Ответы пользователя по тегу Цифровые сертификаты
  • Бывают ли SSL сертификаты рассчитанные на хостеров?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    Нет, один сертификат "на все домены" получить нельзя.
    Можно интегрироваться с startssl и заказывать сертификаты для каждого нового домена.
    Ответ написан
  • Как сделать редирект с http на https (нестандартная ситуация)?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    > Создаю, продвигаю и обслуживаю сайты.
    Мде... =)

    А статика, скорее всего (за cloudflare не видно), раздаётся с nginx-а напрямую, так что редирект для статики там настраивать надо.
    Ответ написан
    Комментировать
  • Как разобраться со множеством вопросов перед переходм на HTTPS?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    > https медленнее чем http?
    Грамотно настроенный - нет. Но проблема в хендшейках, это +3-4 rtt перед первым коннектом по https с сервером (раз во время жизни хендшейков).
    Ну и шифрование тяжелого контента всё же жрет cpu на сервере, на видеопотоке заметно.

    > Кэшируется ли зашифрованный контент на устройстве пользователя?
    HTTPS шифрует только канал между пользователем и сервером. Внутри - самый обычный http, по сути. Настроите кэши - будут работать.

    > Нужен ли постоянный IP адрес?
    Нужен выделенный адрес (иначе будут проблемы с клиентами, которые не поддерживают SNI). А насчет его постоянства - вопрос удобства.

    > Может ли работающий сертификат до истечения своего срока заглючить и браузер выдаст сообщение о том, что сайт не безопасен?
    Сертификат не заглючит, но у сертификата есть срок действия (при том он выражен временем "от" и "до"). Если у клиента неверно настроены часы (сбиты на год) - то сертификат у пользователя будет считаться невалидным. С другой стороны, у такого человека вообще https работать нигде не будет толком)

    > Кто все эти организации (центры сертификации), которые выдают сертификаты, на каких основаниях, по какому-то закону или просто так, захотели и выдают на доверии, перед кем несут ответственность?
    Они занесли деньги владельцам основных хранилищ (майкрософт с виндой, mozilla c firefox, apple с макосью и так далее) и прошли аудит безопасности этих самых владельцев. Всё это дорого. В теории они несут материальную ответственность перед клиентами, но это только в теории.
    На практике - вся система торговли сертификатами - это торговля воздухом, что уже доказано, например, StartSSL (берут деньги только за услуги, требующие ручной работы - например, валидируют пользователя за деньги, а сертификатов он может получить уже сколько угодно) и letsencrypt (которые выдают бесплатные сертификаты, а существуют на деньги спонсоров).

    > По какому принципу следует выбирать центр сертификации?
    Если речь не о e-commerce - то по цене. Если о коммерции - то по размеру страховки (вы её всё равно не получите, но всё же).
    Плюс смотрите на свою аудиторию, устройства, какие корневые сертификаты у них зашиты из коробки.

    > Видел на каком-то популярном сайте разные цвета одного и того же замка, один желтый, второй зеленый. Какая между ними разница?
    Браузер в таких вопросах озвучивать нужно. Но скорее всего речь про то, что желтый замок == сам сайт работает по https, но часть контента (например, картинка) загружена по http. Это невалидная настройка https на сервере/сайте.

    > На некоторых сайтах этих центров написано о гарантии в 5, 10, 100 тысяч и пр. Что это значит?
    С учетом того, что вы общаетесь на русском языке - ничего.

    > Какие типы шифрования у тех или иных сертификатов и какой выбрать?
    От сертификата шифры не зависят. Выбирать вам можно только длину ключа. Больше длина - надежнее шифрование, но медленнее хендшейк.

    > Допустим что есть два сертификата от двух разных центров сертификации. Один заканчивается 10 августа, а второй сформирован 5 августа. Можно ли спокойно заменить один сертификат на другой без каких бы то ни было последствий?
    Если нет пиннинга - то да. Но второй сертификат нельзя ставить раньше 6 августа (точнее, лучше всего подождать 24 часа с момента получения сертификата).

    > Можно ли с одним и тем же сертификатом переехать на другой сервер с другой конфигурацией?
    Да.

    > Любой ли сертификат будет поддерживать все устройства или все зависит от центра сертификации или типа сертификата?
    Зависит от центра сертификации - занесли ли они денег конкретному производителю. Ну и если про старые платформы говорить (та же ХР) - то вопрос в том, когда занесли.

    > Что будет с отображением и работой сайта если этот сертификат им не поддерживается?
    Сайту наплевать на сертификаты, "сайту" (а точнее его движку) важно понимать, что он должен работать по https, чтобы не генерировать http-ссылки.

    > Есть ли отличия платного сертификата от бесплатного для одного домена?
    Страховка, список поддерживаемых платформ, уровень поддержки живыми людьми (но тут как бы документация у всех есть).
    Ответ написан
    Комментировать
  • Сайт на HTTPS не видится через vk.com, и некоторыми другими сервисами, в чем может быть ошибка?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    DNS-имя: *.timeweb.ru
    DNS-имя: timeweb.ru

    Вот такой сертификат на сайте установлен по ipv6 (2a03:6f00:1::b039:d202)
    Уберите AAAA-запись из dns.
    Ответ написан
    Комментировать
  • Как оптимизировать SSL в HAProxy или Nginx?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    > Меня смущает производительность, она болтается в районе 150 RPS.
    Самая тяжелая операция - хендшейк, всё остальное мелочи жизни.
    У вас производительность не 150 RPS, а 150 хендшейков.

