Бесплатные SSL-сертификаты — теперь на 3 года от WoSign



    Вчера обнаружил, что WoSign дает бесплатно сертификат, теперь уже на 3 года. Уже много статей на хабре было про сервис WoSign. Вот и еще одна. Как зарегистрироваться и получить сертификат, можете прочитать здесь, дополнительная информация есть о сервисе тут.

    UPD-1:
    Статья: Добиваемся OCSP stapling = Yes для сертификатов от WoSign на Nginx

    UPD-2:
    Было


    Стало


    Статья: Nginx и https. Получаем класс А+

    UPD-3:
    How To Configure OCSP Stapling on Apache and Nginx

    UPD-4:

    29 сентября 2016 года, WoSign закрыла возможность бесплатных SSL-сертификатов. Valdemyar


    PS. используйте Let's Encrypt

    Используете ли вы https?

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Метки:
    Поделиться публикацией
    Комментарии 80
    • 0
      Вроде как Google (их браузер) начал блочить сайты с китайскими сертификатами. Или я что-то путаю?
      • +2
        Вы путаете. вот мой проект на котором стоит WoSing сертификат, fktpm.ru, проверьте. Я использую Google Chrome и Firefox.
        • 0
          Ну сейчас они и должны работать, гугл сказал что даст вебмастерам время перейти на другие сертификаты. Ну если комментатор ниже говорит что проблема только с «China Internet Network Information Center», тогда претензий нет.
          • +4
            Отличные результаты, кстати ;)

            www.ssllabs.com/ssltest/analyze.html?d=fktpm.ru&hideResults=on
            • +1
              Да уж, пуделек машет хвостиком и готов принять нового хозяина :D
              • +5
                Оу, дак это сайт Факультета Компьютерных Технологий и Прикладной Математики.
                Ну, не серьезно как-то
              • –2
                И чего там хорошего, я не очень понял?
                • +4
                  Это был сарказм.
                  С рейтинг — мал,
                  SSL3 включен — POODLE уязвимость,
                  OCSP нет,
                  HPKP нет
                  несколько слабых шифров (возможно для поддержки старых браузеров)
                  • +1
                    Спасибо. добавил OCSP, теперь A+
                    • 0
                      Воот! Теперь все гуд ;)
                      • +1
                        Для A+ не требуется OCSP-сшивание, да и всё равно вы его не реализовали, потому что логика nginx такая, что чтобы оно работало на виртуальном хосте, оно обязательно должно быть на дефолтном тоже, в вашем случае это api.fktpm.ru.
                        www.ssllabs.com/ssltest/analyze.html?d=api.fktpm.ru&hideResults=on
                        OCSP stapling No
                        • +1
                          OCSP stapling для китайца срабатывает со 2-3 раза. Далеко первый раз идет запрос.
                          Плюс к этому нужен nginx 1.7.x+, на младших версиях нужно костылить.

                          Для A+ нужно HPKP, по-моему.
                          • +1
                            Для A+ нужно HPKP, по-моему.
                            HSTS.
                            HPKP в продакшне использовать нужно с большой осторожностью.
                          • 0
                            Спасибо. Да, действительно, забыл сделать nginx reload
                            OCSP stapling No

                            Сейчас
                            OCSP stapling Yes


                            В статью добавил ссылку на сайт с подробным описанием, как включить «OCSP stapling»
                  • –1
                    Факультет какого университета? Можно только дагадаться по ссылке «сайты… приветствуют вас», что КубГУ, но лучше явно написать прямо в заголовке.
                  • +1
                    Проблема с «China Internet Network Information Center». WoSign-овские сертификаты им не подписаны и никак не затронуты.
                    • 0
                      Почитаю на досуге. Спасибо за наводку.
                  • –7
                    Хм. Китайцы хотят вкинуть много сертификатов на рынок, чтобы потом в легкую читать все данные проходящие через https по их сертификатам?
                    • +22
                      Вы разоблачили китайский заговор! Да, ассиметричное шифрование именно так и работает.
                      • –10
                        Подмену сертификатов никто не отменял.
                        • +10
                          Для подмены сертификата достаточно быть доверенным CA. Раздавать бесплатные сертификаты никакой необходимости нет.
                          • –5
                            Как стимул получения сертификатов именно у них — ещё как есть.
                            • +14
                              Для подмены сертификата не нужно, чтобы подменяемый сертификат был подписан тем же CA.
                              • +1
                                Оно как бы да, но можно HPKP по ключу CA это немного «ограничить»… (И да, я знаю, что это не для посетителей забредших на сайт первый раз;).
                                • –1
                                  И да, я знаю, что это не для посетителей забредших на сайт первый раз;)
                                  Нужно просто договориться с вендорами браузеров о прелоаде HPKP для вашего сайта, делов-то ;).
                                • –1
                                  Не всегда. Если используется пиннинг, то приложение будет проверять, выдан ли полученный сертификат тем же CA, что и «вшитый».
                      • 0
                        Вот взяли и положили китайцев :)
                        • 0
                          image

