Автор Тема: ssl сертификат - как става  (Прочетена 8471 пъти)

Ipolit

  • Напреднали
  • *****
  • Публикации: 418
    • Профил
    • WWW
ssl сертификат - как става
« -: May 16, 2018, 11:47 »
Здравейте,
искам да направя един сайт да зарежда през https и за целта искам да му подпиша сертификата. Обаче си нямам идея как става тая работа.
Въпросите са следните:
1. Трябват ли ми отделни сертификати за domain.com и http://www.domain.com - четох че Comodo и други правят сертификатите с www да са валидни и за домейна без www.
2. Въобще не ми е ясна процедурата по подписването. Купувам домейни от ICN.bg и гледам, че там продават сертификати. Изчетох им всичките статии и не мога да разбера за какво ми е сертификат от тях, не мога ли да подпиша сертификат, който аз съм генерирал. По принцип е по-добре да е от тях, защото имаме проблеми с фактурите от американски фирми, но все пак кажете как става работата с подаването за подпис на сертификата.
Минавам по стъпките на формата им за купуване, които включват избор на тип сертификат и стигам до плащане. Ама после не знам какво става - къде се пише домейна, IP адреса, информация за организацията.
3. Тъй като на този сървър има само един сайт, трябва ми най-евтиния приемлив вариант - какъв е той.
Ако знаете по-лесни начини да си подпиша моя сертификат с и без www, моля споделете.
Предварително благодаря.
Активен

Face Your FreeBSD at http://ipolit.hit.bg

spec1a

  • Напреднали
  • *****
  • Публикации: 3852
    • Профил
Re: ssl сертификат - как става
« Отговор #1 -: May 16, 2018, 12:06 »
   Мисля че можеш да минеш и безплатно,виж: Let's Encrypt
https://letsencrypt.org/
   Там е описано подробно какво трябва да направиш.
   Успех !
Активен

Naka

  • Напреднали
  • *****
  • Публикации: 3395
    • Профил
Re: ssl сертификат - как става
« Отговор #2 -: May 16, 2018, 12:35 »
   Мисля че можеш да минеш и безплатно,виж: Let's Encrypt
https://letsencrypt.org/

А какви ограничения има letsencrypt? В смисъл може ли да се подписва едновременно
Код:
example.com    www.example.com     www2.example.com

Чета, че валидността му била 90 дена. Как се подновявя? Пак кликане по менютата му да се генерира нов? Въпросът е улисани във всекидневните работи да не забравим да го подновим преди да изтече. Имало и някакъв certbot?

Има ли други безплатни алтернативи на letsencrypt?

« Последна редакция: May 16, 2018, 12:44 от Naka »
Активен

Perl - the only language that looks the same before and after encryption.

spec1a

  • Напреднали
  • *****
  • Публикации: 3852
    • Профил
Re: ssl сертификат - как става
« Отговор #3 -: May 16, 2018, 12:54 »
   Мисля че можеш да минеш и безплатно,виж: Let's Encrypt
https://letsencrypt.org/

А какви ограничения има letsencrypt? В смисъл може ли да се подписва едновременно
Код:
example.com    www.example.com     www2.example.com

Чета, че валидността му била 90 дена. Как се подновявя? Пак кликане по менютата му да се генерира нов? Въпросът е улисани във всекидневните работи да не забравим да го подновим преди да изтече. Имало и някакъв certbot?

Има ли други безплатни алтернативи на letsencrypt?




   Да,може да подписва цял "клон", т.е. в дадения пример всички
*.example.com ( www1.example.com ,  www2.example.com , ...)
   Трябва да провери за валидността, и разбира се,за потенциални
проблеми с контрагентите му от САЩ.
Активен

makeme

  • Напреднали
  • *****
  • Публикации: 895
  • Distribution: Many
  • Window Manager: KDE
    • Профил
Re: ssl сертификат - как става
« Отговор #4 -: May 16, 2018, 13:10 »
Относно ICN, не им знам менютата, но принципа е следния.. Има общо три варианта, но първо трябва да кажем за какво служат:

 В днешно време въпросните сертификати служат за криптиране на трафика (връзка по https) и за доверие у хората/браузърите.

1. Самоподписан сертификат (този за, който питаш, ти да си направиш).
   Тук получаваш само половината от казаното горе (криптиране), но никой нормален браузър няма да ти уважи сертификата и ще започне да вади предупреждения! Съответно, хората се плашат и бягат :)

2. Безплатни сертификати.
   В днешно време има изобилие, но let's encript според мен е лидер. За да го ползваш обаче на споделен хостинг, трябва компанията да го поддържа (това е софтуер, който валидира и изкарва сертификати) и да си го заявяваш (има и друг начин, но ще ти трябват доста умения). Относно 90-те дни, да толкова е валиден, но софтуера (в зависимост от системата), го подновява автоматично. Съответно понеже всичко е автоматично и безплатно, няма проблеми за поддомейните (www е реално поддомейн).

