«Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только

в 12:43, , рубрики: 1сloud, http, HTTPS, SSL, TLS, Администрирование доменных имен, Блог компании 1cloud.ru, хостинг, хранение данных, хранилища данных

Мы в 1cloud предоставляем услуги аренды виртуальной инфраструктуры и совсем недавно начали поставлять SSL-сертификаты от Сomodo, Geotrust, Rapidssl, Symantec и Thawte. Добавление такой возможности сподвигло нас к беглому анализу публикаций, которые затрагивали те или иные аспекты работы с SSL и выходили на Хабре за последние пару лет.

Мы обнаружили значительный объем переводных материалов и постов в корпоративных блогах, но и без руководств не обошлось. Именно на практической составляющей мы и решили сделать ставку в нашей подборке из полезных материалов.

«Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 1
/ фото Intel Free Press CC

SSL (сокр. от Secure Socket Layer — уровень защищенных сокетов) — это технология безопасных соединений, реализуемых за счет асимметричного шифрования для аутентификации ключей обмена. SSL-сертификат — это уникальный цифровой идентификатор веб-сайта. Он делает возможным установление HTTPS соединения между веб-сервером и интернет-браузером клиента, обеспечивая конфиденциальность передаваемой информации.

Подтверждать можно как отношение веб-сервера к домену, так и данные компании-владельца сайта. В зависимости от типа сертификата:

Domain Validation (DV). Данный вид сертификатов предусматривает, в первую очередь, шифрование сессии, а не аутентификацию веб-сайта. Он не содержит данных о компании и подтверждает только доменное имя, гарантируя пользователю достоверность используемого веб-ресурса. Сертификаты с валидацией по домену предлагают начальный уровень надежности, так как не требуют документальной идентификации от заказчика.

Organisation Validation (OV). Такие сертификаты являются подтверждением не только сайта, но и данных организации-владельца. Последние заверяются с помощью проверки официальных регистрационных документов компании-заказчика сертификата. Получение OV-сертификата возможно только юридическим лицом.

Extended Validation (EV). Этот тип сертификатов обеспечивает самый высокий уровень доверия и позволяет отобразить название организации-владельца сайта в адресной строке браузера пользователя («зеленая адресная строка»). Процесс получения такого сертификата занимает до 14 дней.

«Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 2

Для некоторых сертификатов предлагается финансовая гарантия (от 10 тысяч долларов). Она актуальна, в первую очередь, для посетителя сайта, на котором установлен сертификат. В случае, если посетитель такого сайта финансово пострадает от мошенничества, связанного с подменой сайта и утечкой конфиденциальных данных, то центр сертификации компенсирует убытки в пределах суммы гарантии.

SSL-сертификат можно купить напрямую у центра сертификации, но это не очень эффективно. Более выгодной является покупка SSL-сертификата у партнера, закупающего сертификаты оптом специальным ценам. При этом можно использовать и бесплатные SSL-сертификаты, но они больше подходят для тестирования и могут обладать низким уровнем доверия.

Информационно-развлекательное

Что веб-разработчикам следует знать об SSL «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 3

Первой поставили ссылку на пост из своего блога на Хабре. В нем мы привели краткий разбор часто встречающихся вопросов по использованию технологии SSL на основе заметок команды проекта CertSimple и других материалов по теме.

SSL/TLS: история уязвимостей «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 4

Презентация / семинар Владимира Лепихина (учебный центр «Информзащита») на конференции Positive Hack Days. Видео доклада можно посмотреть тут.

Что такое TLS «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 5

Переводной материал, позволит познакомиться TLS (Transport Layer Security), предшественником которого является SSL. Подготовлен на основе главы книги «High Performance Browser Networking» авторства Ильи Григорика.

BearSSL — реализация SSL/TLS на C «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 6

Обзор философии, возможностей, краткая документация и планы по развитию библиотеки Томаса Порнина, эксперта по криптографии.

