Бесплатные SSL-сертификаты на 2 года от WoSign

    Доброго времени суток, уважаемые товарищи Хабра.
    На написание статьи заметки, меня побудила статья: «Мигрируем на HTTPS».

    Напоминаю, что китайцы в лице компании WoSign до сих пор раздают бесплатно сертификаты и теперь не обязательно знать китайский язык для того, чтобы его получить. Метод по статье «Бесплатные SSL-сертификаты на 2 года с поддержкой до 100 доменов» на данный момент не работает и за сертификат китайцы хотят от ¥488.


    Описывать способ получения ssl сертификата не вижу смысла — аудитория достаточно подкованная для этого.
    Предлагаю гражданам Хабра пройти по новой ссылке https://buy.wosign.com/free/ для получения халявы.

    Для получения ssl сертификата потребуется знание английского, работающий ящик администратора вашего домена и 15 свободных минут. Удачи!


    Update: Согласно комментария ниже, WoSign требует регистрации https://login.wosign.com/reg.html. спасибо HarpyWar за инструкцию.
    Регистрация на WoSign





    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 85
    • +4
      Всё-таки для CSR я бы выбрал самостоятельную генерацию.
      • +3
        StartSSL давно и стабильно раздает бесплатные сертификаты.
        • 0
          только для некоммерческого использования
          причем коммерческое оно или нет — они решают сами
          вполне можно столкнуться с тем, что через год вам продлевать сертификат откажутся и попросят денег
          • +2
            Хорошо, хоть для не коммерческого использования можно применять.
            Если для коммерческого сайта, который приносит хотя бы 100 тысяч в год чистой прибыли, необходимо шифрование, то потратить порядка нескольких тысяч в год на сертификат — это не большая сумма.
            • +1
              Там — недорого. $65 за любое количество сертификатов на три года (1 год работает возможность генерить сертификаты + 2 года — срок действия самих сертификатов). Итого — чуть меньше $22/год за сколько хочешь сертификатов.
              • 0
                А вы уверены, что только для некоммерческого? Сходу нету на сайте ничего такого вроде.
                • 0
                  Это они потом говорят, когда в выдаче сертификата отказывают и ты у них спрашиваешь почему.
              • 0
                Например, они мне отказались выдавать сертификат, углядев в моём домашнем адресе (с номером квартиры, кстати) коммерческий адрес и попросили доказать обратное. Не поняв, как доказать, что я не верблюд, решил всё-таки купить сертификат у своего хостера.
                • 0
                  Вот только у них геморрой с аутентификацией.
                  Сначала это незаметно. А вот когда срок сертификата аутентификации истекает, ты идёшь в FAQ и узнаёшь, что нужно регистрировать новую учётку и писать в саппорт, чтобы на неё перенесли твои домены.
                  Я на это дело посмотрел и пошёл покупать сертификат за деньги.
                  Так было около полутора-двух лет назад. Как дела сейчас обстоят — не знаю.
                  • 0
                    Можно просто обновить свой сертификат до того как он истек (в последний месяц вроде обновлять можно), тогда этой проблемы не возникает.
                    • 0
                      Когда я пользовался их сервисом, мне не приходило напоминаний, что надо продлить сертификат. Узнал по факту.
                      Я, конечно, понимаю, что можно поставить напоминание в календаре, но всё же. Мне было проще купить сертификат за ~$5, чем маяться с восстановлением. Было бы нужно несколько — может быть, остался бы с ними и экономил. Вот если wildcard нужен будет — скорее всего, обращусь к ним снова. А пока вот WoSign попробую.
                      • 0
                        мне исправно приходят уведомления за 2 недели до кноца уже 3-й год,
                        и на сертификаты на email и на сертификаты на домены…

