проблема. С чего они будут аннулировать CA? Я может просто не слышал таких историй, но вроде просто так не должны аннулировать. А если вдруг и аннулируют — ну выпустите другой сертификат. Domain-Verified сертификат за полчаса можно купить где угодно.

          Мне интересно было про «повлиять» именно в связи с тем, что якобы китайцы что-то по-тихому взламывают. Просто если кто-то думает, что выпустив сертификат для вашего сервера они могут что-либо взломать, то это не так. Точнее так только в том странном случае, если вы доверили генерацию закрытого ключа им. Но так делать не следует в любом случае, это азы криптографии.
          • 0
            Да, я как раз имел в виду тот случай, если они же генерируют закрытую часть.
          • +1
            Подконтрольный CA+ботнет на роутерах-мыльницах = MITM без палева.
            • 0
              Любой CA может выпустить любой сертификат же.
  • 0
    Для получения ssl сертификата потребуется знание английского, работающий ящик администратора вашего домена и 15 свободных минут.
    Причём эти 15 минут уйдут на ожидание открытия страницы =)
    Видимо, хабраэффект сработал, сейчас сайт долго тупит, а потом отдаёт 504 Gateway Time-out.
  • –3
    Было ж и совсем недавно — m.habrahabr.ru/post/249529/
    • +3
      caine, прошу внимательней читать, я указал, что тот метод уже не работает и предоставил новую ссылку :)
  • 0
    А кто у них корневой сертификат? На buy.wosign.com/ отдаёт «UTN — DATACorp SGC». В прошлой теме писали про StartCOM. StartCOM не интересен, ибо Java таких не знает. А если от имени «UTN — DATACorp SGC», то это ведь совсем другое дело.
    • 0
      Помимо наличия корневого сертификата, у WoSign есть промежуточные, выданные от StartCom и Comodo. Лучше заранее проверить, к какому корню будет вести цепочка сертификации.
  • 0
    Сгенерить сертификаты можно только один раз? Вдруг мне на ещё один поддомен понадобится сертификат, что делать в таком случае?
    • 0
      Там можно указать несколько доменов. Мне требовался только один, не проверял на сколько доменов можно генерировать. Но поле ввода у них достаточное для большого количества. Кто-то уже сделал себе на несколько доменов?
      • 0
        Отправил форму еще с утра, пока ничего на почту от них не пришло. В заявке указал около 6 поддоменов. Ждем-с
        • 0
          Вот, спустя сутки пришло письмо с ссылкой на сертификат. Действительно, для всех субдоменов — один сертификат. Порадовало что в итоговом архиве с сертификатом — уже всё подготовлено для различных серверов (apache, iis, nginx, tomcat, etc) — мелочь, как говорится, а приятно. SHA1 на 1 год, запустился сразу на тестовом домене (nginx)
      • 0
        Так при указании нескольких доменов выдается один общий сертификат на все. Т.е. если понадобилось отозвать сертификат (где-то читал, что они бесплатно отзывают, но не уверен) для какого-то домена, отзывается для всех сразу. По-моему, это не есть хорошо.
  • –3
    China? Joke.
  • 0
    Появился 4-й шаг при регистрации. Видимо сделали, чтобы не так быстро разбирали «горячие» SSL.
  • +1
    Не работает для.рф доменов, к сожалению
    • 0
      StartSSL тоже.рф не поддерживает, печаль. Я так понимаю, для .xn--p1ai сертификат бесплатно никак не получишь?
      • 0
        У StartSSL было, но убрали из-за плохой поддержки, у меня CSR неправильно обрабатывался, пока ещё было доступно. Можно на 3 месяца у Comodo, у них поддержка ".рф" из коробки.
  • 0
    Кто подскажет, как довести до А+? результаты
    А по поводу сертификатов — лучше потратиться, тем более траты не такие-то и большие для одного домена (а кому надо с поддоменами — это особый случай, но тут уже без оплаты маловероятно получить вменяемый сертификат с гарантией).
    • 0
      В конфигурации nginx добавить:
      add_header Strict-Transport-Security max-age=31536000;