УЦ из Китая по ошибке выдал пользователю SSL-сертификат для домена GitHub «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 7

Ошибку удостоверяющего центра WoSign обнаружил студент Университета Центральной Флориды. Именно для этого учреждения и был выдан дублирующий сертификат.

WoSign Free SSL — конец большой китайской халявы «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 8

Еще один материал о китайском УЦ и очередных изменениях условий предоставления бесплатных SSL-сертификатов.

Исправлена серьезная ошибка в настройках SSL в web-ролях Microsoft Azure «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 9

Дмитрий Мещеряков из департамента продуктов для разработчиков ABBYY прокомментировал распространенную ошибку, о которой он рассказывал ранее в блоге компании.

Центр сертификации Let's Encrypt выдал миллион бесплатных сертификатов «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 10

Анатолий Елизар, редактор ТМ, напоминает о достижениях и прогрессе Let's Encrypt, некоммерческого проекта Mozilla и EFF.

Let's Encrypt выходит в публичную бету «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 11

Еще один материал о сервисе Let's Encrypt, в котором даны краткие пояснения того, почему на этом этапе развития проекта было выбрано 90-дневное время жизни сертификатов.

SSL-сертификаты: всем, каждому, и пусть никто не уйдёт обиженным «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 12

И еще один материал о центре сертификации Let's Encrypt. Целью проекта является ускорение перехода всемирной паутины от HTTP к HTTPS.


Google прекращает поддержку SHA-1 сертификатов вслед за Mozilla и Microsoft «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 13

Новостная заметка от редакции ТМ, которая продолжает «держать руку на пульсе» в том числе и по теме TLS- и SSL-сертификатов.

Коллизия для SHA-1 за 100$ тыс «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 14

Предупреждение о возможных рисках, связанных с использованием сертификатов с SHA-1, и предполагаемом появлении услуги по поиску коллизий SHA1. Заметка на основе пресс-релиза экспертов из Нидерландов и Сингапура.

Безопасность SSL/TLS российского интернет-банкинга «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 15

Занимательное исследование защищенности подключений к онлайн-сервисам ТОП-50 российских банков (по активам) за авторством adinadinov. Помимо сравнительной таблички приведены основные выводы и практические рекомендации.

Бесплатные SSL-сертификаты — теперь на 3 года от WoSign «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 16

Краткая заметка по теме от REZ1DENT3, ну вы поняли.

Лучшая практика развертывания SSL/TLS (часть 1) «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 17

Базовая информация о том, как правильно развернуть SSL/TLS. Продолжение теории — во второй части материала.

Лучшая практика развертывания SSL/TLS (часть 2) «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 18

Продолжение рассказа об основных моментах, которые составляют процесс развертывания SSL/TLS.

Как и зачем мы делаем TLS в Яндексе «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 19

Интереснейший материал kyprizel о том, как Яндекс внедряет TLS: способы терминации, унификация компонентов, сертификаты, производительность, безопасность и другие нюансы.

Уязвимость DROWN в SSLv2 позволяет дешифровать TLS-трафик «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 20

Об уязвимости под названием DROWN, которая позволяет дешифровать TLS-трафик клиента, и вариантых защиты. Рассказывают эксперты Digital Security.

Прошлое и настоящее SSL-сертификатов «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 21

Базовый обзор по инфраструктуре открытых ключей (PKI) плюс немного об отзыве сертификатов, злоупотреблении доверием и перспективах использования SSL-сертификатов.


Практические руководства

Настройка HTTPS для вашего приложения на Azure App Service «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 22

Подробная пошаговая инструкция для тех, кто использует свое доменное имя. Подготовка, получение сертификата и советы по установке.

Генерация CSR-запроса в IIS 8 «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 23

В этой инструкции описана процедура генерации запроса на подпись сертификата на веб-сервере IIS 8 в Windows Server 2012 и заказа SSL-сертификата через панель управления 1cloud.

Установка SSL-сертификата на IIS 8 «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 24

Как установить полученные сертификаты .CRT (файл сертификата для вашего сайта) и .CA (файл сертификата Центра Сертификации) на сервер.

