Использование защищенного соединения в настоящее время стало необходимым, если ваш сайт использует любые персональные данные пользователей, логины, пароли. Для этого нужны сертификаты (и приватные ключи) для шифрования трафика между браузером и сайтом.
Однако стоимость их, мягко говоря, завышена. Чтобы создать самоподписанный сертификат, понадобится минут 5 времени, из которых 99% - это ввод данных о домене. Понятно, что компании хотят кушать и поэтому продают их. Бесплатно можно получить лишь при регистрации домена на первый год, это вроде как сыра в мышеловке.
Однако существует Let’s Encrypt - бесплатный, автоматизированный и открытый Центр Сертификации, созданный на благо всего общества организацией Internet Security Research Group (ISRG).
Указанный ниже способ работает, если у вас есть доступ к SSH. Если его нет, то Let’s Encrypt предоставляет бесплатный сертификат только на 3 месяца и придется заморачиваться этим каждый раз.
Let`s Encrupt рекомендует использовать утилиту Certbot. Переходим на сайт утилиты.
К примеру, на моем проекте Электронная сервисная книжка авто веб-сервер Nginx и операционная система Debian 9. Поэтому я выбрал их и далее откроется детальная инструкция по дальнейшим шагам. Если у вас другой веб-сервер или ОС, дальнейшие примеры будут немного отличаться, но шаги будут примерно одинаковыми.
Устанавливаем Certbot
Выбираем, как хотим запустить Certbot
Если хотим, чтобы бот автоматически установил сертификат и отредактировал конфиг Nginx (прописал пути до полученных сертификатов), выполним команду
Если же хотим только установить сертификат, а конфиг потом отредактируете самостоятельно, то выполняем
Автоматическое продление сертификата
Certbot будет автоматически продлевать сертификат через задания cron или таймер systemd.
Чтобы выполнить тестовый запуск с симуляцией продления выполните команду
На этом всё. После этих действий Certbot будет автоматически продлевать сертификат на каждые 3 месяца. А сейчас можно зайти на свой сайт и убедиться, что сертификат уже действует!
На примере odo24.ru заходим на сайт (в моем случае Chrome), нажимаем возле адреса сайта замочек и выбираем пункт Сертификат
Profit!
Последняя команда
_не обновит_ сертификат. Т.к. (из документации) опция
"--dry-run" это Test "renew" or "certonly" without saving any certificates.
Т.е. лишь проверит - не устарел ли сертификат, но не будет получать и сохранять обновленные сертификаты.
Да, действительно, это так. --dry-run симулирует получения сертификата, чтобы можно было выявить ошибки и проблемы, поскольку есть ограничения у Let’s Encrypt на 20 регистраций в неделю или 5 ошибок в час, если не ошибаюсь.
Немного подкорректировал текст. Спасибо за внимательность!
У меня впс с ISP Manager, там все ещё проще, ставится модуль от Let's Encrypt и сертификаты добавляются/обновляются автоматически.
Комментарий недоступен
Ваше мнение очень важно для нас... *sarcasm*
Ну а теперь поговорим о минусах.
Во-первых - ни один разумный сис. админ не поставит на сервер программу с закрытым исходным кодом, которая будет управлять закрытыми ключами.
Во-вторых, как сказал автор, сертификаты Let’s Encrypt выдаются лишь на 3 месяца и обновлять их крайне неудобно.
В-третьих - у данных сертификатов отсутствует какая-либо гарантия. То есть вообще никакой. При этом стоит заметить что Let’s Encrypt спонсирует сам гугл. Не по доброте же душевной? Нет, конечно. Просто они, теоретически, спокойно могут использовать атаку, вроде, MITM со своим великим браузером.
В-четвёртых - Let’s Encrypt выдаёт только DV-сертификаты. Это значит что если вы хотите подтвердить посетителю что этот сайт принадлежит какой-то конкретной компании, то Let’s Encrypt на это не способен. Он поддерживает подтверждение лишь домена, но не организации.