                          Попробую я через пару дней…
                          • 0
                            Да, у них, во-первых, из России долго сайт открывается, а во-вторых, нужно быстро регить сертик, т.к часто сессия слетает. Т.е лучше заранее приготовить список сайтов для сертика, файл CSR и открыть почту для валидации домена, чтобы быстро отправить заявку.
                            • 0
                              так и делаю, просто видимо нагрузка…
                            • 0
                              Ага, тоже заметил сей хабраэффект. Ещё пару раз попробую, и «будем подождать».
                              • –8
                                О господи, не понимаю я гонки за этими дешевыми сертификатами. Если нужен один — отдать 7-8$ в год — сравнимо с ценой домена. Если нужно много — то покупаешь известный бренд оптом у крупного игрока, да и всё: хоть барыж ими, хоть сам используй. Например, тыц — всего по 4 бакса.
                                • +4
                                  А где вы за 7-8 баксов в год видели? Базовый от 50 баксов стоит. Wildcard я дешевле 150 не находил. Про EV вообще молчу.
                                  • +4
                                    Не Wildcard или EV, но для маленького сайта, вроде, пойдет: Comodo Positive SSL за $12 на 3 года. Четыре бакса в год.
                                    • +3
                                      Я даже китайцам больше доверяю, чем комоде.
                                      • +1
                                        Для mitm абсолютно по барабану кем у вас подписан сертификат. Достаточно быть в trust chain.
                                        • 0
                                          Прекрасно это понимаю, я в целом о доверии. Комоду из keychain-а с тех самых пор вынес, каждый раз вручную проверяю на всякий случай.
                                      • –1
                                        del
                                        • –1
                                          >> Green Address bar: No
                                      • 0
                                        Любой wildcard, а тем более EV сравнивать с wosign'овским сертификатом на пачку SAN как-то странно, вам не кажется?
                                  • 0
                                    гатавай тамайт, пичаль-бида
                                    • 0
                                      Несмотря на таймаут, на почту все равно приходит линк на получение сертификата.
                                      • 0
                                        Что намекает, что ocsp/crl могут работать хреновастенько, могут вылезти проблемы при необходимости отзыва и т. п.
                                      • +1
                                        А пробовал кто отозвать их сертификат и запросить новый?
                                        • 0
                                          можно запросить новый не отзывая старый. Я так делал.
                                          • +3
                                            Так ведь смысл именно в отзыве старого.
                                        • 0
                                          Может кто знает, поддерживают ли эти сертификаты Android 4+ / iOS 6+ браузеры?
                                          • 0
                                            Да. Я получил позавчера, все работает.
                                            • 0
                                              Подтверждаю — на неделе обновил сертификат, никаких проблем не замечено
                                            • 0
                                              у сертификата есть проблемы с браузером в android 2.3.7
                                              • 0
                                                Android 2 не объявляет о том, какой сайт хочет открыть, и сервер отправляет дефолтный сертификат. То же самое с IE на XP.
                                            • –5
                                              А зачем делать сертификаты аж на 3 года? Это вроде бы достаточно большое время жизни для ключа.
                                              • 0
                                                Такое «время жизни» не для секьюрности сертификатов, а грубо говоря, для того чтобы поглубже залезть нам с вами в карман…
