Создал самоподписанный сертификат, но не получил https?

Question

[Outoverlay]

Есть сайт, на нем купленный сетртификат. У него есть https.
Есть второй сайт на http.
Нужно этот сайт так или иначе подключить на первый сайт с https.
Уже нет браузеров, которые допускают смешанные протоколы.
Т.к. таких сайтов у меня много. И денег чтобы покупать сертификат на каждый сайт, будет глупо.
Тем более там и шифровать, то ничего не надо.
Создал свой сертификат. Но https, не полуил - прчина:
xxxxxx.com использует недействительный сертификат безопасности. К сертификату нет доверия, так как он является самоподписанным. Что-то можно с этим делать. Заверить как-то?

Answer 1

[CityCat4]

Здесь не один вопрос, а целых...три
1. Зачем мне https
2. Почему самоподписанный сертификат небезопасен
3. Чем отличается самоподписанный сертификат от выданного доверенной организацией
Итак.
1. https, нужны только для того, чтобы хром не зажигал красный флажок (последние версии уже начали маркировать такие сайты) - это что-то типа установки Windows 10 pre-alpha - круто, потому что новое. Если шифровать нечего - не шифруйте и пофиг на флажок. Если сайт продающий и пофиг быть не может - убейте жабу и купите сертификат от УЦ. Влезть на елку и не поцарапать попу не получится
2. Самоподписанный сертификат небезопасен потому что никто не гарантирует правдивость данных, которые в нем. Это все равно что взять бумажку и написать на ней "Паспорт" - написать никто не мешает. Верить никто не будет. Чтобы такому сертификату начали верить, он должен быть добавлен в хранилище корневых сертификатов - причем на всех компьютерах, которые будут на него заходить. Вот поэтому, если сайт продающий и Вы даже о флажке так печетесь - как будете обьяснять юзеру, чтобы он скачал себе Ваш сертификат и добавил его в корневые? Тем более, что например на Windows Mobile это сделать в принципе нельзя (на нерутованной)
3. Сертификат выданный доверенной организацией отличается тем, что сертификат самой организации уже добавлен во все хранилища всех браузеров - и все сертификаты, выданные ею, считаются доверенными. В этом и заключается опасность бесплатных раздатчиков сертификатов - из сертификата может либо не оказаться, либо он будет "подозрительным". Еще раз - если сайт продающий - убейте жабу и купите нормальный сертификат от нормального УЦ. Экономия на бесплатных сертификатах может выйти боком.

Comments

[Outoverlay]

Прекрасный ответ. И пожалуй единственный. Но представьте себе сайт который передает данные по https. Допустим это главный сайт.
А также есть дочерние, но никак не связанные с основным сайтом и доменом. То есть сайт
https://x1.ru должен подключать некое кол-во сайтов, к примеру: - "x2.ru, one.x2.ru, и т.д", для отображения неких данных.
Через frame или чтение сайта нет разница. Результат один, ничего загрузится из-за того, что идет блокировка http, любой контент подключенный через http, на https не отобразится.

[Outoverlay]

Поэтому покупать миллион сертификатов для разных доменов просто лишено смысла.

[Outoverlay]

Я и подумал главный сайт будет защищен сертификатом организации, а так сказать подключенные сайты, будут с само подписанным сертификатом.

Если не найду решения, то буду делать это программно.
Проксировать сайт. Кидать временное содержимое к себе и подключать уже якобы, как со своего сайта.

[Алексей Уколов]

покупать миллион сертификатов для разных доменов просто лишено смысла.

Разумеется. Именно поэтому и продают wildcard-сертификаты, действющие на всех поддоменах.

[Outoverlay]

Алексей Уколов: внимательней читайте. Основной домен x1.ru. А сайты могут быть x2.ru one.x2.ru two.x3.ru. Можно купить сертификат на 5-7 доменнов включая субдомены. Но на миллион доменов, мне никто его не выпишет. Тем более сайты могут создаваться с динамичностью.
Мою проблему решил letsencrypt.org. Хотя мне не удобно так постоянно брать сертификаты. Вот думаю и временные сайты создавать у себя в приложении

[Иван Моисеев]

Outoverlay: А зачем их постоянно брать? Вы так часто плодите сайты? Или вы подразумеваете, что каждые 90 дней надо обновлять SSL? Так сделайте автообновление: https://blog-tree.com/post/https-letsencrypt

[Outoverlay]

Иван Моисеев: Вас так сильно волнует зачем? Во-первых сайты создаются динамически. Они нужны для главного сайта. Сайт контроллер. Протестировав, так снижается нагрузка на основной сайт. Один сайт может содержать, только js. Другой только css. Третий держит json. Комбинируется сеть сайтов.

[Иван Моисеев]

Outoverlay: Теперь понял. А зачем Вам на каждом подобном сайте HTTPS?

