На днях мне для тестирования сайта потребовался сертификат и я на всякий случай решил сходить к китайцам и посмотреть ни чего ли у них не изменилось с ноября 2015. Оказалось, что все не так плохо как было раньше! В частности, теперь написано, что они выдают бесплатно сертификаты на срок до 2 лет с поддержкой 5 поддоменов (это не считая www). Но я поставил чекбокс в форме на 3 года и в итоге получил новенький сертификат выданный на срок до 2019 года.
Вот ссылка на форму заказа. Буду рад, если эта информация окажется кому-то полезной.
Комментарии (43)
Ernado
19.03.2016 23:54+9Думаю, с появлением Let's Encrypt, WoSign выглядит уже не так интересно. У Let's Encrypt срок действия конечно только три месяца, но можно настроить автоматическое продление. К тому же, насколько я помню, сертификаты WoSign не всеми браузерами корректно поддерживаются.
BeLove
20.03.2016 00:31+3Как и у Lets Encrypt, CloudFlare и других. ХР (исключая ФФ) / Android 2.x в пролете.
crossfire
20.03.2016 00:59+1Не совсем так, у LE на сегодняшний день есть несколько проблем: короткий срок действия сертификатов и нужно заморочиться с настройкой автоматического продления с использованием sudo, на хабре есть статьи на эту тему. woSign же хорошая тема, чтобы спокойно переждать некоторое время до тех пор пока LE не станет более удобным чем сейчас, особенно если как раз, как мне, нужно иметь в пакете несколько поддоменов.
inkvizitor68sl
20.03.2016 02:14+3Строго говоря, там можно и без sudo через --docroot и прописанные во всех вхостах в nginx location (/.well-known, что ли) на один каталог.
questor
20.03.2016 20:45Именно так. Вот только что на эту тему тиснул заметку: https://habrahabr.ru/post/279695/
ValdikSS
20.03.2016 08:15+5К сожалению, пока что с Let's Encrypt проблем больше, чем с WoSign.
WoSign, похоже, ограничил количество доменов в одном сертификате по техническим, а не каким-то другим, причинам, т.к. они мне без особых вопросов выдали 7 сертификатов подряд за сутки, в каждом по 5 поддоменов.
У Let's Encrypt есть ограничение в выдаче 5 сертификатов в 7 дней на один зарегистрированный домен. Т.е. хотите вы, например, получить сертификат на каждый из 20 ваших серверов, и натыкаетесь на это ограничение. Выхода два: можно выпускать не все сертификаты сразу, а разнести это, например, на месяц, а можно добавлять несколько доменов в один сертификат, но тогда вам нужно будет подтверждать серверы вручную (или использовать какой-то сторонний плагин, который зайдет на нужный сервер и создаст нужный файл).
Кроме того, в Let's Encrypt есть ограничение на создание аккаунтов: 10 штук в 3 часа, но это уж не такая большая проблема.
Еще одна важная особенность, о которой нужно знать, заключается в том, что в CA с кросс-подписью от IdenTrust добавлена зона *.mil в Exclude Name Constrainsts, от чего он не работает в Windows XP.rekby
20.03.2016 08:22Чтобы не получать 20 сертификатов — можно получать один на одном сервере и потом его размножать. Мне кажется это логичным: если сейчас браузеры не ругаются на прыгания сертификатов, то могут начать это делать в будущем опять же для защиты от человека посередине подменяющего сертификат, например помнить какой сертификат был в прошлый раз и выдавать предупреждения если он поменялся без видимой причины.
ValdikSS
20.03.2016 08:23Я хотел именно много сертификатов для того, чтобы в случае компрометации одного сервера, злоумышленник не получил доступ к сертификату для всех доменов.
rekby
20.03.2016 08:27Для этого нужно выпускать отдельный сертификат на каждый домен, а не на каждый сервер. Соответственно на каждом сервере будут только сертификаты своих доменов.
Проблема работы по https нескольких доменов на одном IP решается через SNI и не требует перечисления всех доменов сервера в одном сертификате.ValdikSS
20.03.2016 08:38В том-то и дело, что у меня 20 доменов на 20 разных серверах, у которых разные IP. Чтобы мне подтвердить домены, мне нужно либо выполнять все действия на тех серверах, на IP которых указывают эти домены, либо временно изменить A и AAAA-записи на один и тот же сервер на всех 20 доменах. И смогу я получить только 5 сертификатов в 7 дней (у меня один и тот же домен, с 20 поддоменами).
farcaller
20.03.2016 11:40Ну можно же /.well-known реплицировать или проксить на общий бекенд.
