Вчера обнаружил, что WoSing дает бесплатно сертификат, теперь уже на 3 года. Уже много статей на хабре было про сервис WoSing. Вот и еще одна. Как зарегистрироваться и получить сертификат, можете прочитать здесь, дополнительная информация есть о сервисе тут.
UPD-1:
Статья: Добиваемся OCSP stapling = Yes для сертификатов от WoSign на Nginx
UPD-2:
Статья: Nginx и https. Получаем класс А+
UPD-3:
How To Configure OCSP Stapling on Apache and Nginx
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Комментарии (60)
Sakuya
04.05.2015 12:22-7Хм. Китайцы хотят вкинуть много сертификатов на рынок, чтобы потом в легкую читать все данные проходящие через https по их сертификатам?
Roy
04.05.2015 12:53+22Вы разоблачили китайский заговор! Да, ассиметричное шифрование именно так и работает.
BasicXP
04.05.2015 13:43-10Подмену сертификатов никто не отменял.
Roy
04.05.2015 13:49+10Для подмены сертификата достаточно быть доверенным CA. Раздавать бесплатные сертификаты никакой необходимости нет.
BasicXP
04.05.2015 14:05-5Как стимул получения сертификатов именно у них — ещё как есть.
Roy
04.05.2015 14:06+14Для подмены сертификата не нужно, чтобы подменяемый сертификат был подписан тем же CA.
sebres
05.05.2015 10:09+1Оно как бы да, но можно HPKP по ключу CA это немного «ограничить»… (И да, я знаю, что это не для посетителей забредших на сайт первый раз;).
MyHabrahabr
05.05.2015 13:37-1И да, я знаю, что это не для посетителей забредших на сайт первый раз;)
Нужно просто договориться с вендорами браузеров о прелоаде HPKP для вашего сайта, делов-то ;).
tangro
05.05.2015 10:30-1Не всегда. Если используется пиннинг, то приложение будет проверять, выдан ли полученный сертификат тем же CA, что и «вшитый».
vah13
04.05.2015 12:44
Попробую я через пару дней…
Pulse
04.05.2015 12:55Да, у них, во-первых, из России долго сайт открывается, а во-вторых, нужно быстро регить сертик, т.к часто сессия слетает. Т.е лучше заранее приготовить список сайтов для сертика, файл CSR и открыть почту для валидации домена, чтобы быстро отправить заявку.
mcdebugger
04.05.2015 13:40Ага, тоже заметил сей хабраэффект. Ещё пару раз попробую, и «будем подождать».
lucius
04.05.2015 17:04-8О господи, не понимаю я гонки за этими дешевыми сертификатами. Если нужен один — отдать 7-8$ в год — сравнимо с ценой домена. Если нужно много — то покупаешь известный бренд оптом у крупного игрока, да и всё: хоть барыж ими, хоть сам используй. Например, тыц — всего по 4 бакса.
Greendq
04.05.2015 17:50+4А где вы за 7-8 баксов в год видели? Базовый от 50 баксов стоит. Wildcard я дешевле 150 не находил. Про EV вообще молчу.
ulltor
04.05.2015 18:28+4Не Wildcard или EV, но для маленького сайта, вроде, пойдет: Comodo Positive SSL за $12 на 3 года. Четыре бакса в год.
grossws
05.05.2015 01:45Любой wildcard, а тем более EV сравнивать с wosign'овским сертификатом на пачку SAN как-то странно, вам не кажется?
zenden2k
04.05.2015 14:44гатавай тамайт, пичаль-бида
ZloyDyadka
04.05.2015 17:31Несмотря на таймаут, на почту все равно приходит линк на получение сертификата.
grossws
05.05.2015 01:46Что намекает, что ocsp/crl могут работать хреновастенько, могут вылезти проблемы при необходимости отзыва и т. п.
BreatheInMyVoid
04.05.2015 18:54Может кто знает, поддерживают ли эти сертификаты Android 4+ / iOS 6+ браузеры?
REZ1DENT3 Автор
06.05.2015 10:44у сертификата есть проблемы с браузером в android 2.3.7
MyHabrahabr
06.05.2015 22:44Android 2 не объявляет о том, какой сайт хочет открыть, и сервер отправляет дефолтный сертификат. То же самое с IE на XP.
