Использование двух ssl на одном домене?

Question

[Dorumist]

Подскажите кто сталкивался с подобным.
мой сайт проксирую через nginx и там использую Let’s Encrypt сертификат.
но недавно пришли руководители и сказали что выпущен сертификат Минцифры, и необходимо рассмотреть использование двух сертификатов Let’s Encrypt и Минцифры на этом домене, то есть без создания еще каких-либо поддоменов и прочего.
нашел статью вроде как похожая проблема, но по ней не особо вышло настроить https://habr.com/ru/articles/306544/

Comments

[Василий Банников]

У минцифры есть два вида сертификатов:
1. ГОСТ
2. С международными стандартами.

В теории можно во время хендшейка посмотреть, что клиент поддерживает гостовское шифрование и продолжить поднятие TLS уже с гостовскими сертификатами.
Как конкретно это реализовать - не подскажу.

Если сертификат минцифры выпущен по международным стандартам, то такой вариант не подойдёт. Но в теории можно разделять по ip клиента: например, если он из россии, то давать сертификат минцифры. В остальных случаях - с lets encrypt.
Как такой вариант реализовать - тоже подсказать не могу.

Ключевой вопрос тут "а зачем поддерживать два вида сертификатов на одном домене".
Если хочется обезопасить себя от возможного отзыва сертификатов letsencrypt - тогда стоит смотреть в сторону того, как быстро обнаружить такой факт и переключиться на использование сертификатов минцифры.

[shurshur]

Никакого смысла несекьюрные сертификаты минцифры использовать нет. Есть нормальные сертификаты, они работают и с ними сайт доступен всем. Если "руководителям" не хочется, чтобы на сайте посещаемость катастрофически упала, пусть лучше не трогают то, что работает и работает хорошо.

Весьма вероятно, что проблема в "той статье" была не с сертификатами, а с самим включением ГОСТ.

[Lynn «Кофеман»]

> но по ней не особо вышло настроить

и что именно не вышло?

[Сергей /]

пришли руководители и сказали что выпущен сертификат Минцифры, и необходимо рассмотреть использование двух сертификатов Let’s Encrypt и Минцифры на этом домене

Хорошие руководители. И техзадания интересные!

[Adamos]

Сергей /, вообще-то наоборот, ничего интересного вокруг этой темы не бывает.
С сертификатами Минцифры связываются только конторы, которым плевать на посещаемость их сайта.
Например, питерский городской транспорт: https://orgp.spb.ru/

[Dorumist]

Adamos, тут и так небольшая госкомпания

[Ziptar]

Василий Банников,

как быстро обнаружить такой факт и переключиться на использование сертификатов минцифры.

Я не вижу существенной разницы между руганью браузера на отозванный сертификат и руганью браузера на неизвестного издателя. Корневой минцифры стоит преимущественно у бухов, и манагеров, работающих с тендерными площадками. Остальным оно не надо.

[Adamos]

Ziptar, так вы и не входите в число тех немногих посетителей госсайта, для которых госконторе важно обеспечить красиво покрашенный газон. Вот зачем она продолжает цепляться за Let's Encrypt - тут загадка.

[AlexVWill]

необходимо рассмотреть использование двух сертификатов Let’s Encrypt и Минцифры на этом домене

1. Задаем встречный вопрос: "С какой целью?"...
2. Проходит время, отвечаме "рассмотрели, фигня получается, остаемся на Let's ecrypt".
Два сертификата на одном домене работать не будут. Можно конечно настроить балансировщик, смотреть откуда пришел запрос, но во первых это какая то порнография, а вторых непонятно нахрена, а главное зачем?
Сертификат минцифры ставят несли нет возможности получить нормальный, из-за санкций к примеру, во всех остальных случаях он нафиг не нужен, ничего кроме гимора для пользователей он не дает.

[Lynn «Кофеман»]

AlexVWill, два разных сертификата на одном домене в nginx отлично работают. Просто автор таки не сумел рассказать что именно у него пошло не так.

[Dmitry]

Lynn «Кофеман», ну там вся магия в правильном указании ssl_ciphers , а в указанной автором статье этот момент подсвечен не очень ярко. НО зато в комментариях там, как обычно, все разжевали.. и да, хотелось бы узнать что у автора пошло не так, и увидеть его конфиг.
По поводу - нафиг использовать гостовские и жить только на LE. Джентельмены, иногда бизнес ставит странные задачи, и иногда эти странные требования - приходят от регулятора. И без их выполнения бизнес может крест ставить на получении определенного набора контрактов, а значит денег и т.д и т.п.

[WSGlebKavash]

Василий Банников,

В теории можно во время хендшейка посмотреть, что клиент поддерживает гостовское шифрование и продолжить поднятие TLS уже с гостовскими сертификатами.

На госуслугах это уже работет. В Chromium Gost сайт открывается с сертификатом минцифры, в обычном браузере - с сертификатом GlobalSign. Стоит изучить этот опыт. Но какой там фронтенд?

[Ziptar]

Adamos, так мы ж не знаем что за сайт, может это нормальная коммерческая контора, только с патриотичным™ начальством. В таком случае я намекаю на то, почему это затея, во-первых, бесполезная, во-вторых, потенциально вредная при неправильном обращении

[d-stream]

Ziptar, ну или желание обеспечить доступность своего сайта для контор с "гост" браузерами)))

Тогда, додумывая за аффтора - по chipher suite отдаём нужный вариант и радуемся что посещают ресурс не только неГОСТ броузеры

[seopresta]

Создайте отдельный поддомен для Let's Encrypt :
en.example.com — для международной аудитории с Let's Encrypt
example.com — для российской аудитории с сертификатом Минцифры
Плюс скрип перебрасывающий если язык браузера английский на поддомен
Настройка веб-сервера Apache

<VirtualHost *:443>
    ServerName example.com
    SSLEngine on
    SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
</VirtualHost>

<VirtualHost *:443>
    ServerName ru.example.com
    SSLEngine on
    SSLCertificateFile /path/to/mintsifry-cert.pem
    SSLCertificateKeyFile /path/to/mintsifry-key.pem
</VirtualHost>

Answer 1

[AUser0]

Ну что-ж вы так убиваетесь? Вы же так никогда не убъётесь! (с) однострочный анекдот.

В конфигах NGINX пИшите:

ssl_ciphers GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:EECDH:+AES256:-3DES:RSA+AES:RSA+3DES:!eNULL:!aNULL:!RC4:!MD5;
ssl_prefer_server_ciphers on ;

разумеется указываете ДВЕ пары ssl_certificate/ssl_certificate_key, одну со стандартной парой, и одну с GOST-овской. Если браузер не поддерживает GOST шифрование - он воспользуется стандартным, для которого работает стандартный сертификат.

Вуаля!

Comments

[AUser0]

P.S. Да, да, NGINX нужно патчить на работу с GOST-шифрованием, а как-же иначе.

Answer 2

[ky0]

Как бы сделал я - настроил отдачу разных IP для DNS-запросов из цивилизованных стран и всех остальных. Первым бы отдавал Lets's Encrypt, вторым - что их высокоблагородие пожелает. Тогда можно и nginx православный юзать, и шифры, и ОС - не влияя на работу уже настроенного.