    По сабжу, как-то так:
    ssl_certificate /etc/nginx/ssl/cert.pem;
    ssl_certificate_key /etc/nginx/ssl/cert.pem;
    
    ssl_dhparam /etc/nginx/ssl/dhparam.pem;
    
    ssl_prefer_server_ciphers on;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers kEECDH+AES128:kEECDH:kEDH:-3DES:kRSA+AES128:kEDH+3DES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv2;
    ssl_session_cache shared:SSL:64m;
    ssl_session_timeout 28h;
    
    #add_header Strict-Transport-Security "max-age=31536000; always";


    A-rate при оптимальной производительности, 1 хендшейк на клиента раз в 28 часов, если клиентов много разных - крутите размер ssl_session_cache.
    Ответ написан
    Комментировать
  • Как сделать редирект с https://www.* на https://*?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    Никак, браузер не сможет установить соедение с www.блабла.domain.com, т.к. нет валидного сертификата. Ну то есть сможет, если нажать "да-да, мне плевать" на очень красной и страшной странице.
    Ответ написан
    Комментировать
  • Как решить проблему с "Смешанное содержимое HTTPS"?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    Скрипты-картинки и прочее, подгружаемое по http всё ещё можно подменить, перехватив при этом данные пользователя или подменив страницу - такая возможность делает https бессмысленным на странице.
    Поэтому да, всё нужно отдавать по https. Картинки со сторонних сервисов можно проксировать через себя.
    Ответ написан
    Комментировать
  • Существует ли бесплатный хостинг с поддержкой установки сторонних SSL-сертификатов?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    Любой хостинг под cloudflare.
    Ответ написан
    Комментировать
  • Через кого лучше зарегистрировать SSL сертификат?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    Пока ещё лучше всего через startssl

    LetsEncrypt забавный, но его клиент сырой, а без клиента там нет способа выпустить сертификат. Сторонние клиенты тоже сырые.
    Ответ написан
    9 комментариев
  • Если поставить в настройках nginx резолвером локалхост, получится ли резолвить через /etc/hosts?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    Нет.

    apt-get install bind9 или какой у вас там дистрибутив.
    Ответ написан
    Комментировать
  • Как указать apt-add-repository игнорить ssl проверку?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    Если используете sslbump - добавляйте CA-сертификат, которым подписываете сертификаты, в список доверенных в системе.
    Ответ написан
    Комментировать
  • Где дешевле всего покупать ssl сертификаты и еще пару вопросов по ним?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    > будут спрашивать о доверии к источнику?
    Да. Точнее, они просто будут говорить, что сертификат недоверенный (а пользователи разбираться, скорее всего не будут).

    > Можно ли один и тот же сертификат использовать для нескольких виртуальных хостов на одном сервере?
    Можно, если сертификат выдан на несколько доменных имен (такие бывают). Но вообще у сертификата в полях перечислены те домены, для которых он "действителен".

    > Где можно купить и недорогой?
    Letsencrypt, startssl (правда, если много доменов - то там лучше заплатить $59 за год и сгенерить один сертификат на все, чтобы про поддержку SNI клиентами не париться).
    Самые дешевые из разряда "не бесплатно, на один домен" - на namecheap.
    Ответ написан
    Комментировать
  • В чем может быть причина ошибки ssl?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    Первый скриншот про то, что на странице что-то подгружается по http (картинка, css, js)
    Ответ написан
    Комментировать
  • Как распаролить SSL сертификат?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    Скиньте им пароль просто.
    Правда, ssl на шаред-хостинге своей задачи ничуть не выполняет - по задумке создателей SSL приватный ключ ни к кому попадать не должен.
    Ответ написан
  • Что будет с SSL-сертификатом после освобождения домена?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    > что старый владелец не имеет сертификат на мой домен
    Проверить на crt.sh

    > законно ли торговать SSL-сертификатом
    Законно, но бессмысленно. Смысл SSL как раз в том, чтобы приватный ключ ни к кому не попадал (кстати, к сертификатору приватный ключ тоже не должен попадать).
    Продавать сертификат от чужого домена не владельцу этого домена - не законно. То есть прямо этого не запрещается, но случись чего - пойдете как соучастник.
    Ответ написан
  • Как избавиться от Mixed Content на ssl?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    Переверстать сайт так, чтобы все embed-элементы (js, картинки, css, flash и всё прочее) грузились по https, очевидно же.

    Другого способа нет - на https странице все элементы должны загружаться по защищенному соединению.
    Ответ написан
    2 комментария
  • Занимался ли кто собственным центром выдачи SSL сертификатов?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    Свой центр сертификации сделать легко (мануалов полно), но чтобы ваш CA попал в нужные хранилища из коробки (винда, apple, firefox, пакет ca-certificates) нужно иметь примерно $50кк, чтобы пройти все сертификации.
    Ответ написан
  • Кто-нибудь пользовался startssl?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    Пользуюсь, на debian.pro такой.
    Браузеры не ругаются.

    Из альтернатив - GeoTrust-сертификаты, от $7 в год найти можно.
    Ответ написан
    Комментировать
  • Как установить ssl сертификат на хостинг?

    @inkvizitor68sl
    Linux-сисадмин с 8 летним стажем.
    Никак.
    Либо покупайте хостинг, на котором указана возможность в установке SSL, либо виртуальный сервер.
    Без выделенного IP ни один хостер не согласится (а если согласится - лучше оттуда бежать).
    Ответ написан
    Комментировать