Linux за българи: Форуми

Linux секция за напреднали => Хардуерни и софтуерни проблеми => Темата е започната от: Ipolit в Май 16, 2018, 11:47



Титла: ssl сертификат - как става
Публикувано от: Ipolit в Май 16, 2018, 11:47
Здравейте,
искам да направя един сайт да зарежда през https и за целта искам да му подпиша сертификата. Обаче си нямам идея как става тая работа.
Въпросите са следните:
1. Трябват ли ми отделни сертификати за domain.com и www.domain.com - четох че Comodo и други правят сертификатите с www да са валидни и за домейна без www.
2. Въобще не ми е ясна процедурата по подписването. Купувам домейни от ICN.bg и гледам, че там продават сертификати. Изчетох им всичките статии и не мога да разбера за какво ми е сертификат от тях, не мога ли да подпиша сертификат, който аз съм генерирал. По принцип е по-добре да е от тях, защото имаме проблеми с фактурите от американски фирми, но все пак кажете как става работата с подаването за подпис на сертификата.
Минавам по стъпките на формата им за купуване, които включват избор на тип сертификат и стигам до плащане. Ама после не знам какво става - къде се пише домейна, IP адреса, информация за организацията.
3. Тъй като на този сървър има само един сайт, трябва ми най-евтиния приемлив вариант - какъв е той.
Ако знаете по-лесни начини да си подпиша моя сертификат с и без www, моля споделете.
Предварително благодаря.


Титла: Re: ssl сертификат - как става
Публикувано от: spec1a в Май 16, 2018, 12:06
   Мисля че можеш да минеш и безплатно,виж: Let's Encrypt
https://letsencrypt.org/
   Там е описано подробно какво трябва да направиш.
   Успех !


Титла: Re: ssl сертификат - как става
Публикувано от: Naka в Май 16, 2018, 12:35
   Мисля че можеш да минеш и безплатно,виж: Let's Encrypt
https://letsencrypt.org/

А какви ограничения има letsencrypt? В смисъл може ли да се подписва едновременно
Код:
example.com    www.example.com     www2.example.com

Чета, че валидността му била 90 дена. Как се подновявя? Пак кликане по менютата му да се генерира нов? Въпросът е улисани във всекидневните работи да не забравим да го подновим преди да изтече. Имало и някакъв certbot?

Има ли други безплатни алтернативи на letsencrypt?



Титла: Re: ssl сертификат - как става
Публикувано от: spec1a в Май 16, 2018, 12:54
   Мисля че можеш да минеш и безплатно,виж: Let's Encrypt
https://letsencrypt.org/

А какви ограничения има letsencrypt? В смисъл може ли да се подписва едновременно
Код:
example.com    www.example.com     www2.example.com

Чета, че валидността му била 90 дена. Как се подновявя? Пак кликане по менютата му да се генерира нов? Въпросът е улисани във всекидневните работи да не забравим да го подновим преди да изтече. Имало и някакъв certbot?

Има ли други безплатни алтернативи на letsencrypt?




   Да,може да подписва цял "клон", т.е. в дадения пример всички
*.example.com ( www1.example.com ,  www2.example.com , ...)
   Трябва да провери за валидността, и разбира се,за потенциални
проблеми с контрагентите му от САЩ.


Титла: Re: ssl сертификат - как става
Публикувано от: makeme в Май 16, 2018, 13:10
Относно ICN, не им знам менютата, но принципа е следния.. Има общо три варианта, но първо трябва да кажем за какво служат:

 В днешно време въпросните сертификати служат за криптиране на трафика (връзка по https) и за доверие у хората/браузърите.

1. Самоподписан сертификат (този за, който питаш, ти да си направиш).
   Тук получаваш само половината от казаното горе (криптиране), но никой нормален браузър няма да ти уважи сертификата и ще започне да вади предупреждения! Съответно, хората се плашат и бягат :)

2. Безплатни сертификати.
   В днешно време има изобилие, но let's encript според мен е лидер. За да го ползваш обаче на споделен хостинг, трябва компанията да го поддържа (това е софтуер, който валидира и изкарва сертификати) и да си го заявяваш (има и друг начин, но ще ти трябват доста умения). Относно 90-те дни, да толкова е валиден, но софтуера (в зависимост от системата), го подновява автоматично. Съответно понеже всичко е автоматично и безплатно, няма проблеми за поддомейните (www е реално поддомейн).