                        может уведомление порезало спам фильтром?
                        • 0
                          может уведомление порезало спам фильтром?
                          Кстати, Gmail режет уведомления от Certum. Если бы не выключенный спам-фильтр, было бы очень печально.
                • +2
                  Че-то в свете того, что китайцы по-тихому взламывают в Интернете нужные им цели как-то ссыкотно у них сертификат заказывать.
                  • +1
                    А как заказанный у них сертификат может на что-либо повлиять?
                    • +1
                      1. CRL и OCSP-серверы в Китае, пинг 400-450 мс, высокая задержка при первом посещении сайта.
                      2. Право аннулирования сертификата за CA.
                      • 0
                        1. Частично решается с помощью OCSP stampling. Для бизнеса, которому важна скорость загрузки сайта для той доли пользователей, чьи браузеры не поддерживают это, это может быть важно, согласен.
                        2. Имхо, вообще не проблема. С чего они будут аннулировать CA? Я может просто не слышал таких историй, но вроде просто так не должны аннулировать. А если вдруг и аннулируют — ну выпустите другой сертификат. Domain-Verified сертификат за полчаса можно купить где угодно.

                        Мне интересно было про «повлиять» именно в связи с тем, что якобы китайцы что-то по-тихому взламывают. Просто если кто-то думает, что выпустив сертификат для вашего сервера они могут что-либо взломать, то это не так. Точнее так только в том странном случае, если вы доверили генерацию закрытого ключа им. Но так делать не следует в любом случае, это азы криптографии.
                        • 0
                          Да, я как раз имел в виду тот случай, если они же генерируют закрытую часть.
                          • +1
                            Подконтрольный CA+ботнет на роутерах-мыльницах = MITM без палева.
                            • 0
                              Любой CA может выпустить любой сертификат же.
                    • 0
                      Для получения ssl сертификата потребуется знание английского, работающий ящик администратора вашего домена и 15 свободных минут.
                      Причём эти 15 минут уйдут на ожидание открытия страницы =)
                      Видимо, хабраэффект сработал, сейчас сайт долго тупит, а потом отдаёт 504 Gateway Time-out.
                      • –3
                        Было ж и совсем недавно — m.habrahabr.ru/post/249529/
                        • +3
                          caine, прошу внимательней читать, я указал, что тот метод уже не работает и предоставил новую ссылку :)
                        • 0
                          А кто у них корневой сертификат? На buy.wosign.com/ отдаёт «UTN — DATACorp SGC». В прошлой теме писали про StartCOM. StartCOM не интересен, ибо Java таких не знает. А если от имени «UTN — DATACorp SGC», то это ведь совсем другое дело.
                          • 0
                            Помимо наличия корневого сертификата, у WoSign есть промежуточные, выданные от StartCom и Comodo. Лучше заранее проверить, к какому корню будет вести цепочка сертификации.
                          • 0
                            Сгенерить сертификаты можно только один раз? Вдруг мне на ещё один поддомен понадобится сертификат, что делать в таком случае?
                            • 0
                              Там можно указать несколько доменов. Мне требовался только один, не проверял на сколько доменов можно генерировать. Но поле ввода у них достаточное для большого количества. Кто-то уже сделал себе на несколько доменов?
                              • 0
                                Отправил форму еще с утра, пока ничего на почту от них не пришло. В заявке указал около 6 поддоменов. Ждем-с
                                • 0
                                  Вот, спустя сутки пришло письмо с ссылкой на сертификат. Действительно, для всех субдоменов — один сертификат. Порадовало что в итоговом архиве с сертификатом — уже всё подготовлено для различных серверов (apache, iis, nginx, tomcat, etc) — мелочь, как говорится, а приятно. SHA1 на 1 год, запустился сразу на тестовом домене (nginx)
                                • 0
                                  Так при указании нескольких доменов выдается один общий сертификат на все. Т.е. если понадобилось отозвать сертификат (где-то читал, что они бесплатно отзывают, но не уверен) для какого-то домена, отзывается для всех сразу. По-моему, это не есть хорошо.
                              • –3
                                China? Joke.
                                • 0
                                  Появился 4-й шаг при регистрации. Видимо сделали, чтобы не так быстро разбирали «горячие» SSL.
                                  • +1
                                    Не работает для.рф доменов, к сожалению
                                    • 0
                                      StartSSL тоже.рф не поддерживает, печаль. Я так понимаю, для .xn--p1ai сертификат бесплатно никак не получишь?
                                      • 0
                                        У StartSSL было, но убрали из-за плохой поддержки, у меня CSR неправильно обрабатывался, пока ещё было доступно. Можно на 3 месяца у Comodo, у них поддержка ".рф" из коробки.
                                    • 0
                                      Кто подскажет, как довести до А+? результаты
                                      А по поводу сертификатов — лучше потратиться, тем более траты не такие-то и большие для одного домена (а кому надо с поддоменами — это особый случай, но тут уже без оплаты маловероятно получить вменяемый сертификат с гарантией).
                                      • 0
                                        В конфигурации nginx добавить:
                                        add_header Strict-Transport-Security max-age=31536000;