Установка SSL-сертификата на Apache (Linux) «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 25

Эта пошаговая инструкция поможет установить приобретенный SSL-сертификат на веб-сервер Apache под управлением Linux: Ubuntu, Debian или CentOS.

Генерация CSR-запроса на Linux/MacOS «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 26

Создание CSR-запроса с помощью сервиса генерации и OpenSSL вместе с заказом SSL-сертификата через панель управления 1cloud.

Установка SSL-сертификата на Nginx (Linux) «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 27

Данное пошаговое руководство поможет установить приобретенный SSL-сертификат на веб-сервер Nginx под управлением Linux: Ubuntu, Debian или CentOS.

Установка SSL-сертификата на 1С-Битрикс «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 28

Система 1С-Битрикс работает под управлением дистрибутива Linux CentOS (генерация CSR-запроса — раздел для CentOS). Инструкция для генерации запроса, заказа и установки SSL-сертификатов.

Установка SSL-сертификата на Nginx (Linux) «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 29

Данное пошаговое руководство поможет установить приобретенный SSL-сертификат на веб-сервер Nginx под управлением Linux: Ubuntu, Debian или CentOS.

Установка SSL-сертификатов на файловое хранилище D-Link DNS-320L «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 30

Решение проблемы подключения устройства как сетевого диска в Widnows.

Быстрая установка SSL сертификата от StartSSL в почтовом сервере iRedMail «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 31

Процесс замены SSL-сертификатов и скрипт, позволяющий автоматизировать все необходимые действия.


Рекомендации по обеспечению безопасности Windows Server 2008/2012 «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 32

Для обеспечения безопасности подключений по RDP в случае, когда соединение с сервером осуществляется не через VPN, рекомендуется использовать SSL/TLS-туннелирование соединения. Об этом и не только.

Защищенное TLS-соединение с использованием Boost.Asio и OpenSSL под Windows «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 33

Для сборки сервера и клиента под Windows с использованием Boost Asio и OpenSSL плюс организацией обмена информацией по защищенному TLS-каналу.

SSL/TLS-сертификаты для клиентов AWS «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 34

Вводная информация и краткая инструкция для тех, кто пользуется Amazon Web Services.

Настройка SSL для приложений на AWS «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 35

Пошаговое объяснение процесса получения SSL-сертификата.

Дружим virt-manager с удаленной системой поверх TLS «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 36

Пошаговая инструкция от saamich о том, что нужно для использования графического virt-manager'а для управления гипервизорами на удаленных серверах.

Настройка Nginx с Let's Encrypt на CentOS 7 «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 37

Руководство для Let's Encrypt, некоммерческого проекта Mozilla и EFF, рассказы о котором были приведены выше.

Инструкция по установке SSL-сертификата Let’s Encrypt на сервер с CMS Bitrix и Nginx «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 38

Подготовка, получение сертификата, настройка и обновление.

Настройка SSL-сертификата для проекта «Raise Your Flag» на Nginx «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 39

Практический пост одного из участников проекта по поиску вакансий. Сам проект размещен на DigitalOcean.

Источники по теме SSL-сертификатов от Palo Alto Networks «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 40

Типы сертификатов и практические руководства различного уровня сложности.


Как перевести сайт целиком на постоянный HTTPS для всех «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 41

Перевод руководства для серверов на базе Linux, на которых установлен Nginx.

Мигрируем на HTTPS «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 42

Еще один перевод от редакции ТМ, в котором описаны шаги, которые необходимо предпринять для перевода вашего сайта с HTTP на HTTPS.

Переходим на HTTPS на Nginx «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 43

О том, что сделал pistonsky, когда к нему пришел босс и заявил, что ему нужен HTTPS. Инструкция в 5 простых шагов.

Почему до сих пор повсеместно не используется HTTPS «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 44

Хороший вопрос и достойный ответ, перевод которого опубликовал thevar1able.

Повсеместный переход на HTTPS «Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 45

Почему это не нужно делать всем, и на что следует обратить внимание, если говорить о TLS.

Автор: 1cloud.ru

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js