CityCat4

Неверно. Проводят. Хром уже начинает анонить. Иметь sha1 в корневом CA сейчас уже нежелательно.

CА обычно решает следующие задачи:
- Выдача сертификата по готовому CSR
- Отзыв сертификата
- Формирование CRL
- Управление шаблонами сертификатов
- Ведение статистики, управление списками выданных сертификатов
СА обычно НЕ решает следующие задачи:
- Формирование CSR
- Формирование PKCS#12
До известной степени гуем для управления CA может быть виндовая оснастка "Центр сертификации", если у Вас CA на винде развернут. Все обычные задачи СА она решает. Задачу же формирования CSR и формирования готового PKCS#12, который нужен для работы почты - чтобы использовать сертификаты в корпоративной переписке - я решаю несколькими велосипедами, они весьма примитивны, но работают :)

Общеизвестные CA не позволяют генерить CSR через форму, а только принимают уже готовый. И PKCS#12 они не отправляют - а только сертификат, ну еще свои корневые.

Вы имеете в виду аутентификацию по сертификату? Выпустите себе сертификат на сервер, сертификат на клиента, и требуйте при соединении сертификат именно от Вашего УЦ. Запрос клиентского сертфииката выдается до начала любого обмена, в процессе установления защищенного соединения. Все брутеры-инжектеры будут отваливаться, как дохлые тараканы :)

То, что называется ЭЦП - это просто сертификат, выданный российским Господином Законом :) Соответственно сайт, на который нужно зайти должен принимать авторизацию через сертификат. Если он ее принимает и требует - нужно просто выбрать при входе на сайт именно данный сертификат (если он на компе единственный - может и автоматом передаться). Если принимает, но не требует - так как советовал Rou1997 Если сайт не умеет использовать сертификаты для авторизации - то никак.

Посмотрите, есть ли в хранилище корневых сертификатов тот, которым подписан выданный Вам. Пробовали с разных устройств? Попробуйте поставить FF для андроида и зайти оттуда.

На этот вопрос я уже отвечал раз пять наверное :) У Вас поиск по сайту не работает? :)

Для корпоративного сайта, если на нем нет форума, чата там, соцсети какой-нибудь - нет смысла установки - чего Вам там шифровать?

Шифрование нужно когда:
- сайт продающий, с регистрацией юзеров, с ПДн, с транзакциями
- сайт с форумом, соцсетью, имиджбордой или подобной хренью

Шифровать корпоративные новости, каталог продукции или еще что - занафига?

Разница в бесплатных и платных - в СA, которое его выдало. У каждого устройства - комп, смартфон, планшет, какая-нибудь "умная колонка" - есть список СА, сертификатам которых оно доверяет. Список этот зачастую. вшит намертво производителем и исправить его нет возможности (исключение - компы). Производитель время от времени его обновляет с обновлениями системы. Если взять сертификат от СА, которого нет в этом списке - это все равно что самому его выпустить - толку никакого, шифрование будет, но устройство будет сходить с ума и писать про недоверенные сертификаты. Если сайт продающий или нужна четкая гарантия, что на него можно будет зайти с широкого спектра устройств - брать сертификат только от широко известных СА, если же нет - сойдет любой, хотя платный Вам сэкономит некоторое время на администрировании :)

У людей, незнакомых с X.509 выдача сертификатов ассоциируется обычно с чем-то официальным, либо с чем-то таким с формами, полями, кнопками...

А на самом деле все значительно проще.

Удостоверяющий центр (СA, Certificate Authority) - это просто обвязка для OpenSSL, так как все делается через него (или через его аналог в винде). Требуется сертификат СA, его ключ и небольшой конфиг, в котором прописывается, какие поля будут в сертификате и что они будут содержать. Сам сертификат - это просто бинарный файлик, в котором прописана некоторая информация (какая - задано в шаблоне сертификата, который формируется СA). Вся ценность сертификата, за которую платят деньги - это то, что СА гарантирует правильность этой информации. Именно поэтому для продающих сайтов так не рекомендуется брать сертификаты у разных letsencrypt - да, я могу написать на бумажке "Паспорт", но кто мне поверит?
Для выдачи сертификата собственным СА нужно прежде всего всем, кто будет использовать данные сертификаты, расставить сертификат самого СА и сделать его доверенным. Сделать это можно не всюду - например в андроиде добавление своего корневого СА приведет к появлению желтого треугольника с надписью "АААА, за Вами сделят!", а в виндофоне это просто невозможно. Если этого не сделать, то постоянно при обращении к устройству, которое использует этот сертификат будут постоянные вопли про недоверенный сертификат.