                                                К примеру (если вдруг теоретически появится какой-то мат. алгоритм, уменьшающий сложность обратного вычисления, ну или тупо возможен брут на N-машинах: просто берётся в три раза больше машин (N*3) и подбирается за год а не за три…
                                                Ну и вообще-то, сертификат можно отозвать (например чтобы увеличить стойкость нового).
                                              • –6
                                                Реквестую мануал по установке этих сертитфикатов для хостинга, приложений и т.д.
                                                • +20
                                                  Есть хороший сервис по поиску любой информации в интернете. Просто вводите запрос в свободной форме и получаете ссылки на страницы — google.com. Попробуйте.
                                                  • –4
                                                    Реквестирую мануал по пользованию google.com в виде развернутой статьи на хабре. Попробовал одеть форму друга летчика. Сидит свободно, но как в ней вводить запрос и куда?
                                                • 0
                                                  Раз уж пошла такая пьянка, кто-нить подскажет бесплатный хостинг с PHP и MySQL и поддержкой установки своих SSL сертификатов и не требующих выделенного IP? Нужно для open-source проекта.
                                                • 0
                                                  Подскажите, может кто видел в сети — имеются ли бесплатные сертификаты для IDN-доменов (рф)? Проект некоммерческий, а пользователей защитить хочется.
                                                  • 0
                                                    Не проще взять у реселлеров comodo за $10 на пару лет? Домен.рф для некоммерческого проекта наверняка не бесплатный.
                                                    • 0
                                                      О, хороший ценник, устраивает. Дайте ссылочку в личку, пожалуйста.
                                                  • 0
                                                    прикрыли лавочку китайцы.
                                                    теперь только 1 домен free на 1 год :(
                                                    далее по 1.99$ каждый домен за каждый год
                                                    • 0
                                                      letsencrypt.org в ближайшее время станет доступен всем и уже является доверенным во всех основных браузерах, так-что нет смысла горевать)
                                                      • 0
                                                        Только вот сомнения у меня, что будет возможно накидать в сертификат поддомены.
                                                        А так да, уже заждался, когда мозилла наконец-то выкатит в массы letsencrypt
                                                        • 0
                                                          Судя по примеру команд клиента в readme https://github.com/letsencrypt/letsencrypt на старте точно будут сертификаты с несколькими SAN, wildcard сертификаты 'обсуждаются'
                                                      • 0
                                                        Твою мать( я как раз потерял auth сертификат в startssl. А через месяц заканчивается мой сертификат на домен. И что делать-то?
                                                        • 0
                                                          Создайте новую учетку, startssl «помнит» владельца домена только 30 дней.
                                                          • 0
                                                            Я вот тут задумался насчёт let's encrypt. Они начинают за 3 дня до окончания моего сертификата. Можно успеть. Хотя наверное проще прдстраховаться и получить stsrtsll дополнительно.
                                                            • 0
                                                              Ну, выпустите сейчас и поменяйте, не дожидаясь, когда сертик протухнет. Зачем ждать?
                                                              А по срокам, сертик у демо-домена helloworld.letsencrypt.org протухнет 11 декабря 2015, а по расписанию:
                                                              First certificate: Week of September 7, 2015
                                                              General availability: Week of November 16, 2015

