веб-программист
0,0
рейтинг
4 мая 2015 в 10:40

Разработка → Бесплатные SSL-сертификаты — теперь на 3 года от WoSign



Вчера обнаружил, что WoSign дает бесплатно сертификат, теперь уже на 3 года. Уже много статей на хабре было про сервис WoSign. Вот и еще одна. Как зарегистрироваться и получить сертификат, можете прочитать здесь, дополнительная информация есть о сервисе тут.

UPD-1:
Статья: Добиваемся OCSP stapling = Yes для сертификатов от WoSign на Nginx

UPD-2:
Было


Стало


Статья: Nginx и https. Получаем класс А+

UPD-3:
How To Configure OCSP Stapling on Apache and Nginx
Используете ли вы https?

Проголосовало 1837 человек. Воздержалось 448 человек.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Максим Бабичев @REZ1DENT3
карма
9,0
рейтинг 0,0
веб-программист
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (76)

  • 0
    Вроде как Google (их браузер) начал блочить сайты с китайскими сертификатами. Или я что-то путаю?
    • +2
      Вы путаете. вот мой проект на котором стоит WoSing сертификат, fktpm.ru, проверьте. Я использую Google Chrome и Firefox.
      • 0
        Ну сейчас они и должны работать, гугл сказал что даст вебмастерам время перейти на другие сертификаты. Ну если комментатор ниже говорит что проблема только с «China Internet Network Information Center», тогда претензий нет.
      • +4
        Отличные результаты, кстати ;)

        www.ssllabs.com/ssltest/analyze.html?d=fktpm.ru&hideResults=on
        • +1
          Да уж, пуделек машет хвостиком и готов принять нового хозяина :D
          • +5
            Оу, дак это сайт Факультета Компьютерных Технологий и Прикладной Математики.
            Ну, не серьезно как-то
        • –2
          И чего там хорошего, я не очень понял?
          • +4
            Это был сарказм.
            С рейтинг — мал,
            SSL3 включен — POODLE уязвимость,
            OCSP нет,
            HPKP нет
            несколько слабых шифров (возможно для поддержки старых браузеров)
            • +1
              Спасибо. добавил OCSP, теперь A+
              • 0
                Воот! Теперь все гуд ;)
              • +1
                Для A+ не требуется OCSP-сшивание, да и всё равно вы его не реализовали, потому что логика nginx такая, что чтобы оно работало на виртуальном хосте, оно обязательно должно быть на дефолтном тоже, в вашем случае это api.fktpm.ru.
                www.ssllabs.com/ssltest/analyze.html?d=api.fktpm.ru&hideResults=on
                OCSP stapling No
                • +1
                  OCSP stapling для китайца срабатывает со 2-3 раза. Далеко первый раз идет запрос.
                  Плюс к этому нужен nginx 1.7.x+, на младших версиях нужно костылить.

                  Для A+ нужно HPKP, по-моему.
                  • +1
                    Для A+ нужно HPKP, по-моему.
                    HSTS.
                    HPKP в продакшне использовать нужно с большой осторожностью.
                • 0
                  Спасибо. Да, действительно, забыл сделать nginx reload
                  OCSP stapling No

                  Сейчас
                  OCSP stapling Yes


                  В статью добавил ссылку на сайт с подробным описанием, как включить «OCSP stapling»
      • –1
        Факультет какого университета? Можно только дагадаться по ссылке «сайты… приветствуют вас», что КубГУ, но лучше явно написать прямо в заголовке.
    • +1
      Проблема с «China Internet Network Information Center». WoSign-овские сертификаты им не подписаны и никак не затронуты.
      • 0
        Почитаю на досуге. Спасибо за наводку.
  • –7
    Хм. Китайцы хотят вкинуть много сертификатов на рынок, чтобы потом в легкую читать все данные проходящие через https по их сертификатам?
    • +22
      Вы разоблачили китайский заговор! Да, ассиметричное шифрование именно так и работает.
      • –10
        Подмену сертификатов никто не отменял.
        • +10
          Для подмены сертификата достаточно быть доверенным CA. Раздавать бесплатные сертификаты никакой необходимости нет.
          • –5
            Как стимул получения сертификатов именно у них — ещё как есть.
            • +14
              Для подмены сертификата не нужно, чтобы подменяемый сертификат был подписан тем же CA.
              • +1
                Оно как бы да, но можно HPKP по ключу CA это немного «ограничить»… (И да, я знаю, что это не для посетителей забредших на сайт первый раз;).
                • –1
                  И да, я знаю, что это не для посетителей забредших на сайт первый раз;)
                  Нужно просто договориться с вендорами браузеров о прелоаде HPKP для вашего сайта, делов-то ;).
              • –1
                Не всегда. Если используется пиннинг, то приложение будет проверять, выдан ли полученный сертификат тем же CA, что и «вшитый».
  • 0
    Вот взяли и положили китайцев :)
  • 0
    image