3. Платени сертификати.
   Те са няколко вида, но общо взето се набляга на втората част от казаното по-горе (доверието). Когато сайта ти има закупен примерно comodo сертификат, вероятността браузъра да се нацупи е близка до нула, както и се създава по-голямо доверие у посетителите му. Ако пък имаш закупен EV сертификат, си личи, че не си кой да е :) . Стандартно вече всички платени легитимират www.

 Моят съвет е,  ако нямаш парички, да имаш поне let's encrypt (може и comodo free от cpanel). Разбира се трябва да провериш дали ICN го поддържат. Ако пък говориш за сайтче, което си е само за теб и ти трябва само криптиране на връзката, може и самоподписан.

Ако имаш още неяснотии питай :)

ПП: @Naka, няма ограничения. Софтуера може да валидира всичко що е валидно на уебсървъра: domain1.com, sub.domain1.com, www.sub.domain1.com, domain2.com, sub.domain2.com и тнт. Смисъл не само всички поддомейни, но и всички домейни на този сървър.

ПП2: Сега проверих и в ICN. cPanel-а си има меню let's encrypt.


Титла: Re: ssl сертификат - как става
Публикувано от: jet в Май 16, 2018, 14:43
За Let's Encrypt е само един шел скрипт. Сваляш го и го пускаш и той прави магията. Прави си и крон джоб да се самообновява обновява (90-те дена).


Титла: Re: ssl сертификат - как става
Публикувано от: makeme в Май 16, 2018, 14:49
За Let's Encrypt е само един шел скрипт. Сваляш го и го пускаш и той прави магията. Прави си и крон джоб да се самообновява обновява (90-те дена).
Това за споделен хостинг на cPanel работи ли?


Титла: Re: ssl сертификат - как става
Публикувано от: Naka в Май 16, 2018, 15:28
За Let's Encrypt е само един шел скрипт. Сваляш го и го пускаш и той прави магията.
това ли е certbot -а? или става въпрос за някой друг скрипт? Или за разни универсални скриптове?


Титла: Re: ssl сертификат - как става
Публикувано от: Ipolit в Май 16, 2018, 16:29
Благодаря на всички.
Това с certbot е готино. Сайтът се хоства при мен. Не е за нямане на пари, въпросът е да не се дават за нещо, за което не ми трябва. А за ICN стана въпрос, защото видях, че продават, но явно са сертификати за споделен хостинг при тях.
 


Титла: Re: ssl сертификат - как става
Публикувано от: jet в Май 16, 2018, 16:40
За cpanel това може да помогне:
https://blog.cpanel.com/announcing-cpanel-whms-official-lets-encrypt-with-autossl-plugin/
но нямам такъв достъп

https://certbot.eff.org/
Избираш ОС и уеб сървъра и следваш инструкциите.


Титла: Re: ssl сертификат - как става
Публикувано от: makeme в Май 17, 2018, 11:02
Благодаря на всички.
Не е за нямане на пари, въпросът е да не се дават за нещо, за което не ми трябва. А за ICN стана въпрос, защото видях, че продават, но явно са сертификати за споделен хостинг при тях.
Напълно те разбирам. За това и написах трите варианта горе, да си харесаш и прецениш дали има смисъл от заплащане. Относно хостинг доставчиците, стандартно се предлагат и безплатни, и платени сертификати.

@jet това е стандартния плъгин за аутоссл на цпанел, но това е ако си админ.

Врътката за клиент на споделен хостинг, на който не му предлагат интегрирано решение за безплатен сертификат е следната:
Насочва си временно домейна към тях, издава си сертификата, след което връща всичко и инсталира издадения сертификат през цпанел. Разбира се с тези 90 дни период е тегава работа.


Титла: Re: ssl сертификат - как става
Публикувано от: borislavov в Май 17, 2018, 13:44
Здравейте,
ако хоствайте сайта си и можете да подкарате някой от клиентите на Lets Encrypt описани тук: https://letsencrypt.org/docs/client-options/, със certbot бидейки най-разпространен ще е напълно достатъчно, за да получите сигурна връзка. Сертификата изтича на всеки 90 дни, но всеки от клиентите поддръжа подновяване и с cron можете да настроите това.
Ако търсите сертификат от сериозен издател и не Ви се занимава с допълнителна настройка и софтуер по сървърите тогава всеки сертификат продаван от хостинг компаниите ще свърши работа.

А споделения хостинг решава именно тези проблеми - с всеки един домейн получаваш безплатен SSL сертификат автоматично. И с един клик можеш да пренасочиш сайта ти към https.


