Получаем бесплатный SSL сертификат

При попытке доступа к вашему сайту он может быть подменен злоумышленниками даже в том случае, если пользователь правильно ввел его доменное имя.

SSL-сертификаты исключают возможность подобной подмены - просмотрев сертификат, пользователь может убедиться, что на домене размещен именно тот сайт, который там должен быть, а не его дубликат.

Кроме того, SSL-сертификат позволяет пользователю проверить, кто является владельцем сайта. Это значит, что пользователь может удостовериться, что он зашел на сайт нужной ему организации, а не на сайт ее двойника.

Еще одна важная функция SSL-сертификатов - шифрование интернет-соединения. Зашифрованное соединение необходимо для предотвращения возможного хищения конфиденциальных данных при их передаче в сети.

SSL-сертификаты рекомендуем устанавливать в разделе сайта, где пользователи вводят конфиденциальные данные, например, на страницах авторизации и оплаты услуг. Наличие на сайте сертификата защищает его от возможных подделок, так как пользователь всегда может убедиться, что сайт подлинный, и проверить, кому он принадлежит.

В целях безопасности SSL-сертификат не переносится на другой договор.

Проверить принадлежность домена в заказе на сертификат можно через электронную почту, указанную для домена в Whois сервисе. Для этого вам нужно обратиться к регистратору домена и прописать в Whois сервисе для него любую электронную почту. Если домен зарегистрирован в RU-CENTER, то для этого укажите почту в личном кабинете:

В выберите Услуги → Мои домены .
Нажмите на доменное имя как на активную ссылку.
В строке Описание в Whois нажмите ссылку Изменить .
Укажите электронную почту и нажмите кнопку Сохранить изменения . После этого уведомьте нас о проделанных действиях по адресу .

Если запрос на сертификат CSR вы генерировали в личном кабинете RU-CENTER (была выбрана опция «создать CSR»), то закрытый ключ сохранился автоматически на вашем компьютере с именем файла privatekey.txt. Попробуйте выполнить поиск на компьютере. Без сохранения файла вы не могли бы перейти на следующий шаг при подаче заказа на сертификат. Если же запрос на сертификат CSR был сгенерирован на вашем сервере или у стороннего хостинг-провайдера, то закрытый ключ находится на сервере или у провайдера соответственно. Если закрытый ключ утерян, то необходимо выполнить - это бесплатно.

Зайдите на сайт https://www.upik.de .
Выберите язык English .
Нажмите ссылку UPIKR-Search with D-U-N-SR number .
В поле D&B D-U-N-SR Number введите номер DUNS.
В поле Select country выберите страну.
На открывшейся карточке компании вы можете проверить наличие номера телефона в поле Telephone number .

Если номер телефона указан некорректно или отсутствует, обратитесь в российское представительство DUN&BRADSTREET - компанию Интерфакс , и внесите или откорректируйте номер телефона в карточке компании. После внесения изменений номер телефона по вашему DUNS будет отображаться только через 7-30 календарных дней.

Чтобы изменить список доменов, на которые распространяется сертификат, необходимо заново создать CSR и пройти процедуру перевыпуска сертификата:

1. В разделе Для клиентов → SSL-сертификаты и выберите нужный сертификат.

3. Если вы хотите создать CSR в процессе заказа - нажмите Продолжить .Если вы будете использовать свой CSR - введите его в появившемся поле. Создание CSR для установки сертификата на Microsoft IIS описано в отдельных инструкциях - они откроются при выборе этого варианта.

4. Внесите изменения в список доменов и нажмите Продолжить .

5. Укажите контактные данные и нажмите Продолжить .

6. Сохраните приватный ключ - он понадобится для установки сертификата на веб-сервер. Нажмите Продолжить .

7. Проверьте корректность и нажмите Отправить заказ .

SSL-сертификаты выпускаются на срок 1-2 года.

Если организация заказывает сертификат на домен, который ей не принадлежит, то для этого необходимо предоставить письмо от владельца домена с разрешением на выпуск сертификата. Шаблон письма будет направлен удостоверяющим центром на контактный адрес электронной почты заказчика сертификата.

Сертификат может подтверждать наличие прав управления доменом, то есть удостоверять только домен. Такие сертификаты относятся к категории . Просмотрев сертификат DV, пользователь может убедиться, что он действительно находится на том сайте, адрес которого введен в строке браузера, то есть что при доступе к сайту пользователь не был перенаправлен злоумышленниками на подложный веб-ресурс. Однако сертификат не содержит информации о том, кому принадлежит сайт - в сертификате не будут указаны сведения о его владельце. Это обусловлено тем, что для получения сертификата его заказчику не требуется предоставлять документальное подтверждение своих идентификационных данных. Следовательно, они могут быть вымышленными (например, заказчик сертификата может выдать себя за другое лицо).