      31536000 как пример, столько секунд в году, и столько времени ваш сайт можно будет посещать только по HTTPS. Подробнее здесь. Как минимум нужно устанавливать 15768000 (полгода), с меньшим значением A+ не будет.
      • 0
        Это уже есть:
        часть конфига
                listen   443 ssl deferred spdy;
                #listen   [::]:80 default ipv6only=on; ## listen for ipv6
        
                ssl                     on;
                ssl_stapling            on;
                ssl_stapling_verify     on;
                ssl_trusted_certificate ssl/trustchain.pem;
                ssl_certificate         ssl/ssl-bundle.crt;
                ssl_certificate_key     ssl/andreil_by.key;
                ssl_dhparam             ssl/dhparam.pem;
                ssl_session_cache       shared:SSL:20m;
                ssl_session_timeout     5m;
                ssl_protocols           TLSv1 TLSv1.1 TLSv1.2;
                ssl_ciphers             'EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DES';
                ssl_prefer_server_ciphers on;
        
                resolver        8.8.8.8 [2001:4860:4860::8888];
        
                add_header              X-Frame-Options                 "SAMEORIGIN";
                add_header              X-Content-Type-Options          "nosniff";
                add_header              Strict-Transport-Security       "max-age=31536000";
                add_header              X-XSS-Protection                "1; mode=block";
                add_header              Public-Key-Pins 'pin-sha256="[blah-blah]"; max-age=5184000;';
        

        • +1
          Ваш сервер не отдаёт все эти заголовки, можете сами проверить: curl -D /dev/stdout andreil.by

          Помимо прочего у вас лишние сертификаты в отдаваемой цепочке, изучите раздел «Certification Paths» в вашем отчёте. На оценку вроде это не влияет, но всё равно лишние байты при каждом HTTPS-соединении.
          • 0
            Хм, значит, надо будет пересобрать nginx…
            • 0
              Ну да, пересобрать… Или просто поместить пустой index.html, чтобы nginx отдавал заголовки, как я вам в личке написал.

              В вашем случае ещё и вместо промежуточного отдаётся корневой сертификат, цепочка неправильная, об этом тоже писал.
            • 0
              Возможно, дело в другом:
              Директивы [add_header] наследуются с предыдущего уровня при условии, что на данном уровне не описаны свои директивы add_header.
              nginx.org/ru/docs/http/ngx_http_headers_module.html#add_header

              Т.е. если вы добавите хотя бы один add_header в location, перестанут работат add_header, указанные выше (в блоках server и http).

              Против этого может помочь плагин headers-more с директивой more_set_headers.
              Эти директивы складываются с предыдущими уровнями, а не заменяются.
  • 0
    Вчера заказал сертификат, сегодня утром пришёл. Вспомнил, что забыл добавить домен mail.server.com в сертификат. Заказал ещё раз уже с этим доменом. Буквально через 10 минут пришёл второй сертификат, с доменом. Причём вчерашний сертификат пришёл на один год, а сегодняшний на два года (заказывал на 2 года и тот и тот, CSR один и тот же). Забавно.

    Корневой сертификат StartCom Certification Authority кому интересно.
  • –2
    Дорогие хабравчане. Родненькие!

    Прекратите хабраэффект!
  • +1
    Там теперь аккаунт на WoSign требуют, а регистрация только на китайском. В общем кончилась раздача слонов :)
    • 0
      Описание регистрации прекрасно описано в этом комментарии: habrahabr.ru/post/249529/#comment_8260181
      • 0
        в хроме прекрасно работает клик правой кнопкой «перевести на русский», если аналогичная всплывашка не появляется.
        • 0
          Мы не ищем легких путей. ;)
          Добавил инструкцию по регистрации в заметку. Спасибо.
  • 0
    Регистрация проходит на ура. Сертификаты раздаются. Только одно но… гугл переводчик неверно мне перевел ссылку, где скачать сертификат)))
    image
    Бродил около него пару часов… потом решил удалить и без регистрации заказать, там на почту приходит ссылка на архив… а тут на тебе)
  • 0
    Про buy.wosign.com/free/ выяснилась некоторая вещь.
    Заказывал ssl-сертификат, на этапе валидации домена нужно ввести валидационный емейл.
    Создал на своем почтовом сервере адрес admin@mydomain, валидировал домен на него, больше нигде этот емейл не светил.
    Через час после валидации (и после создания) на этот емейл пришёл спам.
    Причем русскоязычный, родной такой спам.
    • +1
      Не думаю, что это связано с WoSign, скорее это перебор почтовых адресов для спам рассылки.
      Если бы создали адрес типо beleberda@mydomain, то ничего бы не пришло.
      webmaster, admin, derector, info, noreplay и т.д. являются довольно стандартными и часто используются.
    • 0
      Я создал адрес webmaster@домен.сом — спама нет, возможно с admin вам просто повезло
  • +1
    Теперь выдают аж на 3 года.
    • 0
      Подтверждаю, уже получил себе один такой
  • 0
    Тоже решил воспользоваться этим СЦ. Вроде норм. Получил сертификат на 3 года на несколько доменов. Столкнулся с небольшой трудностью — не могу найти как подключить (получить для начала) промежуточные сертификаты. А так же как сделать поддержку OCSP. Домен на проверке выдаёт C. Выше никак ((
    Вот конфиг
    server {
    listen 443 ssl spdy;
    server_name kai-zer.ru;
    root /path/to/root;
    index index.php;
    add_header Strict-Transport-Security max-age=31536000;
    ssl on;
    ssl_protocols TLSv1 TLSv1.2 TLSv1.2;
    ssl_session_cache shared:SSL:20m;
    ssl_session_timeout 10m;
    ssl_certificate /root/ssl/1_kai-zer.ru_bundle.crt;
    ssl_certificate_key /root/ssl/2_kai-zer.ru.key;
    ssl_ciphers 'EECDH+ECDSA+AESGCM:AES128+EECDH:AES128+EDH:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!CAMELLIA:!ADH';
    ssl_prefer_server_ciphers on;
    resolver 8.8.8.8 8.8.4.4 valid=300s;
    resolver_timeout 10s;
    add_header X-Frame-Options «DENY»;
    add_header X-Content-Type-Options «nosniff»;
    add_header Strict-Transport-Security «max-age=31536000»;
    add_header Public-Key-Pins 'pin-sha256=«5R/vW29oE/61kwZ2ITx5YCY7tesJlPGcYnd+C3+/JF0=»; max-age=5184000;';