3. Платени сертификати.
   Те са няколко вида, но общо взето се набляга на втората част от казаното по-горе (доверието). Когато сайта ти има закупен примерно comodo сертификат, вероятността браузъра да се нацупи е близка до нула, както и се създава по-голямо доверие у посетителите му. Ако пък имаш закупен EV сертификат, си личи, че не си кой да е :) . Стандартно вече всички платени легитимират www.

 Моят съвет е,  ако нямаш парички, да имаш поне let's encrypt (може и comodo free от cpanel). Разбира се трябва да провериш дали ICN го поддържат. Ако пък говориш за сайтче, което си е само за теб и ти трябва само криптиране на връзката, може и самоподписан.

Ако имаш още неяснотии питай :)

ПП: @Naka, няма ограничения. Софтуера може да валидира всичко що е валидно на уебсървъра: domain1.com, sub.domain1.com, http://www.sub.domain1.com, domain2.com, sub.domain2.com и тнт. Смисъл не само всички поддомейни, но и всички домейни на този сървър.

ПП2: Сега проверих и в ICN. cPanel-а си има меню let's encrypt.
« Последна редакция: May 16, 2018, 13:56 от makeme »
Активен

Distributions:  UbuntuMate; Kubuntu; CentOS; Kali; Raspberry Pi OS ...

jet

  • Напреднали
  • *****
  • Публикации: 3472
  • Distribution: debian
  • Window Manager: kde
    • Профил
Re: ssl сертификат - как става
« Отговор #5 -: May 16, 2018, 14:43 »
За Let's Encrypt е само един шел скрипт. Сваляш го и го пускаш и той прави магията. Прави си и крон джоб да се самообновява обновява (90-те дена).
Активен

..⢀⣴⠾⠻⢶⣦⠀
  ⣾⠁⢠⠒⠀⣿⡁
  ⢿⡄⠘⠷⠚⠋
  ⠈⠳⣄⠀⠀⠀⠀  Debian, the universal operating system.

makeme

  • Напреднали
  • *****
  • Публикации: 895
  • Distribution: Many
  • Window Manager: KDE
    • Профил
Re: ssl сертификат - как става
« Отговор #6 -: May 16, 2018, 14:49 »
За Let's Encrypt е само един шел скрипт. Сваляш го и го пускаш и той прави магията. Прави си и крон джоб да се самообновява обновява (90-те дена).
Това за споделен хостинг на cPanel работи ли?
Активен

Distributions:  UbuntuMate; Kubuntu; CentOS; Kali; Raspberry Pi OS ...

Naka

  • Напреднали
  • *****
  • Публикации: 3395
    • Профил
Re: ssl сертификат - как става
« Отговор #7 -: May 16, 2018, 15:28 »
За Let's Encrypt е само един шел скрипт. Сваляш го и го пускаш и той прави магията.
това ли е certbot -а? или става въпрос за някой друг скрипт? Или за разни универсални скриптове?
Активен

Perl - the only language that looks the same before and after encryption.

Ipolit

  • Напреднали
  • *****
  • Публикации: 418
    • Профил
    • WWW
Re: ssl сертификат - как става
« Отговор #8 -: May 16, 2018, 16:29 »
Благодаря на всички.
Това с certbot е готино. Сайтът се хоства при мен. Не е за нямане на пари, въпросът е да не се дават за нещо, за което не ми трябва. А за ICN стана въпрос, защото видях, че продават, но явно са сертификати за споделен хостинг при тях.
 
Активен

Face Your FreeBSD at http://ipolit.hit.bg

jet

  • Напреднали
  • *****
  • Публикации: 3472
  • Distribution: debian
  • Window Manager: kde
    • Профил
Re: ssl сертификат - как става
« Отговор #9 -: May 16, 2018, 16:40 »
За cpanel това може да помогне:
https://blog.cpanel.com/announcing-cpanel-whms-official-lets-encrypt-with-autossl-plugin/
но нямам такъв достъп

https://certbot.eff.org/
Избираш ОС и уеб сървъра и следваш инструкциите.
Активен

..⢀⣴⠾⠻⢶⣦⠀
  ⣾⠁⢠⠒⠀⣿⡁
  ⢿⡄⠘⠷⠚⠋
  ⠈⠳⣄⠀⠀⠀⠀  Debian, the universal operating system.

makeme

  • Напреднали
  • *****
  • Публикации: 895
  • Distribution: Many
  • Window Manager: KDE
    • Профил
Re: ssl сертификат - как става
« Отговор #10 -: May 17, 2018, 11:02 »
Благодаря на всички.
Не е за нямане на пари, въпросът е да не се дават за нещо, за което не ми трябва. А за ICN стана въпрос, защото видях, че продават, но явно са сертификати за споделен хостинг при тях.
Напълно те разбирам. За това и написах трите варианта горе, да си харесаш и прецениш дали има смисъл от заплащане. Относно хостинг доставчиците, стандартно се предлагат и безплатни, и платени сертификати.

