30 Января, 2017

Выбор бесплатного сертификата для собственного домена

Алексей Комаров

В январе Google обрадовал меня как владельца сайта, что скоро отдельные страницы блога будут помечаться как небезопасные с выводом соответствующего предупреждения посетителям.

Проблема оказалась со страницами, где запрашивается пароль для доступа к квадра(н)там Гартнера (такую меру пришлось ввести после общения с Gartner в прошлом году ).

Давно собирался озаботится переходом на протокол https, но вот теперь Google решил мне придать дополнительный стимул. В новостях к тому же встретил статью про аналогичный подход от Firefox: Firefox начал предупреждать о HTTP .

Проблемы с безопасностью на ZLONOV.ru

Проблемы с безопасностью на ZLONOV.ru

С учётом того, что сертификат для собственного домена сейчас без проблем можно получить бесплатно, решил не откладывать задачу в долгий ящик. Первой нашлась тематическая статья на Хабре:  Получаем бесплатный SSL сертификат . Сервис StartSSL, про который в ней идёт речь оказался простым и понятным, никаких проблем с регистрацией не возникло. В статье на Хабре, правда, чуть устаревшие скриншоты — интерфейс у сервиса поменялся, но всё прошло гладко. Проблема внезапно возникла уже после того, как сертификат был сгенерирован и установлен в панели управления хостингом: отдельные браузеры сообщали, что сертификат не является доверенным.

Неверный издатель сертификта StartSSL

Неверный издатель сертификта StartSSL

Незащищённое подключение с сертификатом StartSSL

Незащищённое подключение с сертификатом StartSSL

Сертификат StartSSL аннулирован

Сертификат StartSSL аннулирован

В общем, эффект получился прямо противоположный. Оказалось, что у сервиса StartSSL действительно проблемы с доверием к их сертификатам:

Mozilla and Google decided to distrust all StartCom root certificates as of 21st of October, this situation will have an impact in the upcoming release of Firefox and Chrome in January. StartCom will provide an interim solution soon and will replace all the issued certificates from that date in case of requested. Meanwhile StartCom is updating all their systems and will generate new root CAs as requested by Mozilla to regain the trust in these browsers.
StartCom paused the charged validation service

Возможно, со временем проблему решат и сертификатами от StartSSL снова можно будет пользоваться, но пока пришлось искать другую альтернативу. Техподдержка моего хостинг провайдера (качество работы которого хвалить не устану) предложила попробовать сертификат от бесплатного сервиса Let’s Encrypt .

Далее, по аналогии со статьёй на Хабре, предполагалась статься со скриншотами, но в моём случае ничего делать вообще не пришлось — специалисты техподдержки настроили всё сами. Сертификат от Let’s Encrypt выдаётся на три месяца, но в дальнейшем все его обновления будут опять-таки происходить без моего участия.

Собственно, такой вариант — обращение к своему хостинг-провадйеру рекомендуется и самим сервисом Let’s Encrypt:  https://letsencrypt.org/getting-started/  Полный список провайдеров, которые уже предлагают услугу по автоматической установке бесплатного сертификата от Let’s Encrypt доступен здесь:  https://community.letsencrypt.org/t/web-hosting-who-support-lets-encrypt/6920

Сертификат от Let's Encrypt для ZLONOV.ru

Сертификат от Let’s Encrypt для ZLONOV.ru

В общей сложности потратил на решение задачи буквально пару дней. Как тут не вспомнить портал  https://regulation.gov.ru , у которого сертификат истёк больше четырёх месяцев назад? =)

Истёк сертификат regulation.gov.ru

comments powered by Disqus