    Попробую я через пару дней…
    • 0
      Да, у них, во-первых, из России долго сайт открывается, а во-вторых, нужно быстро регить сертик, т.к часто сессия слетает. Т.е лучше заранее приготовить список сайтов для сертика, файл CSR и открыть почту для валидации домена, чтобы быстро отправить заявку.
      • 0
        так и делаю, просто видимо нагрузка…
    • 0
      Ага, тоже заметил сей хабраэффект. Ещё пару раз попробую, и «будем подождать».
    • –8
      О господи, не понимаю я гонки за этими дешевыми сертификатами. Если нужен один — отдать 7-8$ в год — сравнимо с ценой домена. Если нужно много — то покупаешь известный бренд оптом у крупного игрока, да и всё: хоть барыж ими, хоть сам используй. Например, тыц — всего по 4 бакса.
      • +4
        А где вы за 7-8 баксов в год видели? Базовый от 50 баксов стоит. Wildcard я дешевле 150 не находил. Про EV вообще молчу.
        • +4
          Не Wildcard или EV, но для маленького сайта, вроде, пойдет: Comodo Positive SSL за $12 на 3 года. Четыре бакса в год.
          • +3
            Я даже китайцам больше доверяю, чем комоде.
            • +1
              Для mitm абсолютно по барабану кем у вас подписан сертификат. Достаточно быть в trust chain.
              • 0
                Прекрасно это понимаю, я в целом о доверии. Комоду из keychain-а с тех самых пор вынес, каждый раз вручную проверяю на всякий случай.
          • –1
            del
          • –1
            >> Green Address bar: No
            • 0
              Не Wildcard или EV
        • 0
          Любой wildcard, а тем более EV сравнивать с wosign'овским сертификатом на пачку SAN как-то странно, вам не кажется?
  • 0
    гатавай тамайт, пичаль-бида
    • 0
      Несмотря на таймаут, на почту все равно приходит линк на получение сертификата.
    • 0
      Что намекает, что ocsp/crl могут работать хреновастенько, могут вылезти проблемы при необходимости отзыва и т. п.
  • +1
    А пробовал кто отозвать их сертификат и запросить новый?
    • 0
      можно запросить новый не отзывая старый. Я так делал.
      • +3
        Так ведь смысл именно в отзыве старого.
  • 0
    Может кто знает, поддерживают ли эти сертификаты Android 4+ / iOS 6+ браузеры?
    • 0
      Да. Я получил позавчера, все работает.
      • 0
        Подтверждаю — на неделе обновил сертификат, никаких проблем не замечено
    • 0
      у сертификата есть проблемы с браузером в android 2.3.7
      • 0
        Android 2 не объявляет о том, какой сайт хочет открыть, и сервер отправляет дефолтный сертификат. То же самое с IE на XP.
  • –5
    А зачем делать сертификаты аж на 3 года? Это вроде бы достаточно большое время жизни для ключа.
    • 0
      Такое «время жизни» не для секьюрности сертификатов, а грубо говоря, для того чтобы поглубже залезть нам с вами в карман…
      К примеру (если вдруг теоретически появится какой-то мат. алгоритм, уменьшающий сложность обратного вычисления, ну или тупо возможен брут на N-машинах: просто берётся в три раза больше машин (N*3) и подбирается за год а не за три…
      Ну и вообще-то, сертификат можно отозвать (например чтобы увеличить стойкость нового).
  • –6
    Реквестую мануал по установке этих сертитфикатов для хостинга, приложений и т.д.
    • +20
      Есть хороший сервис по поиску любой информации в интернете. Просто вводите запрос в свободной форме и получаете ссылки на страницы — google.com. Попробуйте.
      • –4
        Реквестирую мануал по пользованию google.com в виде развернутой статьи на хабре. Попробовал одеть форму друга летчика. Сидит свободно, но как в ней вводить запрос и куда?
  • 0
    Раз уж пошла такая пьянка, кто-нить подскажет бесплатный хостинг с PHP и MySQL и поддержкой установки своих SSL сертификатов и не требующих выделенного IP? Нужно для open-source проекта.
  • 0
    Подскажите, может кто видел в сети — имеются ли бесплатные сертификаты для IDN-доменов (рф)? Проект некоммерческий, а пользователей защитить хочется.
    • 0
      Не проще взять у реселлеров comodo за $10 на пару лет? Домен.рф для некоммерческого проекта наверняка не бесплатный.
      • 0
        О, хороший ценник, устраивает. Дайте ссылочку в личку, пожалуйста.
  • 0
    прикрыли лавочку китайцы.
    теперь только 1 домен free на 1 год :(
    далее по 1.99$ каждый домен за каждый год
    • 0
      letsencrypt.org в ближайшее время станет доступен всем и уже является доверенным во всех основных браузерах, так-что нет смысла горевать)
      • 0
        Только вот сомнения у меня, что будет возможно накидать в сертификат поддомены.
        А так да, уже заждался, когда мозилла наконец-то выкатит в массы letsencrypt
        • 0
          Судя по примеру команд клиента в readme https://github.com/letsencrypt/letsencrypt на старте точно будут сертификаты с несколькими SAN, wildcard сертификаты 'обсуждаются'
    • 0
      Твою мать( я как раз потерял auth сертификат в startssl. А через месяц заканчивается мой сертификат на домен. И что делать-то?
      • 0
        Создайте новую учетку, startssl «помнит» владельца домена только 30 дней.
        • 0
          Я вот тут задумался насчёт let's encrypt. Они начинают за 3 дня до окончания моего сертификата. Можно успеть. Хотя наверное проще прдстраховаться и получить stsrtsll дополнительно.
          • 0
            Ну, выпустите сейчас и поменяйте, не дожидаясь, когда сертик протухнет. Зачем ждать?
            А по срокам, сертик у демо-домена helloworld.letsencrypt.org протухнет 11 декабря 2015, а по расписанию:
            First certificate: Week of September 7, 2015
            General availability: Week of November 16, 2015