Процесс получения собственно сертификата состоит из:
- формирования запроса на сертификат (CSR, Certificate Signing Request) и ключа
- передачи CSR в CA
- формирования самого сертификата
- возврата сертификата туда, где формировали запрос.

CSR - бинарный файл, формируется он множеством различных способов - через OpenSSL, через виндовые программы, многие устройства сами формируют CSR. CSR - не сертификат, а только исходные данные для него. Одновременно с сертификатом формируется ключ сертификата, который следует хранить в тайне. Утеря ключа сертификата означает, что этим сертификатом сможет свободно пользоваться злоумышленник и никто не сможет сказать, владелец сертификата им воспользовался или нет.
Для передачи CSR в CA его обычно кодируют в base64 и в таком виде отправляют. Если текст сертификата начинается с --- BEGIN CERTIFICATE --- - это как раз оно.

CА, получив CSR, формирует сертификат и возвращает его обратно тому, кто выпустил CSR. Сертификат также кодируется в base64.

Срок действия сертификата ограничен. Для обычных сертификатов он составляет год, но ничего не мешает сделать срок как более длинным, таки более коротким. Срок действия самого сертификата СА обычно большой - 5 - 10 лет.

Изменить содержимое сертификата нельзя - поэтому при формировании CSR нужно быть очень внимательным, если конечно у Вас не корпоративный СА

Если программа сама может поставить сертификат - поставить через программу. Многие программы капризны и желают видеть сертификат только на карте памяти или только в определенном каталоге (а иногда и то и другое). Если программа сама не умеет ставить сертификаты - ну значит сертификат кривой. Если ключа в нем нет - выложите его куда-нибудь.

Посмотрите в сертификате CN. Если оно задано site.ru и нет SAN - аля улю деньги заказчика улетели в трубу :) Сертификат будет работать точно для того CN, на которое выдан (ну или на список SAN, при этом СN игнорируется). Если www.site.ru нет ни там ни там - увы.

Никакой.

WoSign, который любят все любители халявы, взломан и мозилла обсуждает удаление его корневых сертификатов из списка доверенных
Mozilla обсуждает удаление корневых СА WoSign

Я бы купил - пять баксов в год это вообще смешные деньги

Да здесь все сплошная ошибка. И даже не одна.

Ошибка первая CERT_AUTHORITY_INVALID означает, что УЦ, выпустивший Вам сертификат, отсутствует в списке корневых УЦ, сертификаты которых являются доверенными. Поди, на LetsEncrypt брали? Уж сколько раз твердили миру - если делаете продающий сайт, да еще заточенный под мобильные устройства, закладывайте в бюджет покупку сертификата, а не то будете вот так вот спрашивать. Ваш сертификат выпустило неизвестное мобильному устройству УЦ, к которому нет доверия, соответственно нет доверия к сертификату.

Ошибка вторая This server is vulnerable to the POODLE attack. Возникает, когда сканер безопасности видит, что сервер принимает соединения по протоколу SSLv3. Вам необходимо запретить семейство протоколов SSLv3, читайте документацию как это сделать

Ошибка третья This server accepts RC4 cipher. Возникает, когда сервер принимает среди прочих шифров шифр RC4, который давно считается ненадежным. Необходимо так настроить шифронаборы, чтобы исключить его использование

Ошибка четвертая :) This server does not support Forward Secrecy. Возникает, когда среди шифронаборов сервера не обнаружены наборы с PFS - Perfect Forward Secrecy. Соответственно, нужно подобрать шифронаборы так, чтобы шифры с PFS использовались. Вы, к сожалению не указали, что там у Вас - апач, nginx, поэтому примеры конфигов с шифронаборами привести не могу.