                                        31536000 как пример, столько секунд в году, и столько времени ваш сайт можно будет посещать только по HTTPS. Подробнее здесь. Как минимум нужно устанавливать 15768000 (полгода), с меньшим значением A+ не будет.
                                        • 0
                                          Это уже есть:
                                          часть конфига
                                                  listen   443 ssl deferred spdy;
                                                  #listen   [::]:80 default ipv6only=on; ## listen for ipv6
                                          
                                                  ssl                     on;
                                                  ssl_stapling            on;
                                                  ssl_stapling_verify     on;
                                                  ssl_trusted_certificate ssl/trustchain.pem;
                                                  ssl_certificate         ssl/ssl-bundle.crt;
                                                  ssl_certificate_key     ssl/andreil_by.key;
                                                  ssl_dhparam             ssl/dhparam.pem;
                                                  ssl_session_cache       shared:SSL:20m;
                                                  ssl_session_timeout     5m;
                                                  ssl_protocols           TLSv1 TLSv1.1 TLSv1.2;
                                                  ssl_ciphers             'EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DES';
                                                  ssl_prefer_server_ciphers on;
                                          
                                                  resolver        8.8.8.8 [2001:4860:4860::8888];
                                          
                                                  add_header              X-Frame-Options                 "SAMEORIGIN";
                                                  add_header              X-Content-Type-Options          "nosniff";
                                                  add_header              Strict-Transport-Security       "max-age=31536000";
                                                  add_header              X-XSS-Protection                "1; mode=block";
                                                  add_header              Public-Key-Pins 'pin-sha256="[blah-blah]"; max-age=5184000;';
                                          

                                          • +1
                                            Ваш сервер не отдаёт все эти заголовки, можете сами проверить: curl -D /dev/stdout andreil.by

                                            Помимо прочего у вас лишние сертификаты в отдаваемой цепочке, изучите раздел «Certification Paths» в вашем отчёте. На оценку вроде это не влияет, но всё равно лишние байты при каждом HTTPS-соединении.
                                            • 0
                                              Хм, значит, надо будет пересобрать nginx…
                                              • 0
                                                Ну да, пересобрать… Или просто поместить пустой index.html, чтобы nginx отдавал заголовки, как я вам в личке написал.

                                                В вашем случае ещё и вместо промежуточного отдаётся корневой сертификат, цепочка неправильная, об этом тоже писал.
                                                • 0
                                                  Возможно, дело в другом:
                                                  Директивы [add_header] наследуются с предыдущего уровня при условии, что на данном уровне не описаны свои директивы add_header.
                                                  nginx.org/ru/docs/http/ngx_http_headers_module.html#add_header

                                                  Т.е. если вы добавите хотя бы один add_header в location, перестанут работат add_header, указанные выше (в блоках server и http).