Титла: Re: ssl сертификат - как става
Публикувано от: nslave в Май 17, 2018, 20:53
Както казаха преди мен, cPanel си поддържа AutoSSL функция, която се грижи да имаш постоянно обновен валиден (и безплатен) сертификат подписан от Comodo CA. Съмнението ми е, че хостинг компаниите няма да го пускат това безплатно, но ми звучи срещу по-скромна такса от стандартен сертификат, да е налично като услуга. Готиното в тази ситуация е, че не те вълнува колко subdomain-а имаш, покрива ги всичките.

Ако пък решиш да си купиш имаш опцията да си купиш за конкретен домейн, което ще покрие domain.tld и www.domain.tld. Ако искаш да ти покрива всичките subdomain-и, трябва да си купиш wildcard сертфикат, който покрвиа domain.com и *.domain.tld. За тези сертификати по спомен не мисля, че беше необходимо до попълваш каквато и да е информация. Тях ги вълнува кой domain ще покрива. От superhosting бях купувал и схемата е следната - заявяваш си покупка на сертификат, генерираш си request за подписване (това се случва изцяло в техният сайт, няма намесени терминали и вуду магии), ключово беше да имаш конкретен email на този domain, нещо от типа на admin, postmaster или нещо такова. На този email ти изпращат после верификационен ключ от Comodo (такива продават в superhosting), верифицираш кода в сайта на comodo и получаваш публичен и частен ключ както и bundle с веригите нагоре. Инсталираш и address бара вече е зелен :)


Титла: Re: ssl сертификат - как става
Публикувано от: Naka в Май 18, 2018, 10:52
За  Lets Encrypt изисква ли се регистрация в сайта им? Някакви данни трябва ли да им се попълват/дават или всичко се върши само от certbot -а?

Интерсно ми е и друго. Ако има сайт само http:// (например както е линукс-бг) дали хората се плашат от Not secure надписите или ги игнорират. Ама въпрос на време е от браузерите да почнат и да изкачат плашещи менюта. Като гледам всичко е тръгнало към https:// - и за нужни и за ненужни работи.


Титла: Re: ssl сертификат - как става
Публикувано от: makeme в Май 18, 2018, 10:58
За  Lets Encrypt изисква ли се регистрация в сайта им? Някакви данни трябва ли да им се попълват/дават или всичко се върши само от certbot -а?
certbot-a си върши всичко. Има няколко начина за валидация, но най-лесния е просто домейна да сочи към сървъра на който е certbot-a. Казваш му домейна, той си гледа вхоста и ти оправя всичко.


Титла: Re: ssl сертификат - как става
Публикувано от: Naka в Май 18, 2018, 11:02
За  Lets Encrypt изисква ли се регистрация в сайта им? Някакви данни трябва ли да им се попълват/дават или всичко се върши само от certbot -а?
certbot-a си върши всичко. Има няколко начина за валидация, но най-лесния е просто домейна да сочи към сървъра на който е certbot-a. Казваш му домейна, той си гледа вхоста и ти оправя всичко.

А трябва ли предварително да съм го пуснал сървера да отговаря на https://......, Щото засега е спряно. Май и порт имам затворен ::)


Титла: Re: ssl сертификат - как става
Публикувано от: makeme в Май 18, 2018, 11:34
За  Lets Encrypt изисква ли се регистрация в сайта им? Някакви данни трябва ли да им се попълват/дават или всичко се върши само от certbot -а?
certbot-a си върши всичко. Има няколко начина за валидация, но най-лесния е просто домейна да сочи към сървъра на който е certbot-a. Казваш му домейна, той си гледа вхоста и ти оправя всичко.

А трябва ли предварително да съм го пуснал сървера да отговаря на https://......, Щото засега е спряно. Май и порт имам затворен ::)
Порта трябва да ти е отворен, иначе няма да може да се валидира. За https, не разбрах какво питаш. Ако имаш предвид направен вхост със ssl on, мисля че си го създаваше бота.


Титла: Re: ssl сертификат - как става
Публикувано от: Naka в Май 18, 2018, 11:48
Мерси всичко се изясни. Сега остава да се захвана с тази работа......


Титла: Re: ssl сертификат - как става
Публикувано от: ieti в Май 22, 2018, 12:04
В wiki-то на ARCH има прекрасна статия за LetsEncrypt ($2).

При мен е конфигурирано с WEBROOT и един крон който подновява

/usr/bin/certbot renew --quiet --agree-tos > /dev/null 2>&1

Погледни тези страници:

https://github.com/cloudflare/sslconfig
https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/
https://www.ssllabs.com/ssltest/