Сертификат может подтверждать наличие прав управления доменным именем и существование организации, у которой есть эти права, то есть удостоверять домен и его владельца. Такие сертификаты относятся к категории . Просмотрев сертификат OV, пользователь может убедиться, что он действительно находится на том сайте, адрес которого введен в строке браузера, а также определить, кому принадлежит этот сайт. Для выпуска данного сертификата его заказчик должен документально подтвердить свои идентификационные данные.

В целях безопасности SSL-сертификат не переносится на другой договор.

В выберите Услуги → Мои домены .
Нажмите на доменное имя как на активную ссылку.
В строке Описание в Whois нажмите ссылку Изменить .
Укажите электронную почту и нажмите кнопку Сохранить изменения . После этого уведомьте нас о проделанных действиях по адресу .

Зайдите на сайт https://www.upik.de .
Выберите язык English .
Нажмите ссылку UPIKR-Search with D-U-N-SR number .
В поле D&B D-U-N-SR Number введите номер DUNS.
В поле Select country выберите страну.
На открывшейся карточке компании вы можете проверить наличие номера телефона в поле Telephone number .

1. В разделе Для клиентов → SSL-сертификаты и выберите нужный сертификат.

4. Внесите изменения в список доменов и нажмите Продолжить .

5. Укажите контактные данные и нажмите Продолжить .

6. Сохраните приватный ключ - он понадобится для установки сертификата на веб-сервер. Нажмите Продолжить .

7. Проверьте корректность и нажмите Отправить заказ .

SSL-сертификаты выпускаются на срок 1-2 года.

3 сентября 2011 в 17:36

Получаем бесплатный SSL сертификат

Системное администрирование

Tutorial

Жмем Sing-up и переходим к регистрации, где заполняем небольшую форму. Все поля обязательны к заполнению, нужно вводить настоящие данные, могут проверить вашу личность и отозвать сертификат, заблокировать аккаунт. Адрес нужно указывать домашний, а не рабочий. Так же желательно чтобы при регистрации использовалась латиница - это поможет весьма сократить то время за которое подтвердят регистрацию аккаунта.

Нам предлагают ввести проверочный код, который был выслан на email. Вводим. Далее нам предлагают выбрать размер ключа для вашего сертификата (для авторизации на сайте) 2048 или 4096.

Сертификат сгенерирован, и мы должны подтвердить его установку в браузер.

Верификация домена

Перед получением сертификата нам нужно подтвердить право владения доменом. Для этого переходим в раздел Validations Wizard и выбираем пункт Domain Name Validation

Вводим домен

Выбираем email, на который будет отослано письмо для подтверждения (postmaster, hostmaster, webmaster либо email из whois)

Получаем письмо и вводим код из него в поле. Все - домен подтвержден, можно приступать к генерации сертификата. В течении 30 дней мы можем генерировать сертификат. Далее нужно будет повторить процедуру верификации.

Генерация сертификата

Идем в раздел Certificates Wizard и там выбираем Web Server SSL/TSL Certificate

Далее у нас 2 варианта - либо нажать на Skip и ввести запрос на генерацию сертификата, либо генерировать все в мастере. Допустим, запроса сертификата у нас нет, поэтому будем генерировать все в данном мастере.

Вводим пароль для ключа (мин. 10 символов - макс. 32) и размер ключа (2048\4096).

Получаем и сохраняем ключ.

Выбираем домен, для которого будем генерировать сертификат (домен должен быть уже подтвержден).

Нам дают право на включение в сертификат один поддомен - пусть будет стандартный www

Получили немного информации о сертификате, жмем на Continue.

Теперь ждем подтверждения сотрудником StartSSL сертификата. Обещают в течении 3-х часов, однако на практике все происходит намного быстрее, мне пришлось ждать 10 минут. Ранее заказывал ночью - примерно за такое же время подтверждали запрос.

Получение сертификата

Нам осталось только получить сертификат и установить его на сервере. Идем в Tool Box -> Retrieve Certificate, выбираем домен и копируем сертификат.

Про установку не буду писать, информация есть на и на StartSSL .

Проходим проверку (2-й уровень верификации)

Для снятия ограничений бесплатного сертификата нужно пройти идентификацию. Для этого в Validations Wizard выбираем Personal Identity Validation, проходим несколько шагов и нам предлагают загрузить документы

Для загрузки документов нужно только выбрать их в поле. Загрузить нужно не менее 2-х документов, подтверждающих вашу личность (главный разворот паспорта, водительские права, удостоверение личности, карточку социального обеспечения, свидетельство о рождении и т.д., я загружал главный разворот паспорта и студенческого билета). Могут запросить дополнительные документы - у меня запросили счет за телефон, в котором указан мой адрес, номере телефона и имя, в качестве альтернативы можно получить аналоговой почтой письмо для верификации адреса.

