Пользователь, программист
0,0
рейтинг
11 ноября 2015 в 18:07

Разработка → WoSign Free SSL — конец большой китайской халявы из песочницы

Некоторое время назад Китайская компания WoSign, начала бесплатно раздавать SSL сертификаты, о чем ни раз писалось на Хабре. Сначала они выдавали сертификаты на 2 года Бесплатные SSL-сертификаты на 2 года с поддержкой до 100 доменов, Бесплатные SSL-сертификаты на 2 года от WoSign, а потом решили давать аж на целых три года Бесплатные SSL-сертификаты — теперь на 3 года от WoSign.

image

18 сентября они в очередной раз изменили условия предоставления бесплатных SSL сертификатов.

На днях для сайта нового подразделения нашей компании потребовался сертификат, мы не долго думая решили, в очередной раз заказать его у китайских друзей. Войдя в уже знакомый интерфейс запроса сертификата, с удивлением обнаружили, что запросить сертификат можно только на один год. Ладно, один так один, все равно эти сертификаты мы заказываем временно, чтоб не тормозить процесс запуска. Начав вводить имена www.domen.ru и domen.ru обнаружили, что запросить сертификат можно только на одно доменное имя: «Sorry, WoSign Free SSL Certificate support 1 domains only,thanks.».

Стало интересно в чем причина подобного ограничения и я полез смотреть новости компании. Новость нашлась, но к моему разочарованию только на китайском языке, в английской версии сайта почему-то этой новости нет. В новостях компании от 17 сентября 2015 написано примерно следующее: Серия инициатив компании по выпуску ssl сертификатов с нулевой стоимостью для обеспечения безопасности и конфиденциальности способствовала популяризации сайтов HTTPS, среди пользователей в более чем в 180 странах и регионах. И конечно этим заманчивым предложением воспользовались не только добропорядочные разработчики. Начиная с 18 сентября выдача бесплатных сертификатов будет ограничена, сертификаты будут выдаваться на один год и только на один домен. Для тех, кто все же желает получить сертификаты на более длительный срок, компания предлагает воспользоваться другими своими предложениями. В китайском я не силен, но из того что перевел гугл переводчик понял, что из-за большого количества вредоносных доменов на систему сильно возросла нагрузка и негативно отразилась на качестве и эффективности предоставляемых услуг. «Нам нужно более безопасное, достоверное сетевое окружение, сайт должен не только шифровать конфиденциальную информацию, но и подтверждать свою достоверность», — говорится в китайском послании.

Халява на трехгодичный SSL с поддержкой до ста доменов закончилась и заказать сертификат теперь можно только на один год и только на один домен. Надеюсь, что ранее выданные сертификаты наши китайские друзья отзывать не будут.
Игорь @Dimd13
карма
5,0
рейтинг 0,0
Пользователь, программист
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (24)

  • +5
    Теперь вся надежда на Let’s Encrypt, которые должны запуститься на следующей неделе.
    • –3
      А CloudFlare, а StartSSL?
      • +1
        CloudFlare всё-таки немного не о том, а StartSSL, насколько помню, тоже на год и для одного домена.
        • 0
          Ну не совсем.

          www.domain.pro + domain.pro = бесплатно на год.
          bullshit.domain.pro + domain.pro = аналогично.

          Вот 2 L3 или 2 разных L2 — только за денежки. Впрочем, там настолько смешные деньги, что останавливает только то, что слишком уж долгая верификация у них.
          • 0
            Вчера столкнулся, выпущено уже 3 сертификата на домен 3 уровня типа servername.domain.ru
            заказываю еще один вида servername1@domain.ru на стадии получения сертификата сообщение мол обождите до 3 часов и пришлем письмо.
            This electronic mail message was created by StartCom's Administration Personnel:

            Thank you for requesting a digital certificate with us. However Class 1 certificates are not meant to be used for commercial activities or financial transactions according to our policy. For this purpose please consider upgrading to Class 2 or higher verification level.

            Please see www.startssl.com/?app=32 about how to enroll.

            Thank you for your understanding.