ValdikSS
20.03.2016 11:49…для чего нужно либо настраивать и держать запущенным веб-сервер, либо писать скрипт, который будет запускать его по запросу на всех серверах.
farcaller
20.03.2016 11:52А 20 доменов на 20 серверах вы вручную настраиваете? Не понял ситуации тогда, я думал у вас 20 разных сайтов отдаются одним облаком в 20 фронтендов.
ValdikSS
20.03.2016 12:00Да, вручную.
Чтобы избежать возможного недопонимания: Let's Encrypt ограничивает выдачу сертификатов на один «купленный» домен (имя + доменная зона, domain.com), а у меня разные серверы висят на поддоменах одного домена (serv1.domain.com, serv2.domain.com). В Let's Encrypt нельзя подтвердить владение только корневым доменом (domain.com), нужно каждый раз (при выпуске любого сертификата) подтверждать все поддомены, для чего мне нужно либо писать скрипт, который каким-либо образом заходит на сервер, запускает там веб-сервер и кладет файл с нужным содержимым, либо заходить на него вручную, что не было бы такой уж проблемой без ограничения на количество выдаваемых сертификатов в 7 дней (раз в 3 месяца можно и вручную все это сделать, но не раз в неделю в течение месяца, через каждые 2 месяца).
В то же время, у большинства центов сертификации достаточно один раз подтвердить владение корневым доменом (domain.com), и можно выпускать и перевыпускать сертификаты без дальнейшего подтверждения, в том числе и для поддоменов.
Rathil
20.03.2016 00:16Нужно будет глянуть днём, а пока https://www.startssl.com/ очень даже устраивает.
FarCry
21.03.2016 10:45Брал бесплатные, проблем не было. По нужде оплатил годовой сертификат (было несколько лет назад). В итоге полгода ждал живого письма-подтверждения, которое не пришло. Ни трекинга, ни каких-либо объяснений со стороны ребят не получил. Выслали второе, но когда оно наконец-то дошло, у меня уже были куплены сертификаты в других компаниях.
navion
21.03.2016 14:03У бесплатного были проблемы с OCSP, он периодически не отвечал и FF отказывался открывать сайты с такими сертификатами без OCSP stapling.
Платные для компании выпускать дорого ($120) и муторно, проще купить в GoGetSSL сертификат с DV за копейки и с моментальной верификацией.
L0NGMAN
20.03.2016 14:50Стоит перейти на Wosign с Startssl? Пугает только то что wosign китайская…
vitalybaev
20.03.2016 19:34+1Мы на WoSign перевели почти все свои проекты, проблем не встречали
L0NGMAN
20.03.2016 19:44+1А что насчет
?Make sure to configure OCSP stapling on your webserver since WoSign only operates OCSP responders in China which results in a bad latency for western visitors where the browser queries the OCSP responder before opening the connection. It might as well result in a privacy issue since WoSign a.k.a «the Chinese» know who visits which website. With OCSP stapling you effectively mitigate both problems.
Что нужно сделать дополнительно?navion
20.03.2016 21:00У StartSSL он тоже пару раз ложился (возможно только бесплатный CA) и FF отказывался открывать сайт, но OCSP stapling решает эту проблему.
cavin
20.03.2016 22:33+1Теперь Wosign использует запрос на создания сертификата, а не делает его целиком на своей стороне (как было еще в августе). Это значит, что они никогда не увидят закрытый ключ — то есть бояться того, что они китайские особо нечего.
vladimirkolyada
21.03.2016 09:46+2Сказки не рассказывайте, уже давным давно они делают как по реквесту так и внутреннюю генерацию. Кто как желает. У меня сертификаты как минимум прошлых годов.
TimsTims
20.03.2016 21:14Не утверждаю на 100%, но замечал иногда, что сайты на сертификате wosign открываются дольше. И кто-то на хабре говорил, что это из-за того, что серверы находятся в поднебесной, и время уходит на фильтрацию китайского файерволла. Однако грех жаловаться на +1-2 секунды за бесплатные сертификаты.
blind_oracle
20.03.2016 22:42+3Если настроить OCSP Stapling, то этой проблемы в большинстве случаев не будет.
Holms
21.03.2016 03:47Странно, запилил себе на 3 года, во всех десктопнах браузерах все работает нормально, в iOS выдает что "site identity cannot be verified"
shohruhuz
21.03.2016 19:59Заказал сертификат для 5 доменов на срок 2 года. Все сайты работает без проблем. Вопрос: Можно ли перевыпустить сертификат бесплатно у них?
Amet13
В середине декабря брал себе сертификат, тогда тоже уже можно было на 3 года брать.
questor
Тоже брал себе трёхгодичные. Но, хотя ещё не везде подходит срок к концу — поглядываю в сторону Let's Encrypt и потихоньку заменяю.