Все, на этом подготовка к верификации окончена. Вам должно будет прийти письмо от поддержки с дальнейшими инструкциями. По окончании верификации вы сможете выпускать WildCart сертификаты в течении 350 дней. Далее нужно будет проходить проверку заново.

Несколько фактов о StartSSL

25 мая 2011 StartSSL был подвергнут атаке сетевых взломщиков (в простонародии хакеров), однако получить фиктивные сертификаты им не удалось. Закрытый ключ, лежащий в основе всех операций, хранится на отдельном компьютере, не подключенном к интернету.
StartSSL поставляет помимо SSL сертификатов для Web, сертификаты для шифрования почты (S/MIME), для шифрования серверов XMPP (Jabber), сертификаты для подписи ПО Object code signing certificates).
StartSSL проверяет верность установки сертификатов. После установки сертификата (через некоторое время) я получил уведомление о отсутствии промежуточного сертификата, и ссылка на информацию по установки.
После установки промежуточного сертификата пришло соответствующее письмо.
StartSSL поддерживается множеством ПО: Android, Camino, Firefox, Flock, Chrome, Konqueror, IE, Mozilla Software, Netscape, Opera, Safari, SeaMonkey, Iphone, Windows
Дружелюбная поддержка на русском языке
Сравнительная таблица вариантов верификации
startssl

Добавить метки

Привет, Хабр. Данный пост предназначен для любителей халявы и содержит готовый рецепт по получению доменного имени, услуг DNS-сервера и SSL-сертификата с затратами 0 рублей 0 копеек. Бесплатный сыр бывает только в мышеловке и это правда, так что рецепт скорее для тех кто хочет красивую ссылку на свой личный небольшой проект с поддержкой https а не для серьёзных проектов.

Доменное имя

Идём на сайт www.registry.cu.cc , там сразу же вбиваем нужное имя и нажимаем check availability => checkout если нужное имя доступно. После чего регистрируемся и идём в личный кабинет где видим свои доменные имена.

img1

img2

Находим нужное имя, идём в Nameserver и прописываем там DNS яндекса.

img3

img4

DNS-сервер

Далее идём сюда pdd.yandex.ru/domains_add и добавляем только что созданное доменное имя.

img5

Видим что «Не удалось найти домен в DNS», ждём пока яндекс его найдёт.

img6

После чего подтверждаем владение доменом добавив соответствующую CNAME запись как написано в подробной инструкции яндекса. После чего ждём пока яндекс найдёт нужную ему запись и подтвердит владение доменом. Может потребоваться довольно много времени.

img7

img8

img9

После чего видим долгожданную надпись о том что домен подключён и делегирован на DNS яндекса.

img10

Далее идём в Редактор DNS и добавляем A - запись привязывая доменное имя к ip - адресу своего сервера.

img11

Может пройти довольно много времени пока эта A - запись вступит в силу. Запустим что-нибудь локально (ведь мы прописали адрес сервера 127.0.0.1) и посмотрим как будет ресолвиться наш домен. Работает!

ура!

На этом с DNS-сервером всё, теперь займёмся получением ssl сертификата и обеспечим доступ к нашему серверу по https (безопасность превыше всего).

SSL-сертификат

Идём на www.startssl.com/Validate , регистрируемся, выбираем Validations Wizard => Domain Validation (for SSL certificate) , вводим наш домен

img12

И там нам предлагают доказать что мы владеем доменом при помощи e-mail, выбираем любой который нам нравится, создаём его в яндексе. Отправляем туда письмо, берём оттуда код и доказываем что домен принадлежит нам.

img13

img14

img15

Затем идём в Certificates Wizard => Web Server SSL/TLS Certificate , указываем наш домен, генерим и вставляем ключ и нажимаем submit

img16

Ключ можно сгенерировать например так
mkdir ./certificates mkdir ./certificates/habr.cu.cc cd ./certificates/habr.cu.cc openssl genrsa -out ./habr.cu.cc.key 2048 openssl req -new -sha256 -key ./habr.cu.cc.key -out ./habr.cu.cc.csr cat ./habr.cu.cc.csr
Сертификат получен! Скачиваем себе архив

img17

Распаковываем и копируем файлы ключей в директорию nginx

Cp ~/Downloads/habr.cu.cc/1_habr.cu.cc_bundle.crt /usr/local/etc/nginx/1_habr.cu.cc_bundle.crt cp ./habr.cu.cc.key /usr/local/etc/nginx/habr.cu.cc.key nano /usr/local/etc/nginx/nginx.conf
Немного рихтуем конфиг

Server {
listen 8080;
ssl on;
server_name localhost;
ssl_certificate /usr/local/etc/nginx/1_habr.cu.cc_bundle.crt;
ssl_certificate_key /usr/local/etc/nginx/habr.cu.cc.key;

Перезапускаем nginx

Nginx -s stop nginx
Открываем нашу страничку используя https… и всё работает!