Вам чистым английским языком сказали, что сертификат недоверенный, потому что его издатель неизвестен. Неизвестен он потому что, сертификата УЦ, который выпустил этот сертификат, нет в хранилище корневых сертификатов тора. Если его туда можно добавить - добавьте. Если нет - берите сертификат у того, кто там есть.

Привет, пакет Яровой! Не читали? А о поправках к закону "О связи", где вся инфраструктура рунета будет принадлежать государству - не читали? Пров этот, конечно впереди лошади бежит с подменой сертификата, но скоро просто сделают как в Казахстане - всех обязуют поставить сертификат от какого-нибудь Роском... доверенным - и все манипуляции уже будут скрыты. HSTS/HPKP не зря придумали.

sslabs тестирует только на безопасность, УЦ, выдавший сертификат ему фиолетов. Вопрос о том, в каком УЦ брать сертификат возникает после того, как подолбишься с вопросом "почему я не могу зайти на сайт с телефона/планшета/часов/холодильника", особенно если сайт продающий, особенно если основные продажи идут с мобильных устройств.
Уже сто тыщ раз тут писали, что "качественность" сертификата определяется исключительно тем фактом, присутствует ли сертификат УЦ, который его выпустил в списке доверенных корневых УЦ. На компе этот список правится. На андроиде правится, но анонит желтым треугольником. На виндофонах не правится вообще. То есть, если там нет StartSSL - сайт с сертификатом, выданным им, будет недоверенным, будут возникать всякие предупрежения и прочая ерунда, пугающая хомячков.

Нулевая. IP и SSL никак не связаны между собой.

Сертификат нельзя переподписать, продлить или вообще поменять в нем что-либо - вся информация в нем неизменная. Если срок действия закончился - сертификат просто выпускается повторно, поскольку он самоподписанный - с этим никаких проблем быть не должно.

Есть множество тонкостей.

Один из главных вопросов - физик или юрик. Второй - что за проект, продающий или нет.
Если просто для физика, для сайта, рассказывающего о строении Вселенной - достаточно будет и бесплатного сертификата, где бы его ни взяли. Ему, конечно, не будут доверять многие - но в этом случае это пофиг. При выдаче выполняется упрощенная проверка - достаточно подтвердить факт владения доменом и подтверждать он будет только факт наличия домена и того, что он принадлежит Вам.
Если сайт для юрика - при выдаче сертификата будет более расширенная проверка, потребуется передать копии учредительных документов, скорее всего будет обратный контрольный звонок. Сертификат будет подтверждать не только наличие домена, но и наличие конторы и то, что ее наименование соответствует тому, что в сертификате. Расширенная проверка дает еще больше гарантий, но и стоит дороже.
Если сайт продающий - не слушайте тех, кто советует letsEncrypt/StartSSL - для продающего сайта лучше убить жабу и купить сертификат у нормального регистратора.
Где-то в январофевральском номере "Системного администратора" была статья "РУЦЕНТР: Получаем сертификат в общепризнанном УЦ" про тонкости общения с Geotrust и Comodo и вообще о выпуске сертификатов.

1. letsencrypt раздает бесплатные сертификаты и не все его считают надежным УЦ
2. Либо само метро с вайфаем мутит, либо там "жучок" завелся

Нет.

wildcard-сертификат - это всего лишь wildcard-сертификат, который подтверждает некоторое количество поддоменов того домена, на который он выдан. Он не дает права выдавать сертификаты.

Вам либо покупать сертификат на каждый, либо поднять свой УЦ и поставить всем сертификат своего УЦ в качестве корневого.

Ээээ, Вы хотите сертификаты "для себя" или же торговать ими хотите, для сторонних людей выпускать?

Если для себя - то man openssl, как советовали. Или читать доку по виндовому УЦ. Еще скриптов могу дать для управления УЦ на линухе.
Если на продажу - забудьте. Чтобы торговать сертификатами, нужно чтобы Ваш корневой сертификат был признан доверенным производителями оборудования и софта - Google, Apple, Microsoft, Mozilla и т.д. а также "коллегами" - Comodo, GoDaddy, Network Solutions :-)