                                                              Так что в этом году, возможно, и увидим.
                                                          • 0
                                                            Можно ещё купить какой-нибудь rapidssl за $10 и на пару лет забыть о проблеме.
                                                        • 0
                                                          А кто-нибудь сталкивался с проблемами сертификатов WoSign на устройствах apple?

                                                          Я такой поставил сертификат от WoSign на 3 года, радуюсь что все так здорово, а тут набежали айфонопользователи и говорят что у них сайт не открывается. И то же самое на макбуках.
                                                          Убил дней 5, ковырялся-ковырялся, получил класс A+ по ssllabs, а айфон по-прежнему говорит «не удается проверить удостоверение сертификата».
                                                          Говорит, выдан «WoSign CA Free SSL...», при этом пишет «ненадежный», хотя никаких криминальных подробностей про него не пишет.

                                                          При этом сейчас проверил fktpm.ru — на том же айфоне отлично открывается. Хотя все поля во всех свойствах те же самые (вроде).

                                                          У меня апач а не nginx, вот конфиг:
                                                              SSLCertificateFile /data/www/ssl/webmail.crt
                                                              SSLCertificateKeyFile /data/www/ssl/webmail.key
                                                              SSLProtocol all -SSLv2 -SSLv3
                                                              SSLCipherSuite kEECDH+AES128:kEECDH:kEDH:-3DES:kRSA+AES128:kEDH+3DES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!LOW:!SEED:!CAMELLIA:!IDE
                                                          A:!PSK:!SRP:!SSLv2;
                                                              SSLCertificateChainFile /data/www/ssl/wosign/ca-certs.pem
                                                              SSLHonorCipherOrder On
                                                              SSLCACertificateFile /data/www/ssl/wosign_root_bundle.crt
                                                              Header add Strict-Transport-Security "max-age=31536000"
                                                              Header add Content-Security-Policy-Report-Only "default-src https:; script-src https: 'unsafe-eval' 'unsafe-inline'; style-src https: 'unsa
                                                          fe-inline'; img-src https: data:; font-src https: data:; report-uri /csp-report"
                                                          


                                                          SSLCertificateChainFile генерировал по этой статье: habrahabr.ru/post/254231

                                                          До этого всякие комоды и freessl работали отлично, был стабильный C. (Уязвимость POODLE, слабые алгоритмы, древний TLS и т.п.), ни с какими классами A+ я даже не заморачивался. А китайцев почему-то эпл не хочет воспринимать ни в какую.

                                                          Что там надо еще включить для счастья на айфонах?
                                                          • +2
                                                            SSLCertificateFile /data/www/ssl/webmail.crt
                                                            SSLCertificateKeyFile /data/www/ssl/webmail.key

                                                            По-моему, что-то тут не так. Что за webmail.crt\.key?
                                                            Я надеюсь, вы не сунули сюда ключи для веб-почты из wosign-кабинета?

                                                            help.ubuntu.ru/wiki/apache_и_https:
                                                            # Публичный сертификат сервера
                                                            SSLCertificateFile /etc/ssl/certs/server.pem
                                                            # Приватный ключ сервера
                                                            SSLCertificateKeyFile /etc/ssl/private/server.key


                                                            PS. У меня nginx и сайты с wosign-сертиками открываются на яблоках при А+ ssllabs
                                                            • 0
                                                              Что за webmail.crt\.key?

                                                              Просто переименовал для удобства…

                                                              Все, разобрался, я сам лопух.
                                                              После того как запостил сюда, пришла в голову мысль пересоздать сертификат. И повторив процедуру, я понял, что сунул туда не тот root-bundle ключ.
                                                              Уже не помню, откуда я его тогда взял, может быть это и были «ключи для веб-почты из wosign-кабинета», сейчас указал правильный root-bundle, и сайт заработал.

                                                              Оказывается, бывает и так: почему-то только apple на сертификат ругался, винде, андроиду и всем остальным все нравилось.

                                                              P.S: кстати подтверждаю: теперь только на год новые сертификаты нахаляву дают. Хорошо я тот старый успел получить на 3 года.
                                                          • 0
                                                            Доброго времени суток! Смотрю сейчас вы на Let's Encrypt перебрались. Расскажите, пожалуйста, в чём причина. Может нашли в WoSign какой то фатальный недостаток?
                                                            • 0
                                                              Просто компании mozilla доверия больше. Let's Encrypt можно настроить на авто продление, что освобождает вас от рутиной работы.
                                                              • 0
                                                                Понятно, благодарю. На счёт автопродления — ерунда это всё. Мне один из сертификатов, например, нужен для заливки в «железный» IP KVM, никакого авто продления там просто не настроить, также не настроить его не для чего кроме пары веб серверов, к админке шлюза моего тоже не прикрутить и т. д… В итоге получается что у меня авто продление заработает в одном месте: на апаче с «сайтом» (фактически домашняя страничка, буквально, почти одна). В целом я бы вообще не мучался ибо сертификат в той железке нужен лишь потому что Java последних версий откровенно насилует мозг придирками к сертификату и ничего в итоге просто не работает как не извращайся. По сути на IP KVM сертификат вообще не нужен ибо всё происходит в локалке, но в итоге сейчас приходиться использовать древнюю 6 жабу с кучей дыр и прочего безобразия которая работает и при добавлении исключения вообще позволяет выкинуть этот бессмысленный самоподписанный сертификат на 10 лет.
                                                            • +1
                                                              29 сентября 2016 года, WoSign закрыла возможность бесплатных SSL-сертификатов. Пожалуйста, обновите информацию в посте :)
                                                              • 0
                                                                обновил, спасибо. Используйте Let's Encrypt :)

                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.