В-пятых - это несомненно доверие. На многих сайтах есть формы для ввода электронной почты, телефона и т.п. И, наверно, хотелось бы чтобы пользователь оставлял свой реальный электронный адрес, а не временный для спама. И чтобы повысить доверие пользователя и используется более качественный и дорогой сертификат, а не бесплатное гумно, доступное каждому недобросовестному сайту.
Итак, вывод: Если Вам нужен сертификат лишь для жалкого блога и Вам плевать на доверие посетителей и безопасность Вашего сервера - пользуйтесь бесплатным сыром. Если же Вы желаете защитить свой интернет-магазин или же просто оформить сертификат 1 раз и несколько лет о нём не вспоминать - милости просим на сайт с самыми дешёвыми сертификатами https://trust-ssl.ru/
Комментарий недоступен
Почти все, что тобой написано - нелепый бред. Вроде какие-то знания есть, но выводы весьма нелогичны, и как будто притянуты.
1. Certbot вполне себе открыт
2. Certbot может обновлять сертификаты автоматически, без участия пользователя по CRON'у
3. Гарантией являются компании. В данном случае это Google с поддержкой Facebook, ДЦ OVH, Cisco, Mozilla и множество других. Даже если предположить, что трафик к вашему сайту каким-то магическим образом пойдет (не пойдет) через эти компании, а не через вашего провайдера, рос. магистраль и провайдер клиента - им нахрен не нужны телефоны ваших клиентов из формы "Перезвоните мне", тем более компрометировать браузер Chrome...
4. Сертификать нужен прежде всего для защиты передаваемых данных, а не подтверждения юр. лица, это - вторичное и абсолютному большинству юр. лиц напросто не нужно.
5. Пользователю глубоко пофигу на тип сертификата. Отсутствие предупреждения о незащищенном сайте и наличие замочка - уже достаточно. Тем более для OV-сертификатов проверяют только существование юр.лица, и они ни в коем случае не являются гарантом его надежности.
Итак, вывод: Если у вас мелкий или средний бизнес и вы не видите преимуществ в OV-сертификате или не знаете зачем он - вам подойдет бесплатный от Lets Encrypt. Напомню, что задача SSL-сертификатов состоит в том, чтобы применять механизм шифрования к передаваемым данным, и в сертфикатах от Lets Encrypt он есть. Остальное - это больше маркетинг и вой компаний, которые пытаются продать вам то, что большинству из вас не нужно.
P.S. Все встало на свои места, когда я перешел по твоей ссылке, где меня поприветствовал менеджер по продажам - Александр Артамонов.
Приложил ссылку на гитхаб.
Гугл давно спонсирует и даже развивает ряд продуктов, и это у них неплохо получается. Не вижу в этом ничего плохого. Вспомним хотя бы Хромиум, протокол http2 со SPDY по сути вырос. Да и в целом веб-технологии только после большого пендаля гугла шагнули сильно вперёд после застоя во времена IE.
И, кстати, зачем гуглу осуществлять атаку? У них и без того некислая база данных устройств, персональных данных, доступы к перепискам и т.д. С какой такой целью им рисковать доверием?
И почему вы не доверяете Let’s Encrypt-у, т.к. там Гугл, но другим центрам доверяете? В чем принципиальное отличие? Может вы более компетентны в этом вопросе, тогда поделитесь информацией.
Сам по себе Let’s Encrypt - это доверенный центр сертификации. Этого достаточно чтобы защитить небольшой или средний сайт. Да, это будет, возможно, недостаточно для крупных порталов. Но напомню, что сертификат, по сути, ничего не стоит для издателя, а продаются они от 500 рублей за аналог Let’s Encrypt и до нескольких сотен тысяч.
Я не доверяю Let’s Encrypt'у потому что это бесплатный сервис, а бесплатный сыр бывает только в мышеловке. Вы хоть понимаете сколько финансовых затрат надо чтобы содержать ЦС? Другим же центрам я доверяю поскольку они дают финансовую гарантию сохранности сертификата(от 10000$ до 1500000$). То есть если ЦС выдаст сертификат для фишингового домена или кто-то сможет получить данные между вашим сервером и чужим браузером, то он Вам компенсирует указанную сумму.
