вторник, 3 февраля 2015 г.

Бесплатные SSL-сертификаты на 2 года с поддержкой до 100 доменов

04:09 By , , No comments

Бесплатные SSL-сертификаты на 2 года с поддержкой до 100 доменов перевод

Домены*Криптография*Информационная безопасность*
Интернет на волне всеобщей прослушки и связанной с этим паранойи постепенно переходит на тотальный SSL. К сожалению, пока это сделать не очень просто и обычно не бесплатно. Из бесплатных сервисов годные сертификаты, поддерживаемые всеми браузерами, предоставляет сервис StartSSL. В середине 2015 года при поддержке Mozilla, Cisco и других уважаемых организаций будет организована раздача бесплатных сертификатов в автоматическом режиме.

Пока же можно воспользоваться ещё одним сервисом, который предоставляет китайский провайдер WoSign. Они предоставляют двухлетние сертификаты, каждый из которых может содержать до 100 доменов. Хотя их сайт – на китайском, при помощи автоматического переводчика разобраться в нём не так сложно.

Необходимо зарегистрироваться на login.wosign.com/reg.html, и подтвердить свой емейл.

Затем зайти на buy.wosign.com/DVSSL.html и добавить в корзину бесплатный сертификат. Необходимо выбирать сертификаты, использующие SHA2.

Потом на странице buy.wosign.com/memberuser/OrderList.html нажать Play и ввести нужные вам доменные имена.

В поле «имя» требуется вводить китайские иероглифы. Для их создания можно воспользоваться сервисомwww.chinese-tools.com/names

После на сервере нужно создать ключ:

openssl req -out mydomain.com.csr -new -sha256 -newkey rsa:2048 -nodes -keyout mydomain.com.key

и запостить его в форму на сайте.

После этого вы получите емейл со ссылкой на архив, содержащий сертификат.

На сервере необходимо будет настроить OCSP stapling, чтобы запросы на авторизацию сертификатов не перенаправлялись при каждом соединении с вашим сайтом в Китай.
14721
320
Freerk Ohling
SLY_G 377,7
Похожие публикации
Сотни неработающих сайтов, или о том, как code.jquery.com забыли продлить SSL-сертификат 1 августа 2014 в 09:57
Бесплатные SSL-сертификаты для проектов Open Source 8 июня 2014 в 16:07
Авторизация с помощью клиентских SSL сертификатов в IOS и Android 22 апреля 2014 в 21:58
Авторизация клиентов в nginx посредством SSL сертификатов 24 февраля 2014 в 22:49
Как защитить абсолютно всё при помощи одного лишь SSL-сертификата 4 декабря 2013 в 21:12
Новые доменные зоны ослабят защиту SSL-сертификатов 23 мая 2013 в 10:43
Облака, ответственность и неожиданные ситуации с SSL-сертификатами 16 мая 2013 в 10:58
Как подобрать SSL-сертификат 28 сентября 2012 в 11:17
Цифровые SSL сертификаты. Разновидности, как выбрать? 30 августа 2012 в 13:01
Только 3% SSL-сертификатов правильно сконфигурированы 29 июня 2010 в 16:45

Комментарии (33)