            Best Regards

            Sean Michlin
            StartCom Ltd.
            StartSSL Certification Authority


            Думаю ну больше 3 доменов наверное нельзя, но на всякий случай еще раз решил попробовать — результат аналогичный.
            Убрал из имени домена цифру 1 и сертификат выдался на автомате. Странно это ;-)
          • 0
            Дважды проходил «верификацию личности» за 50$, в течении трех-четырех часов получал результат в виде подтвержденной учетки.
            Но есть и негативные стороны: что wosign, что startssl при наличии слов связанных с брендами наотрез отказываются выдавать сертификат, во всяком случае при наличии слова apple в L2 домене мне отказали и там, и там, не смотря на то, что деятельность организации никакого отношения к apple не имеет.
            • 0
              Подскажите, пожалуйста, у startssl при верифицированной личности нужно ли дополнительно платить за Wild Card сертификаты?
              И если сертификат можно брать на 2 года, то обязательно ли проводить верификацию личности каждый год с оплатой теперь уже $60?
              • 0
                1. Нет на wildcard дополнительно платить не надо — на подтвержденные домены спокойно можно делать.
                2. Нет, каждый год проверяться не надо — только перед выпуском очередного сертификата.
            • 0
              Не только с брендами, но и вообще, со всем, что как-то может относится к коммерции. Например, мне зарубили файлохранилище filestore (потому что «store»).
      • 0
        StartSSL не на все бесплатные домены выдает, к примеру на .tk не получится
        • +1
          Более того, если сайт коммерческий и что-то продаёт, пусть даже и по телефонному звонку, то могут отказать.
    • 0
      Не забывайте о бесплатных сертификатах от startssl. У меня второй год работает, проблем не было.
      • –2
        Прямо сейчас auth.startssl.com
        | Ошибка подключения SSL
        • +5
          Так и должно быть — при регистрации выдаётся персональный сертификат, который устанавливается в браузер и именно по нему осуществляется заход в основную часть сайта.
    • 0
      LE по факту запустился, инвайты дают буквально через пару дней после запроса.
    • 0
      Попробовал бету Let's Encrypt. Сложилось ощущение, что хотели сделать как лучше (проще), а получилось сложнее.
      • 0
        Хотели сделать бесплатно, но и не хотели идти на поводу у ленивых и раздувать списки отзыва, а соответственно и затраты как минимум на трафик.
        Верификацию домена нужно проводить раз в год, обновлять сертификат в течении этого года можно автоматически, так-что ничего страшного в общем-то и нет.
  • +3
    Халява WoSign стала менее халявной, но по сути никуда не делась — при однократном подтверждении домена второго уровня сертификатов на домены третьего уровня можно выпустить сколько угодно. Веб-сервера и браузеры давно поддерживают SNI, и не нужен выделенный IP адрес для каждого домена с HTTPS. Ну в конфиги nginx на две строчки больше писать, но не более того.
    • +1
      Скажем ценник у них вполне более разумный, чем у реселлеров чего угодно в России.

      domain.ru и www.domain.ru идут в одном сертификате по умолчанию, бесплатно.

      Дальше по $2/домен/год.
      Это не 7000 в год и даже не близко к тому.

      У startssl тоже вполне разумный ценник был, пока рубль не упал. Особенно если доменов надо много: 1 раз проверили, 1 раз деньги взяли и дальше клепай сертификатов сколько надо.
      • +1
        Сейчас в WoSign бесплатно выдают второе имя www.domain.ru при заказе domain.ru
        Но если вдруг вам надо заправить на один вебсайт два домена host1.domain.ru и host2.domain.ru, для этого нет нужды покупать один сертификат на два имени — можно просто бесплатно заказать два отдельных сертификата (с общим приватным ключем, если захочется), а затем вписать их в конфиг Nginx таким образом:
        server {
            listen 123.45.67.89:443 ssl default;
            server_name host1.domain.ru;
            ssl_certificate host1.domain.ru.crt;
            ssl_certificate_key host1.domain.ru.key;
            include common_stuff;
        }
        server {
            listen 123.45.67.89:443 ssl;
            server_name host2.domain.ru;
            ssl_certificate host2.domain.ru.crt;
            ssl_certificate_key host2.domain.ru.key;
            include common_stuff;
        }
        
        • –1
          я понимаю что можно сделать несколько сертификатов и SNI настроить, но всё же иногда нужно несколько доменов именно в одном сертификате, например в версиях IIS, которые SNI не поддерживают, либо поддерживают так что дешевле заплатить за сертификат, чем разбираться.
      • 0
        У GoGetSSL хорошие цены на DV сертификаты от Comodo, что-то около 12 долларов за три года.
  • +3
    Странная логика у наших китайских друзей. Как уменьшение количества доменов в одном сертификате и уменьшение его жизни до года может помешать злоумышленникам? Мне кажется, они так же будут брать себе серты на год для каждого нового домена. Вряд ли фишинговые сайты живут дольше года, их же банят везде антивирусы и фаирволлы.

    Скорее всего, просто маркетинговая акция по популяризации своего сервиса у них завершилась, теперь решили зарабатывать.
  • 0
    Update! Сегодня зарегистрировал на woSign бесплатный сертификат на 3 года (срок до 2019), можно включить в него до 5 поддоменов (не считая www).

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.