Где получить SSL-сертификат для сайта с поддержкой WinXP-клиентов (не SHA256-сертификат)?

Question

[vadamlyuk]

Добрый день,

Мне для b2b-сайта нужен нормальный SSL-сертификат (без разницы, платный или бесплатный).

Особое требование: сертификат должен поддерживать клиентов под WinXP (хотя бы с SP3, но желательно и до SP3), так как у меня 25% клиентов на WinXP и у меня нет возможности ни отказаться от них, ни заставить их обновить ОС.

Требований собственно к стойкости шифрования у меня нет, так как получение SSL-сертификата нужно для:
- поддержки https в том объеме, которое будет достаточно для Google/Yandex для более высокого ранжирования;
- поддержки HTTP/2 клиентами с современными ОС/браузерами (на сколько мне известно большинство браузеров держат HTTP/2 только с шифрованием).

На сколько я знаю, проблемы две:
1) Клиенты на WindowsXP не поддерживают SNI - я этот вопрос решил, уменя уникальный IP-адрес для веб-сервера

2) Клиенты на WindowsXP не поддерживают SHA256-сертификаты - в этом собственно и состоит суть вопроса: где получить не SHA256-сертификат?

Вадим

UPD: На сколько я понял, в данном случае имеем неразрешимую проблему: на SHA1-сертификаты будут ругаться новые Chrome, с SHA-256-сертификатами не будут работать никакие браузеры на WinXP :-(

Comments

[Дмитрий Филандор]

Что в итоге сделали? Сейчас столкнулся с такой же проблемой.

[Дмитрий Филандор]

вот интересно, сайт https://shipovnik.ua на машинке с старой xp открывается... как же они это сделали? Можно как то узнать какой сертиф они юзают?

Answer 1

[CityCat4]

Сами себе и ответили :-) Поддержка современных браузеров и WinXP одновременно - невозможна. Ради Вас одного никакой УЦ не будет менять свои настройки :-) Только самоподписанный или собственный УЦ развернуть. Правда придется всем клиентам поставить его корневой сертификат. И то хром будет анонить про небезопасный сертификат.

Comments

[Дмитрий Филандор]

столкнулся с такой же проблемой, решение понял, но вот интересно, сайт https://shipovnik.ua на машинке с старой xp открывается... как же они это сделали? Можно как то узнать какой сертиф они юзают?

[CityCat4]

Дмитрий Куликов: Это "нечестный" https :) Там на одной странице используется и http и https, о чем Firefox честно предупреждает при заходе на страницу. Получить их сертификат запросто - они же отдают его при каждом соединении - openssl s_client -connect shipovnik.ua:443. Используют они честный сертификат от Comodo, Positive wildcard. Вот кстати поэтому у них и "нечестный" https - потому что wildcard сертификат не защищает корневой домен :)

[Дмитрий Филандор]

CityCat4: понятно, но у меня похоже другая проблема, у меня сайт через CloudFire пущен, и сам CloudFire при использовании любого сертификата ругается на win xp sp2.... так как если пустить не через клауд, то все гуд. Вот теперь нужно выбирать или от сервера кеширования шарового отказываться или забить на 20 человек/сутки заходящих с XP sp2

Answer 2

[Ziptar]

Если уж клиентам так хочется winXP - пускай ставят SP3, без вариантов.
До SP3 поддержки SHA2 нет.
Впрочем, можете попробовать поискать KB, который может таргетно устранить данную проблему без установки всего SP, но это сомнительно...