+18
lolipop#
параноик во мне не может довериться китайскому удостоверяющему центру :(
+5
Envek#
А зря, потому что в приведённом примере мы засылаем ему запрос на сертификат, а закрытый ключ не «светим» (гененируем у себя). StartSSL же по умолчанию предлагает сгенерировать закрытый ключ на его стороне, что как бы ни разу не круто (с запросом на сертификат тоже можно, но нужно осмысленно нажать нужную ссылочку на одном из шагов).
0
phprus#
Это не защищает от MitM атаки, в случае, если УЦ подписывает приватный ключ человека посередине, выдавая ему валидный для домена сертификат.
0
inkvizitor68sl#
Китайский ЦА может выдать сертификат для вашего домена без вашего участия ;)
0
phprus#
Собственно то же самое я и написал, только чуть более подробно.
0
inkvizitor68sl#
Мхм. Мда, что-то я веткой промазал)
+2
Envek#
Поэтому многие говорят, что идея с УЦ в принципе ущербна. Ведь это может сделать любой УЦ. Прецеденты были. Зачем дискредитировать именно китайский УЦ? Я бы в текущей ситуации больше бы боялся именно американских и европейских…
0
phprus#
А я не дискредитирую этот УЦ, а просто говорю, что опасность сохраняется даже если мы не светим свой закрытый ключ кому попало.
–4
click0#
Осталось дождаться способов не доверять подобным «удостоверяющим центрам», раздающих сертификаты направо-налево.
Например, в FF не помогает удаление сертификатов центра WoSign CA Limited :(
+2
Envek#
Они, так же как и StartSSL, проверяют, что ты владеешь доменом (отсылают проверочный код на один из ящиков типа webmaster@your.domain) — вполне нормальная проверка для бесплатных сертификатов, совсем уж кому попало каких попало сертификатов не выдают. Зачем им не доверять?
0
dvapelnik#
у меня параноя по другому поводу: пускай я использую облачный сервер от провадере «X» — не может/будет ли он читать мою информацию на арендуемом сервере (ключи для шифрования трафика, ключи OpenVPN)?
+1
thunderspb#
Что-то как-то… Еще и сервер настраивать… Я лучше уж раз в год буду у StartSSL продлевать.
–2
Envek#
Так для StartSSL тоже желательно так же настраивать, не?
0
thunderspb#
Работает из коробки, только сертификаты указал. Там НЕОБХОДИМО настройку такую сделать.
0
Envek#
Пожалуйста, дочитайте предложение до конца: «необходимо настроить…, чтобы запросы на авторизацию сертификатов не перенаправлялись при каждом соединении с вашим сайтом в Китай». Т.е. будет работать и без OCSP Stapling, но, возможно, медленно, потому что Китай далеко. StartSSL'я это тоже касается.
0
thunderspb#
Да, простите, недочитал. Для StartSSL, кмк, это менее критично, чем для WoSign.
+3
leoismyname#
Картинками было бы понятнее.
+14
HarpyWar#
https://login.wosign.com/reg.html






https://buy.wosign.com/DVSSL.html




















+1
Envek#
У вас на скрине 8 языки перепутаны, английский — справа, китайский слева: translate.google.ru/#zh-CN/en/%E4%B8%AD%E6%96%87
0
Sleuthhound#
>>Необходимо выбирать сертификаты, использующие SHA2.
Не силен в китайском, подскажите как это выбрать, не нашел эти параметры, в корзину попадает сертификат с SHA1?
0
Envek#
Был выбор на каком-то шаге (уже после корзины), спрашивали язык сертификата и версию SHA.
+1
VasiliyIsaichkin#
Эмм, тоже не силен в китайском, а дает только для доменов второго уровня или поддомены тоже?
–2
Topvisor#
Лично я вижу смысл только в EV SSL сертификатах, когда название организации (владельца сайта) подсвечивается зеленой рамкой. Это относится к тем случаям, когда переводят весь сайт целиком на https. Если не EV, то лучше ограничиться только платежными формами, а информационным сайтам он вообще не нужен.
0
Leginnn#
Чего-то выделывается китайский сервис, кириллические домены не принимает, даже отконвертированные в пиникоде… Да и латиницей тоже не все хавает. Из списка в 11 доменов, только на 1 не ругался… беда.
+2
Arik#
Я не был параноиком, пока все не сговорились.
Почему-то я ждал от гугл хотя бы дешевые сертификаты, после новостей Google повышает сайты с HTTPS в выдаче,Google Chrome пометит HTTP-сайты как небезопасные и т.д. Так скоро в выдаче на первых местах будут сайты с очень дорогими сертификатами, а потом дешевле, с бесплатными сертификатами сайты будут желтыми, а по http вообще не будет пускать (chrome) и показывать в выдаче поиска? Алло, Корпорация добра дома?
0
Wedmer#
Так вы номером ошиблись.
0
achekalin#
Вот и начнется год китайских сертификатов в Рунете ))
+1
Disasm#
Что у них с отзывом сертификатов? У StartSSL это платная услуга.
0
disc#
А может кто поделиться информацией, каким образом надо настроить OCSP stapling?
Нагуглил несколько статей, но они используются ссылки на сертификаты startssl, а для WoSign ссылочки другие будут же, верно?
+1
Volmontovich#
Как же вовремя этот пост :-)

Последнюю недельку в качестве сайд-проекта пишу PoC для HSTS Super Cookie, которая работала бы при включенном NoScript, и для этой балалайки нужно иметь сертификат на ~32 поддомена. При чем самоподписанный для этого не годится, а выкидывать сотню с лишним баксов только «ради искусства» казалось нерациональным. Я уже было похоронил идею делать живую демку, ограничившись исходниками на гитхабе, и тут такой подарок судьбы. Шикарно.
0
entze#
Ждем статью с результатами!
0
Volmontovich#
Будет. Когда таки закончу :-)

0 коммент.:

Отправить комментарий