[Outoverlay]

Иван Моисеев: Вы описание не читаете? Уже нет браузеров, которые допускают смешанные протоколы. Блокировка идет.

[eskanderdon]

мне нужно на локальном сервере подготовить сайт.. соответственно обращаться я к нему буду через адресную строку через https:// ... как это сделать?

[CityCat4]

eskanderdon, По руководствам, мануалам, документации :) А телепаты, как обычно, в отпуске.

[eskanderdon]

CityCat4, "действительно" как сделать ядерную электростанцию? Прочитать мануал ) и вроде бы всё верно, но всё равно хрень какая-то получается... по вашей методики мышление сразу вспоминается анекдот:
Летят Холмс с Ватсоном на воздушном шаре. И спят в полете. Просыпаются
над какой-то незнакомой землей, видят - внизу какой-то хрен коров пасет.
Снизились они и спрашивают мужика:
- Скажите, сэр, где мы находимся?
- На воздушном шаре.
- Спасибо, сэр! - и летят вверх. Холмс задумчиво говорит:
- Интересная местность, Ватсон! Программист пасет коров!
- Холмс, а с чего вы взяли, что он программист?
- Это элементарно! Во-первых, он долго думал над ответом. Во-вторых, его
ответ был абсолютно точен. И в третьих - абсолютно бесполезен!

[CityCat4]

eskanderdon, А Вы, простите - что ожидали? Подробной пошаговой инструкции с картинками? При этом даже не сподобившись указать, что за сервер, что за сайт, что за сертификат. Вам даже такого ответа - много, идите в гугл и ищите, здесь Вам не Бюро Платных Услуг :)

[eskanderdon]

CityCat4, я уже разобрался, спасибо за ваши "советы" ) помогла бесплатная инструкция с картинками из интернета... плюс смекалка : - )

P.S. могли бы уж не заниматься нравомучением

[CityCat4]

eskanderdon, Сильный рывок вперед - это не менее сильный пинок под зад (С) Мой шеф, Царствие ему Небесное

Answer 2

[Юрий Чудновский]

Поскольку установка SSL происходит ещё до указания запрашиваемого host, то для HTTPS есть правило: один IP - один домен.

А чтобы не ругался браузер на самоподписанный сертификат, нужно этот сертификат сделать доверенным. Это делается немного по-разному для разных браузеров.

Возможно, вам проще будет использовать сервис https://letsencrypt.org ?

Comments

[DevMan]

> один IP - один домен
необязательно.

[Эргил Осин]

> один IP - один домен.

Модераторы удаляют правду, я повторю. Вы лжете. Прекратите говорить о вещах о которых не знаете. SNI существует и работает 10 лет.

[Юрий Чудновский]

Эргил Осин: вот когда ХР окончательно сойдёт со сцены, можно будет считать SNI устоявшимся стандартом, а пока это ещё будет приводить к проблемам с отдельными юзерами.

[Outoverlay]

Юрий Чудновский: xp что это не помню такую? А что-то рядом с macintosh. По моему глупости несете.

[Эргил Осин]

Юрий Чудновский: XP? Это что? Посмотрел статистику, Haiku больше, чем XP, прекращайте насиловать труп бабушки.

[Юрий Чудновский]

Эргил Осин: Вот вам выборка компов юзеров одного небольшого работающего предприятия: из 20 компов 1 Debian 6, 1 Ubuntu 14.04, 3 Windows 2000, 9 Windows XP, 2 Windows 7, 3 Windows 8, 1 Windows 10.
Вы думаете это предприятие уникальное?

[Эргил Осин]

Юрий Чудновский: я думаю, что проблемы зоонекрофилов никого не волнуют. Поймите, что уже давно используется SNI и никаких проблем нет. Вы можете хоть под Xenix сидеть, на вас всем плевать.

Answer 3

[Иван Моисеев]

Для этого и придуманы сертификаты.
SSL-сертификат выдается для конкретного доменного имени Вашего сайта. И его нельзя перенести на другое доменное имя (иначе весь смысл SSl пропадет на корню. Ваш сертификат является самоподписанным - т.е. не подтвержденным. О чем вас и предупреждает браузер. Сделать с этим сертификатом ничего нельзя.

Для решения проблемы используйте сертификат с Let's Encrypt.
Подробный мануал тут:
https://habrahabr.ru/post/270273/

И не забывайте, что эти сертификаты даются на срок до 90 дней. Либо настройте автообновление, либо сами раз в 3 месяца обновляйте сертификат.

Comments

[eskanderdon]

это всё "чудесно", беда в том, что на вебхостинге с URL https:// domain.ru стоит SSL сертификат Let's Encrypt и все ключики и сертификаты вполне доступны для скачивания. А на локальном виртуальном хосте должно быть https:// domain.dev и выше описанное никак этому не способствует. Грубо говоря: можно ещё сгенерировать самоподписной сертификат, - по этому поводу множества руководств, - но как заставить браузер доверять ему?