18 сентября они в очередной раз изменили условия предоставления бесплатных SSL сертификатов.
На днях для сайта нового подразделения нашей компании потребовался сертификат, мы не долго думая решили, в очередной раз заказать его у китайских друзей. Войдя в уже знакомый интерфейс запроса сертификата, с удивлением обнаружили, что запросить сертификат можно только на один год. Ладно, один так один, все равно эти сертификаты мы заказываем временно, чтоб не тормозить процесс запуска. Начав вводить имена www.domen.ru и domen.ru обнаружили, что запросить сертификат можно только на одно доменное имя: «Sorry, WoSign Free SSL Certificate support 1 domains only,thanks.».
Стало интересно в чем причина подобного ограничения и я полез смотреть новости компании. Новость нашлась, но к моему разочарованию только на китайском языке, в английской версии сайта почему-то этой новости нет. В новостях компании от 17 сентября 2015 написано примерно следующее: Серия инициатив компании по выпуску ssl сертификатов с нулевой стоимостью для обеспечения безопасности и конфиденциальности способствовала популяризации сайтов HTTPS, среди пользователей в более чем в 180 странах и регионах. И конечно этим заманчивым предложением воспользовались не только добропорядочные разработчики. Начиная с 18 сентября выдача бесплатных сертификатов будет ограничена, сертификаты будут выдаваться на один год и только на один домен. Для тех, кто все же желает получить сертификаты на более длительный срок, компания предлагает воспользоваться другими своими предложениями. В китайском я не силен, но из того что перевел гугл переводчик понял, что из-за большого количества вредоносных доменов на систему сильно возросла нагрузка и негативно отразилась на качестве и эффективности предоставляемых услуг. «Нам нужно более безопасное, достоверное сетевое окружение, сайт должен не только шифровать конфиденциальную информацию, но и подтверждать свою достоверность», — говорится в китайском послании.
Халява на трехгодичный SSL с поддержкой до ста доменов закончилась и заказать сертификат теперь можно только на один год и только на один домен. Надеюсь, что ранее выданные сертификаты наши китайские друзья отзывать не будут.
Комментарии (23)
BasilioCat
11.11.2015 22:16+3Халява WoSign стала менее халявной, но по сути никуда не делась — при однократном подтверждении домена второго уровня сертификатов на домены третьего уровня можно выпустить сколько угодно. Веб-сервера и браузеры давно поддерживают SNI, и не нужен выделенный IP адрес для каждого домена с HTTPS. Ну в конфиги nginx на две строчки больше писать, но не более того.
rekby
11.11.2015 22:36+1Скажем ценник у них вполне более разумный, чем у реселлеров чего угодно в России.
domain.ru и www.domain.ru идут в одном сертификате по умолчанию, бесплатно.
Дальше по $2/домен/год.
Это не 7000 в год и даже не близко к тому.
У startssl тоже вполне разумный ценник был, пока рубль не упал. Особенно если доменов надо много: 1 раз проверили, 1 раз деньги взяли и дальше клепай сертификатов сколько надо.BasilioCat
11.11.2015 23:10+1Сейчас в WoSign бесплатно выдают второе имя www.domain.ru при заказе domain.ru
Но если вдруг вам надо заправить на один вебсайт два домена host1.domain.ru и host2.domain.ru, для этого нет нужды покупать один сертификат на два имени — можно просто бесплатно заказать два отдельных сертификата (с общим приватным ключем, если захочется), а затем вписать их в конфиг Nginx таким образом:
server { listen 123.45.67.89:443 ssl default; server_name host1.domain.ru; ssl_certificate host1.domain.ru.crt; ssl_certificate_key host1.domain.ru.key; include common_stuff; } server { listen 123.45.67.89:443 ssl; server_name host2.domain.ru; ssl_certificate host2.domain.ru.crt; ssl_certificate_key host2.domain.ru.key; include common_stuff; }rekby
11.11.2015 23:30-1я понимаю что можно сделать несколько сертификатов и SNI настроить, но всё же иногда нужно несколько доменов именно в одном сертификате, например в версиях IIS, которые SNI не поддерживают, либо поддерживают так что дешевле заплатить за сертификат, чем разбираться.
navion
17.11.2015 00:16У GoGetSSL хорошие цены на DV сертификаты от Comodo, что-то около 12 долларов за три года.