            Так что в этом году, возможно, и увидим.
      • 0
        Можно ещё купить какой-нибудь rapidssl за $10 и на пару лет забыть о проблеме.
  • 0
    А кто-нибудь сталкивался с проблемами сертификатов WoSign на устройствах apple?

    Я такой поставил сертификат от WoSign на 3 года, радуюсь что все так здорово, а тут набежали айфонопользователи и говорят что у них сайт не открывается. И то же самое на макбуках.
    Убил дней 5, ковырялся-ковырялся, получил класс A+ по ssllabs, а айфон по-прежнему говорит «не удается проверить удостоверение сертификата».
    Говорит, выдан «WoSign CA Free SSL...», при этом пишет «ненадежный», хотя никаких криминальных подробностей про него не пишет.

    При этом сейчас проверил fktpm.ru — на том же айфоне отлично открывается. Хотя все поля во всех свойствах те же самые (вроде).

    У меня апач а не nginx, вот конфиг:
        SSLCertificateFile /data/www/ssl/webmail.crt
        SSLCertificateKeyFile /data/www/ssl/webmail.key
        SSLProtocol all -SSLv2 -SSLv3
        SSLCipherSuite kEECDH+AES128:kEECDH:kEDH:-3DES:kRSA+AES128:kEDH+3DES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!LOW:!SEED:!CAMELLIA:!IDE
    A:!PSK:!SRP:!SSLv2;
        SSLCertificateChainFile /data/www/ssl/wosign/ca-certs.pem
        SSLHonorCipherOrder On
        SSLCACertificateFile /data/www/ssl/wosign_root_bundle.crt
        Header add Strict-Transport-Security "max-age=31536000"
        Header add Content-Security-Policy-Report-Only "default-src https:; script-src https: 'unsafe-eval' 'unsafe-inline'; style-src https: 'unsa
    fe-inline'; img-src https: data:; font-src https: data:; report-uri /csp-report"
    


    SSLCertificateChainFile генерировал по этой статье: habrahabr.ru/post/254231

    До этого всякие комоды и freessl работали отлично, был стабильный C. (Уязвимость POODLE, слабые алгоритмы, древний TLS и т.п.), ни с какими классами A+ я даже не заморачивался. А китайцев почему-то эпл не хочет воспринимать ни в какую.

    Что там надо еще включить для счастья на айфонах?
    • +2
      SSLCertificateFile /data/www/ssl/webmail.crt
      SSLCertificateKeyFile /data/www/ssl/webmail.key

      По-моему, что-то тут не так. Что за webmail.crt\.key?
      Я надеюсь, вы не сунули сюда ключи для веб-почты из wosign-кабинета?

      help.ubuntu.ru/wiki/apache_и_https:
      # Публичный сертификат сервера
      SSLCertificateFile /etc/ssl/certs/server.pem
      # Приватный ключ сервера
      SSLCertificateKeyFile /etc/ssl/private/server.key


      PS. У меня nginx и сайты с wosign-сертиками открываются на яблоках при А+ ssllabs
      • 0
        Что за webmail.crt\.key?

        Просто переименовал для удобства…

        Все, разобрался, я сам лопух.
        После того как запостил сюда, пришла в голову мысль пересоздать сертификат. И повторив процедуру, я понял, что сунул туда не тот root-bundle ключ.
        Уже не помню, откуда я его тогда взял, может быть это и были «ключи для веб-почты из wosign-кабинета», сейчас указал правильный root-bundle, и сайт заработал.

        Оказывается, бывает и так: почему-то только apple на сертификат ругался, винде, андроиду и всем остальным все нравилось.

        P.S: кстати подтверждаю: теперь только на год новые сертификаты нахаляву дают. Хорошо я тот старый успел получить на 3 года.
  • 0
    Доброго времени суток! Смотрю сейчас вы на Let's Encrypt перебрались. Расскажите, пожалуйста, в чём причина. Может нашли в WoSign какой то фатальный недостаток?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.