Disasm
04.05.2015 21:07-5А зачем делать сертификаты аж на 3 года? Это вроде бы достаточно большое время жизни для ключа.
sebres
05.05.2015 10:20Такое «время жизни» не для секьюрности сертификатов, а грубо говоря, для того чтобы поглубже залезть нам с вами в карман…
К примеру (если вдруг теоретически появится какой-то мат. алгоритм, уменьшающий сложность обратного вычисления, ну или тупо возможен брут на N-машинах: просто берётся в три раза больше машин (N*3) и подбирается за год а не за три…
Ну и вообще-то, сертификат можно отозвать (например чтобы увеличить стойкость нового).
WebMonet
04.05.2015 22:49-6Реквестую мануал по установке этих сертитфикатов для хостинга, приложений и т.д.
stardust_kid
05.05.2015 00:02+20Есть хороший сервис по поиску любой информации в интернете. Просто вводите запрос в свободной форме и получаете ссылки на страницы — google.com. Попробуйте.
0mm
05.05.2015 19:42-4Реквестирую мануал по пользованию google.com в виде развернутой статьи на хабре. Попробовал одеть форму друга летчика. Сидит свободно, но как в ней вводить запрос и куда?
SerJook
06.05.2015 10:47Раз уж пошла такая пьянка, кто-нить подскажет бесплатный хостинг с PHP и MySQL и поддержкой установки своих SSL сертификатов и не требующих выделенного IP? Нужно для open-source проекта.
Pulse
06.05.2015 10:56+2Micro instance EC2 в AWS на первый год
REZ1DENT3 Автор
06.05.2015 11:04не сочтите за рекламу
http://aws.amazon.com/free/
https://www.heroku.com/
ЗЫ, ссылки чистые
saanneekk
Вроде как Google (их браузер) начал блочить сайты с китайскими сертификатами. Или я что-то путаю?
REZ1DENT3 Автор
Вы путаете. вот мой проект на котором стоит WoSing сертификат, fktpm.ru, проверьте. Я использую Google Chrome и Firefox.
saanneekk
Ну сейчас они и должны работать, гугл сказал что даст вебмастерам время перейти на другие сертификаты. Ну если комментатор ниже говорит что проблема только с «China Internet Network Information Center», тогда претензий нет.
mlu
Отличные результаты, кстати ;)
www.ssllabs.com/ssltest/analyze.html?d=fktpm.ru&hideResults=on
Pulse
Да уж, пуделек машет хвостиком и готов принять нового хозяина :D
Pulse
Оу, дак это сайт Факультета Компьютерных Технологий и Прикладной Математики.
Ну, не серьезно как-то
Rastler
И чего там хорошего, я не очень понял?
Pulse
Это был сарказм.
С рейтинг — мал,
SSL3 включен — POODLE уязвимость,
OCSP нет,
HPKP нет
несколько слабых шифров (возможно для поддержки старых браузеров)
REZ1DENT3 Автор
Спасибо. добавил OCSP, теперь A+
Pulse
Воот! Теперь все гуд ;)
MyHabrahabr
Для A+ не требуется OCSP-сшивание, да и всё равно вы его не реализовали, потому что логика nginx такая, что чтобы оно работало на виртуальном хосте, оно обязательно должно быть на дефолтном тоже, в вашем случае это api.fktpm.ru.
www.ssllabs.com/ssltest/analyze.html?d=api.fktpm.ru&hideResults=on
Pulse
OCSP stapling для китайца срабатывает со 2-3 раза. Далеко первый раз идет запрос.
Плюс к этому нужен nginx 1.7.x+, на младших версиях нужно костылить.
Для A+ нужно HPKP, по-моему.
MyHabrahabr
HPKP в продакшне использовать нужно с большой осторожностью.
REZ1DENT3 Автор
Спасибо. Да, действительно, забыл сделать nginx reload
Сейчас
В статью добавил ссылку на сайт с подробным описанием, как включить «OCSP stapling»
encyclopedist
Факультет какого университета? Можно только дагадаться по ссылке «сайты… приветствуют вас», что КубГУ, но лучше явно написать прямо в заголовке.
vsb
Проблема с «China Internet Network Information Center». WoSign-овские сертификаты им не подписаны и никак не затронуты.
REZ1DENT3 Автор
Почитаю на досуге. Спасибо за наводку.