ура!

Мы получили доменное имя, услуги DNS-сервера и подтверждённый SSL сертификат не заплатив никому ни копейки, и при этом совершенно легально. Для запуска нашего ультра-мега-гига сервиса осталось только поднять VPS и развернуть там нашу программу. Увы сегодня бесплатная ВПС-ка это слишком хорошо и нереально, за VPS-сервер всё-таки придётся платить кровавыми долларами из своего кармана. Но тем не менее всем хороших выходных и надеюсь заметка будет кому-нибудь полезной.

Вопрос нужности SSL-сертификатов остаётся открытым среди веб-мастеров. Лично моё мнение, за деньги бы я не стал их устанавливать, а за бесплатно - естественно, да!

Подробнее моё мнение и мои инструкции о получении и автоматическом продлении бесплатных SSL-сертификатов можно найти в следующих материалах:

Бесплатное получение и настройка автоматического продления действительных сертификатов SSL
Особенности использования валидных SSL-сертификатов

Эту заметку я пишу чтобы добавить к вышеприведённому материалу одну новость и один «лайф-хак».

Новость заключается в том, что теперь бесплатные SSL-сертификаты Let"s Encrypt поддерживают и вы сможете защитить с помощью HTTPS все свои сайты!

Получить бесплатные SSL-сертификаты от Let"s Encrypt с автоматическим продлением можно, например, для своих сайтов в .

Там установка SSL-сертификата по-прежнему производится в разделе «Домены» панели управления , напротив каждого домена есть кнопка «SSL». Т.е. буквально в один клик, на саму процедуру требуется до 5 минут. Сертификаты будут продлеваться автоматически. И, главное, они всегда будут бесплатными! Больше информации в заметке « ».

Бесплатные SSL-сертификаты для доменов третьего уровня (поддоменов / субдоменов)

Среди бесплатных сертификатов различных фирм отсутствуют WildCard SSL-сертификаты. WildCard - это поддержка субдоменов. Wildcard сертификат позволяет использовать его на всех поддоменах вашего основного домена. Этот сертификат будет действителен на поддоменах типа www.domain.ru, forum.domain.ru, my.domain.ru и т.д. без ограничений на количество поддоменов. При создании запроса на Wildcard сертификат в качестве Common Name (CN) необходимо использовать "*.domain.ru", где domain.ru — это ваше доменное имя.

Стоимость таких сертификатов начинается от 2333 рублей. И среди бесплатных отсутствуют Wildcard сертификаты. Тем не менее, это не означает, что вы не можете получить настоящий действительный сертификат на домен третьего уровня. Это точно позволяет сделать Comodo Trial SSL (возможно и другие - я не проверял). Реальный рабочий пример: Посмотрите свойства сертификата - он выдан на три месяца, он абсолютно бесплатный, но он и для домена турьего уровня!

Процесс получения бесплатного SSL-сертификата от Comodo Trial SSL подробно описан в заметке « ». Там я это делаю в панели (покупать платные услуги совершенно необлязательно).

Вместо доменного имени (например, в моём случае вместо kali.tools) указывайте субдомен (в моём случае en.kali.tools).

Вывод

Популярность SSL-сертификатов продолжает стремительно увеличиваться. Сейчас, наверное, уже почти не осталось по-настоящему крупных сайтов без HTTPS. Не могу сказать за всех пользователей, но когда я захожу на сайт без HTTPS (когда не горит зелёный замочек) у меня возникает ощущение, что этот сайт заброшен. Особенно странно выглядят официальные сайты программ, на которых предлагается скачать без HTTPS исполнимый файл. И я бы никогда не стал (и вам не советую) вводить номера кредитных карт и персональные данные из документов на сайты без HTTPS. Дело даже не в том, что данные могут перехватить (хотя и это тоже), уже давно для банковских сайтов, сайтов, работающих с платежами, HTTPS стал стандартом. И если его там нет - то этому сайту не стоит доверять ни в коем случае.

Хотя в обратную сторону это правило не работает. Если вы зашли на сайт с HTTPS, это не означает, что сайт не может быть мошенническим. Как я уже описывал ранее - получить валидный сертификат может абсолютно кто-угодно. А изучая случаи мошенничества в Интернете можно найти достаточно примеров сайтов мошенников и финансовых пирамид с полной атрибутикой серьёзности - проплаченные на 10 лет домены и SSL-сертификат с проверкой домена и организации (в последнее время, уже даже не всегда офшорной).