    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_trusted_certificate /root/ssl/trustchain.pem;
    ssl_stapling_responder ocsp2.wosign.cn/ca2g2/server1/free;
    ssl_dhparam /root/ssl/dh.pem;

    location / {
    index index.php;
    }
    location ~ \.php$ {
    include fastcgi_params;
    fastcgi_pass unix:/var/run/php5-fpm.sock;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    }
    }



    Может кто даст толковое объяснение как это всё настроить?
    • 0
      А разве без промежуточных сертификатов не работает?
      • 0
        Если не будет цепочки, то браузеры будут считать сертификат не доверенным.
  • 0
    Пробовал вообще простым способом
    вот так
    ssl on;
    ssl_certificate /root/ssl/1_kai-zer.ru_bundle.crt;
    ssl_certificate_key /root/ssl/2_kai-zer.ru.key;



    Так всё ещё хуже.

    Пробовал добавлять корневой сертификат — тоже самое. Лучше не становится. Уровень С — это максимум. С вот такими ответами =(
    • 0
      Попробуй так

      в server добавь
      ssl on;
      ssl_certificate key.crt;
      ssl_certificate_key key.key;
      ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
      ssl_ciphers «RC4:HIGH:!aNULL:!MD5:!kEDH»;
      add_header Strict-Transport-Security 'max-age=604800';

      А в http добавь
      ssl_session_cache shared:SSL:10m;
      ssl_session_timeout 5m;
      ssl_prefer_server_ciphers on;
      ssl_stapling on;
      resolver 8.8.8.8;
      • 0
        Спасибо )) Теперь выдаёт А+. Возьму на заметку. Осталось решить с OCSP stapling.
        • 0
          У nginx OCSP stapling работает странно. Читал, что обязательно включить его на всех виртуальных хостах, для которых включен SSL. Иначе работать не будет.
        • 0
          При включённом SSL3 максимум можно получить только B или C. Да, и почему наивысший приоритет шифру RC4, использование которого запрещено?
          HSTS со сроком в неделю вместо года, но по сравнению с тем, что выше, это уже мелочь :).
  • 0
    OCSP stapling Yes
    Оценка A+
    Ура! Описал свои действия у себя в блоге
    • 0
      kovalyov_makc
      пиар :)
      + базу почините свою.
      Ошибка установки соединения с базой данных.
      • 0
        Спасибо ) Проблема уже устранена )
  • 0
    Ребят, подскажите пожалуйста, есть ли какие-то норм бесплатные альтернативы?
    У них теперь ошибка:
    Sorry, due to some security consideration,
    WoSign decide to close the free SSL certificate application temporarily. Sept. 29th 2016.
    • +2
      Только LetsEncrypt.
    • 0
      Как вариант еще: StartSSL
      • 0
        Вообще- то он был куплен WoSign, и по идее может иметь те же проблемы.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.