Revertis
12.11.2015 12:26+3Странная логика у наших китайских друзей. Как уменьшение количества доменов в одном сертификате и уменьшение его жизни до года может помешать злоумышленникам? Мне кажется, они так же будут брать себе серты на год для каждого нового домена. Вряд ли фишинговые сайты живут дольше года, их же банят везде антивирусы и фаирволлы.
Скорее всего, просто маркетинговая акция по популяризации своего сервиса у них завершилась, теперь решили зарабатывать.
putnik
Теперь вся надежда на Let’s Encrypt, которые должны запуститься на следующей неделе.
akamajoris
А CloudFlare, а StartSSL?
putnik
CloudFlare всё-таки немного не о том, а StartSSL, насколько помню, тоже на год и для одного домена.
inkvizitor68sl
Ну не совсем.
www.domain.pro + domain.pro = бесплатно на год.
bullshit.domain.pro + domain.pro = аналогично.
Вот 2 L3 или 2 разных L2 — только за денежки. Впрочем, там настолько смешные деньги, что останавливает только то, что слишком уж долгая верификация у них.
dazran
Вчера столкнулся, выпущено уже 3 сертификата на домен 3 уровня типа servername.domain.ru
заказываю еще один вида servername1@domain.ru на стадии получения сертификата сообщение мол обождите до 3 часов и пришлем письмо.
Думаю ну больше 3 доменов наверное нельзя, но на всякий случай еще раз решил попробовать — результат аналогичный.
Убрал из имени домена цифру 1 и сертификат выдался на автомате. Странно это ;-)
n1nj4p0w3r
Дважды проходил «верификацию личности» за 50$, в течении трех-четырех часов получал результат в виде подтвержденной учетки.
Но есть и негативные стороны: что wosign, что startssl при наличии слов связанных с брендами наотрез отказываются выдавать сертификат, во всяком случае при наличии слова apple в L2 домене мне отказали и там, и там, не смотря на то, что деятельность организации никакого отношения к apple не имеет.
phprus
Подскажите, пожалуйста, у startssl при верифицированной личности нужно ли дополнительно платить за Wild Card сертификаты?
И если сертификат можно брать на 2 года, то обязательно ли проводить верификацию личности каждый год с оплатой теперь уже $60?
rekby
1. Нет на wildcard дополнительно платить не надо — на подтвержденные домены спокойно можно делать.
2. Нет, каждый год проверяться не надо — только перед выпуском очередного сертификата.
belonesox
Не только с брендами, но и вообще, со всем, что как-то может относится к коммерции. Например, мне зарубили файлохранилище filestore (потому что «store»).
mikes
StartSSL не на все бесплатные домены выдает, к примеру на .tk не получится
Metus
Более того, если сайт коммерческий и что-то продаёт, пусть даже и по телефонному звонку, то могут отказать.
Flex25
Не забывайте о бесплатных сертификатах от startssl. У меня второй год работает, проблем не было.
Dimd13
Прямо сейчас auth.startssl.com
| Ошибка подключения SSL
Prototik
Так и должно быть — при регистрации выдаётся персональный сертификат, который устанавливается в браузер и именно по нему осуществляется заход в основную часть сайта.
inkvizitor68sl
LE по факту запустился, инвайты дают буквально через пару дней после запроса.
k0ldbl00d
Попробовал бету Let's Encrypt. Сложилось ощущение, что хотели сделать как лучше (проще), а получилось сложнее.
n1nj4p0w3r
Хотели сделать бесплатно, но и не хотели идти на поводу у ленивых и раздувать списки отзыва, а соответственно и затраты как минимум на трафик.
Верификацию домена нужно проводить раз в год, обновлять сертификат в течении этого года можно автоматически, так-что ничего страшного в общем-то и нет.