@jet това е стандартния плъгин за аутоссл на цпанел, но това е ако си админ.

Врътката за клиент на споделен хостинг, на който не му предлагат интегрирано решение за безплатен сертификат е следната:
Насочва си временно домейна към тях, издава си сертификата, след което връща всичко и инсталира издадения сертификат през цпанел. Разбира се с тези 90 дни период е тегава работа.
Активен

Distributions:  UbuntuMate; Kubuntu; CentOS; Kali; Raspberry Pi OS ...

borislavov

  • Новаци
  • *
  • Публикации: 1
    • Профил
Re: ssl сертификат - как става
« Отговор #11 -: May 17, 2018, 13:44 »
Здравейте,
ако хоствайте сайта си и можете да подкарате някой от клиентите на Lets Encrypt описани тук: https://letsencrypt.org/docs/client-options/, със certbot бидейки най-разпространен ще е напълно достатъчно, за да получите сигурна връзка. Сертификата изтича на всеки 90 дни, но всеки от клиентите поддръжа подновяване и с cron можете да настроите това.
Ако търсите сертификат от сериозен издател и не Ви се занимава с допълнителна настройка и софтуер по сървърите тогава всеки сертификат продаван от хостинг компаниите ще свърши работа.

А споделения хостинг решава именно тези проблеми - с всеки един домейн получаваш безплатен SSL сертификат автоматично. И с един клик можеш да пренасочиш сайта ти към https.
Активен

nslave

  • Напреднали
  • *****
  • Публикации: 159
  • Distribution: Fedora / Debian
  • Window Manager: Xfce
    • Профил
Re: ssl сертификат - как става
« Отговор #12 -: May 17, 2018, 20:53 »
Както казаха преди мен, cPanel си поддържа AutoSSL функция, която се грижи да имаш постоянно обновен валиден (и безплатен) сертификат подписан от Comodo CA. Съмнението ми е, че хостинг компаниите няма да го пускат това безплатно, но ми звучи срещу по-скромна такса от стандартен сертификат, да е налично като услуга. Готиното в тази ситуация е, че не те вълнува колко subdomain-а имаш, покрива ги всичките.

Ако пък решиш да си купиш имаш опцията да си купиш за конкретен домейн, което ще покрие domain.tld и http://www.domain.tld. Ако искаш да ти покрива всичките subdomain-и, трябва да си купиш wildcard сертфикат, който покрвиа domain.com и *.domain.tld. За тези сертификати по спомен не мисля, че беше необходимо до попълваш каквато и да е информация. Тях ги вълнува кой domain ще покрива. От superhosting бях купувал и схемата е следната - заявяваш си покупка на сертификат, генерираш си request за подписване (това се случва изцяло в техният сайт, няма намесени терминали и вуду магии), ключово беше да имаш конкретен email на този domain, нещо от типа на admin, postmaster или нещо такова. На този email ти изпращат после верификационен ключ от Comodo (такива продават в superhosting), верифицираш кода в сайта на comodo и получаваш публичен и частен ключ както и bundle с веригите нагоре. Инсталираш и address бара вече е зелен :)
« Последна редакция: May 17, 2018, 21:02 от nslave »
Активен

Naka

  • Напреднали
  • *****
  • Публикации: 3395
    • Профил
Re: ssl сертификат - как става
« Отговор #13 -: May 18, 2018, 10:52 »
За  Lets Encrypt изисква ли се регистрация в сайта им? Някакви данни трябва ли да им се попълват/дават или всичко се върши само от certbot -а?

Интерсно ми е и друго. Ако има сайт само http:// (например както е линукс-бг) дали хората се плашат от Not secure надписите или ги игнорират. Ама въпрос на време е от браузерите да почнат и да изкачат плашещи менюта. Като гледам всичко е тръгнало към https:// - и за нужни и за ненужни работи.
« Последна редакция: May 18, 2018, 10:59 от Naka »
Активен

Perl - the only language that looks the same before and after encryption.

makeme

  • Напреднали
  • *****
  • Публикации: 895
  • Distribution: Many
  • Window Manager: KDE
    • Профил
Re: ssl сертификат - как става
« Отговор #14 -: May 18, 2018, 10:58 »
За  Lets Encrypt изисква ли се регистрация в сайта им? Някакви данни трябва ли да им се попълват/дават или всичко се върши само от certbot -а?
certbot-a си върши всичко. Има няколко начина за валидация, но най-лесния е просто домейна да сочи към сървъра на който е certbot-a. Казваш му домейна, той си гледа вхоста и ти оправя всичко.
Активен

Distributions:  UbuntuMate; Kubuntu; CentOS; Kali; Raspberry Pi OS ...