                                                  Против этого может помочь плагин headers-more с директивой more_set_headers.
                                                  Эти директивы складываются с предыдущими уровнями, а не заменяются.
                                        • 0
                                          Вчера заказал сертификат, сегодня утром пришёл. Вспомнил, что забыл добавить домен mail.server.com в сертификат. Заказал ещё раз уже с этим доменом. Буквально через 10 минут пришёл второй сертификат, с доменом. Причём вчерашний сертификат пришёл на один год, а сегодняшний на два года (заказывал на 2 года и тот и тот, CSR один и тот же). Забавно.

                                          Корневой сертификат StartCom Certification Authority кому интересно.
                                          • –2
                                            Дорогие хабравчане. Родненькие!

                                            Прекратите хабраэффект!
                                            • +1
                                              Там теперь аккаунт на WoSign требуют, а регистрация только на китайском. В общем кончилась раздача слонов :)
                                              • 0
                                                Описание регистрации прекрасно описано в этом комментарии: habrahabr.ru/post/249529/#comment_8260181
                                                • 0
                                                  в хроме прекрасно работает клик правой кнопкой «перевести на русский», если аналогичная всплывашка не появляется.
                                                  • 0
                                                    Мы не ищем легких путей. ;)
                                                    Добавил инструкцию по регистрации в заметку. Спасибо.
                                              • 0
                                                Регистрация проходит на ура. Сертификаты раздаются. Только одно но… гугл переводчик неверно мне перевел ссылку, где скачать сертификат)))
                                                image
                                                Бродил около него пару часов… потом решил удалить и без регистрации заказать, там на почту приходит ссылка на архив… а тут на тебе)
                                                • 0
                                                  Про buy.wosign.com/free/ выяснилась некоторая вещь.
                                                  Заказывал ssl-сертификат, на этапе валидации домена нужно ввести валидационный емейл.
                                                  Создал на своем почтовом сервере адрес admin@mydomain, валидировал домен на него, больше нигде этот емейл не светил.
                                                  Через час после валидации (и после создания) на этот емейл пришёл спам.
                                                  Причем русскоязычный, родной такой спам.
                                                  • +1
                                                    Не думаю, что это связано с WoSign, скорее это перебор почтовых адресов для спам рассылки.
                                                    Если бы создали адрес типо beleberda@mydomain, то ничего бы не пришло.
                                                    webmaster, admin, derector, info, noreplay и т.д. являются довольно стандартными и часто используются.
                                                    • 0
                                                      Я создал адрес webmaster@домен.сом — спама нет, возможно с admin вам просто повезло
                                                    • +1
                                                      Теперь выдают аж на 3 года.
                                                      • 0
                                                        Подтверждаю, уже получил себе один такой
                                                      • 0
                                                        Тоже решил воспользоваться этим СЦ. Вроде норм. Получил сертификат на 3 года на несколько доменов. Столкнулся с небольшой трудностью — не могу найти как подключить (получить для начала) промежуточные сертификаты. А так же как сделать поддержку OCSP. Домен на проверке выдаёт C. Выше никак ((
                                                        Вот конфиг
                                                        server {
                                                        listen 443 ssl spdy;
                                                        server_name kai-zer.ru;
                                                        root /path/to/root;
                                                        index index.php;
                                                        add_header Strict-Transport-Security max-age=31536000;
                                                        ssl on;
                                                        ssl_protocols TLSv1 TLSv1.2 TLSv1.2;
                                                        ssl_session_cache shared:SSL:20m;
                                                        ssl_session_timeout 10m;
                                                        ssl_certificate /root/ssl/1_kai-zer.ru_bundle.crt;
                                                        ssl_certificate_key /root/ssl/2_kai-zer.ru.key;
                                                        ssl_ciphers 'EECDH+ECDSA+AESGCM:AES128+EECDH:AES128+EDH:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!CAMELLIA:!ADH';
                                                        ssl_prefer_server_ciphers on;
                                                        resolver 8.8.8.8 8.8.4.4 valid=300s;
                                                        resolver_timeout 10s;
                                                        add_header X-Frame-Options «DENY»;
                                                        add_header X-Content-Type-Options «nosniff»;
                                                        add_header Strict-Transport-Security «max-age=31536000»;
                                                        add_header Public-Key-Pins 'pin-sha256=«5R/vW29oE/61kwZ2ITx5YCY7tesJlPGcYnd+C3+/JF0=»; max-age=5184000;';