StartSSL тоже был доверенным центром сертификации пока гугл его не прикрыл ради Let’s Encrypt
А так по-сути Вы правы - если Вам надо защитить жалкий сайт, которому плевать на доверие пользователей, то, конечно, можете использовать бесплатное гумно, которое даже статическую печать доверия не предлагает, не говоря уже о динамичной.
Он не бесплатный. Он спонсируется компаниями, которые указаны на сайте.
https://letsencrypt.org/sponsors/
Можешь тоже задонатить.
Что-то он не открывается даже(
Досвидания!!!
Подозреваю в этом Роскомнадзор виноват, а не "Большой брат" или кто-либо ещё.
Вот пруф:
Я как бы и сказал что ркн заблочил айпишник Let’s Encrypt'ов. При чём тут какой-то большой брат вообще? С другой стороны - какого чёрта Let’s Encrypt вообще юзают шаред айпишник на котором какие-то казино и т.п. было?
Действительно, сами виноваты, что со всякими казино рядом существуют. А роскомнадзору зачем заморачиваться, забанили всех и поделом, правда?
Как говорится, блажен кто верует. Сколько прецедентов и выплат вы знаете?
Я не знаю. Что лишний раз убеждает меня в надёжности платных ЦС. С другой стороны - Let’s Encrypt'ы не выпускают OV-сертификаты, а значит теоретически могли бы гарантировать лишь компенсацию взлома самого сертификата
У lets encrypt и других ssl используется одно и тоже шифрование
Вторая половина вашего комментария дублирует половину комментируемого вами коммента. Зачем вы его написали? оО
Использовать явную ложь ради промоушена своего сервиса - явный моветон.
Вы просто перечеркнули даже теоретическую возможность использования вашего сервиса для меня лично, и, видимо, кое кого ещё из местных.
Ты шо дэбил?
рег.ру кстати ставит lets encrypt по запросу в саппорт
это инфа для лентяев или не разбирающихся
Комментарий недоступен
а какой хостинг нормальный?
Комментарий недоступен
Ок, учту на будущее. С регру у меня исторически сложилось - помогал родственнику с сайтом на нём. Потом когда решил сам завести бложик - не хотелось сильно думать и мозги ломать, а регру ставит вордпресс в один клик. Ну я и остался с ним.
Комментарий недоступен
Ну смотря какие домены. Я парочку купил рублей за 800 как раз (один из них .com). Может, конечно, скидка какая была.
По ценам я не ориентируюсь. Трачу ~1.2k за полгода.
Комментарий недоступен
Мда, посмотрел щас - в последний раз продление одного ру-домена на 1 год обошлось в 900 рублей.
Можешь кинуть ссылкой на инструкцию по смене компании?
Комментарий недоступен
Каким же идиотом надо быть чтобы верить всей этой чепухе. Ибо. Сменять сертификат кажды́е пол года, ну даже год, это через чур выше безопасности чем возможность взлома даже спустя три года после генерации ключа. Да, заработать на этом хочется. Но дураков надо уменьшать на столько же, чтоб началась, ну, хотя бы, конкуренция. И все стало бесплатным.
Можно еще использовать Cloudflare - там на бесплатном тарифе дают ssl.
Сообщение удалено
Вы планируете выложить свой проект(odo24) в Open Source (на github, например)?
Да, есть планы открыть все исходники на GitHub. Но чуть позже. Как более-менее приведу всё в порядок. Пока всё лежит в приватном репозитории bitbucket.org
Было бы неплохо. Возможно мы помогли бы развитию проекта.
Напишите на [email protected]. Скажите ваш username или почту в гите, приглашу в Collaborators. В настоящее время действительно не хватает помощи и одному сложно развивать.
После НГ праздников напишу, обменяемся телефонами, а дальше договоримся
У меня на хостинге Джино за 3 сек. получаю сертиф нажатием одной кнопки, он автоматически продлевается каждые 3 мес.
Тут скорее о том, что даже если нет сертификата одной кнопкой - прикрутить его руками не особо сложно (кмк, даже просто)