                                                        ssl_stapling on;
                                                        ssl_stapling_verify on;
                                                        ssl_trusted_certificate /root/ssl/trustchain.pem;
                                                        ssl_stapling_responder ocsp2.wosign.cn/ca2g2/server1/free;
                                                        ssl_dhparam /root/ssl/dh.pem;

                                                        location / {
                                                        index index.php;
                                                        }
                                                        location ~ \.php$ {
                                                        include fastcgi_params;
                                                        fastcgi_pass unix:/var/run/php5-fpm.sock;
                                                        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
                                                        }
                                                        }



                                                        Может кто даст толковое объяснение как это всё настроить?
                                                        • 0
                                                          А разве без промежуточных сертификатов не работает?
                                                          • 0
                                                            Если не будет цепочки, то браузеры будут считать сертификат не доверенным.
                                                        • 0
                                                          Пробовал вообще простым способом
                                                          вот так
                                                          ssl on;
                                                          ssl_certificate /root/ssl/1_kai-zer.ru_bundle.crt;
                                                          ssl_certificate_key /root/ssl/2_kai-zer.ru.key;



                                                          Так всё ещё хуже.

                                                          Пробовал добавлять корневой сертификат — тоже самое. Лучше не становится. Уровень С — это максимум. С вот такими ответами =(
                                                          • 0
                                                            Попробуй так

                                                            в server добавь
                                                            ssl on;
                                                            ssl_certificate key.crt;
                                                            ssl_certificate_key key.key;
                                                            ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
                                                            ssl_ciphers «RC4:HIGH:!aNULL:!MD5:!kEDH»;
                                                            add_header Strict-Transport-Security 'max-age=604800';

                                                            А в http добавь
                                                            ssl_session_cache shared:SSL:10m;
                                                            ssl_session_timeout 5m;
                                                            ssl_prefer_server_ciphers on;
                                                            ssl_stapling on;
                                                            resolver 8.8.8.8;
                                                            • 0
                                                              Спасибо )) Теперь выдаёт А+. Возьму на заметку. Осталось решить с OCSP stapling.
                                                              • 0
                                                                У nginx OCSP stapling работает странно. Читал, что обязательно включить его на всех виртуальных хостах, для которых включен SSL. Иначе работать не будет.
                                                              • 0
                                                                При включённом SSL3 максимум можно получить только B или C. Да, и почему наивысший приоритет шифру RC4, использование которого запрещено?
                                                                HSTS со сроком в неделю вместо года, но по сравнению с тем, что выше, это уже мелочь :).
                                                          • 0
                                                            OCSP stapling Yes
                                                            Оценка A+
                                                            Ура! Описал свои действия у себя в блоге
                                                            • 0
                                                              kovalyov_makc
                                                              пиар :)
                                                              + базу почините свою.
                                                              Ошибка установки соединения с базой данных.
                                                              • 0
                                                                Спасибо ) Проблема уже устранена )
                                                            • 0
                                                              Ребят, подскажите пожалуйста, есть ли какие-то норм бесплатные альтернативы?
                                                              У них теперь ошибка:
                                                              Sorry, due to some security consideration,
                                                              WoSign decide to close the free SSL certificate application temporarily. Sept. 29th 2016.
                                                              • +2
                                                                Только LetsEncrypt.
                                                                • 0
                                                                  Как вариант еще: StartSSL
                                                                  • 0
                                                                    Вообще- то он был куплен WoSign, и по идее может иметь те же проблемы.
                                                                • 0
                                                                  кто посоветует, что делать?
                                                                  начал когда то процедуру получения сертификата, пришла ссылка на почтовый ящик о его получении, ну я и подзабил. Сейчас понадобился. Перехожу по ссылке и не могу подобрать пароль на сертификат.
                                                                  http://prntscr.com/e9z5xu
                                                                  Хочу восстановить — сука, капча на китайском блть )
                                                                  http://prntscr.com/e9z6o2
                                                                  кто сможет ввести капчу?)
                                                                  • 0
                                                                    А разве его не забанили популярные браузеры? В чём смысл сейчас его получать?
                                                                    • 0

                                                                      Статья была написана несколько лет назад, так что тут этот вопрос немного не уместен.

                                                                      • 0
                                                                        хм… ну, полученный на одном домене на 2 года работает нормально, в хроме и файерфоксе
                                                                        • 0
                                                                          Как раз потому, что вы их давно получили, они и работают.
                                                                          • 0

                                                                            Мои сертификаты тоже работают. А эта контора больше не выдаёт сертификаты

                                                                            • 0
                                                                              Нет, сертификаты уже не работают в бета-версии Chrome 57+ и не будут в ближайшей версии Firefox.

                                                                              Остается мало времени до того, как выйдет новый релиз браузеров. Лучше поторопиться.

                                                                              Отличная альтернатива Let's Encrypt — Free SSL/TLS Certificates.

                                                                              Можно настроить на сервере, чтобы сертификаты обновлялись автоматически каждые 3 месяца, например используя `certbot`. Virtualmin так же может автоматически обновлять сертификаты LetsEncrypt.
                                                                              • 0
                                                                                Новые сертификаты не работают. Вроде это написано в той статье, что я привёл выше.
                                                                                • 0

                                                                                  WoSign — нет. Let's Encrypt — да.

                                                                                  • 0
                                                                                    можете подсказать?
                                                                                    у меня много поддоменов, свой dns. Часть на одном сервере, часть — на отдельных серверах с отдельными адресами.
                                                                                    Могу ли я автоматизировать все это дело с сертификатами?
                                                                                    Стоит centos 6.x, apache.

                                                                                    Хотелось бы пример/алгоритм, хотя бы по одному доменному имени вида subname.name.ru на отдельном сервере.

                                                                                    Я так понимаю, мне бы помог wildcard сертификат, но они дорогие зараза.
                                                                                    • 0

                                                                                      https://letsencrypt.org/ рассказывает о вагоне и маленькой тележке способов автоматизации на большинстве ЯП

                                                                                      • 0
                                                                                        Спасибо! Мне подошёл bash-вариант с dehydrated
                                                                                      • +1
                                                                                        Да, можно автоматизировать. Как уже написали на сайте letsencrypt.org есть достаточное количество информации, как настроить cron для автоматической процедуры выдачи сертификатов каждые 3 месяца.

                                                                                        Мы пользуемся Webmin+Virtualmin. Там все просто. Импортировал виртуальный-сервер (домен), зашел в настройки SSL и добавил LetsEncrypt SSL сертификат. Указать нужно только сам доменпервого уровня + те домены третьего уровня, которые будут использоваться. Здесь важно понимать, что стандартная процедура верификации домена происходит за счет помещения в корневой каталог сайта ключа идентификации в папку .well-known, поэтому все те домены на которые вы хотите получить сертификат должны открываться через браузер, например `http://sub1.domain.com/.well-known/.....`, другими словами они должны быть прописаны в DNS и HTTPd.

                                                                                        Скачать Webmin можно здесь и GPL версию Virtualmin с здесь.

                                                                                        Там 5 минут настройки и все готово. Сертификаты живут только 3 месяца, поэтому в поле как часто обновлять сертификаты должно быть значение меньше или равно трем.
                                                                                        • 0
                                                                                          Спасибо! Мне подошёл bash-вариант с dehydrated

                                                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.