Мы в 1cloud предоставляем услуги аренды виртуальной инфраструктуры и совсем недавно начали поставлять SSL-сертификаты от Сomodo, Geotrust, Rapidssl, Symantec и Thawte. Добавление такой возможности сподвигло нас к беглому анализу публикаций, которые затрагивали те или иные аспекты работы с SSL и выходили на Хабре за последние пару лет.
Мы обнаружили значительный объем переводных материалов и постов в корпоративных блогах, но и без руководств не обошлось. Именно на практической составляющей мы и решили сделать ставку в нашей подборке из полезных материалов.
/ фото Intel Free Press CC
SSL (сокр. от Secure Socket Layer — уровень защищенных сокетов) — это технология безопасных соединений, реализуемых за счет асимметричного шифрования для аутентификации ключей обмена. SSL-сертификат — это уникальный цифровой идентификатор веб-сайта. Он делает возможным установление HTTPS соединения между веб-сервером и интернет-браузером клиента, обеспечивая конфиденциальность передаваемой информации.
Подтверждать можно как отношение веб-сервера к домену, так и данные компании-владельца сайта. В зависимости от типа сертификата:
Domain Validation (DV). Данный вид сертификатов предусматривает, в первую очередь, шифрование сессии, а не аутентификацию веб-сайта. Он не содержит данных о компании и подтверждает только доменное имя, гарантируя пользователю достоверность используемого веб-ресурса. Сертификаты с валидацией по домену предлагают начальный уровень надежности, так как не требуют документальной идентификации от заказчика.
Organisation Validation (OV). Такие сертификаты являются подтверждением не только сайта, но и данных организации-владельца. Последние заверяются с помощью проверки официальных регистрационных документов компании-заказчика сертификата. Получение OV-сертификата возможно только юридическим лицом.
Extended Validation (EV). Этот тип сертификатов обеспечивает самый высокий уровень доверия и позволяет отобразить название организации-владельца сайта в адресной строке браузера пользователя («зеленая адресная строка»). Процесс получения такого сертификата занимает до 14 дней.
Для некоторых сертификатов предлагается финансовая гарантия (от 10 тысяч долларов). Она актуальна, в первую очередь, для посетителя сайта, на котором установлен сертификат. В случае, если посетитель такого сайта финансово пострадает от мошенничества, связанного с подменой сайта и утечкой конфиденциальных данных, то центр сертификации компенсирует убытки в пределах суммы гарантии.
SSL-сертификат можно купить напрямую у центра сертификации, но это не очень эффективно. Более выгодной является покупка SSL-сертификата у партнера, закупающего сертификаты оптом специальным ценам. При этом можно использовать и бесплатные SSL-сертификаты, но они больше подходят для тестирования и могут обладать низким уровнем доверия.
Информационно-развлекательное
Первой поставили ссылку на пост из своего блога на Хабре. В нем мы привели краткий разбор часто встречающихся вопросов по использованию технологии SSL на основе заметок команды проекта CertSimple и других материалов по теме.
Презентация / семинар Владимира Лепихина (учебный центр «Информзащита») на конференции Positive Hack Days. Видео доклада можно посмотреть тут.
Переводной материал, позволит познакомиться TLS (Transport Layer Security), предшественником которого является SSL. Подготовлен на основе главы книги «High Performance Browser Networking» авторства Ильи Григорика.
Обзор философии, возможностей, краткая документация и планы по развитию библиотеки Томаса Порнина, эксперта по криптографии.
УЦ из Китая по ошибке выдал пользователю SSL-сертификат для домена GitHub
Ошибку удостоверяющего центра WoSign обнаружил студент Университета Центральной Флориды. Именно для этого учреждения и был выдан дублирующий сертификат.
Еще один материал о китайском УЦ и очередных изменениях условий предоставления бесплатных SSL-сертификатов.
Исправлена серьезная ошибка в настройках SSL в web-ролях Microsoft Azure
Дмитрий Мещеряков из департамента продуктов для разработчиков ABBYY прокомментировал распространенную ошибку, о которой он рассказывал ранее в блоге компании.
Центр сертификации Let's Encrypt выдал миллион бесплатных сертификатов
Анатолий Елизар, редактор ТМ, напоминает о достижениях и прогрессе Let's Encrypt, некоммерческого проекта Mozilla и EFF.
Еще один материал о сервисе Let's Encrypt, в котором даны краткие пояснения того, почему на этом этапе развития проекта было выбрано 90-дневное время жизни сертификатов.
SSL-сертификаты: всем, каждому, и пусть никто не уйдёт обиженным
И еще один материал о центре сертификации Let's Encrypt. Целью проекта является ускорение перехода всемирной паутины от HTTP к HTTPS.
Google прекращает поддержку SHA-1 сертификатов вслед за Mozilla и Microsoft
Новостная заметка от редакции ТМ, которая продолжает «держать руку на пульсе» в том числе и по теме TLS- и SSL-сертификатов.
Предупреждение о возможных рисках, связанных с использованием сертификатов с SHA-1, и предполагаемом появлении услуги по поиску коллизий SHA1. Заметка на основе пресс-релиза экспертов из Нидерландов и Сингапура.
Занимательное исследование защищенности подключений к онлайн-сервисам ТОП-50 российских банков (по активам) за авторством adinadinov. Помимо сравнительной таблички приведены основные выводы и практические рекомендации.
Краткая заметка по теме от REZ1DENT3, ну вы поняли.
Базовая информация о том, как правильно развернуть SSL/TLS. Продолжение теории — во второй части материала.
Продолжение рассказа об основных моментах, которые составляют процесс развертывания SSL/TLS.
Интереснейший материал kyprizel о том, как Яндекс внедряет TLS: способы терминации, унификация компонентов, сертификаты, производительность, безопасность и другие нюансы.
Об уязвимости под названием DROWN, которая позволяет дешифровать TLS-трафик клиента, и вариантых защиты. Рассказывают эксперты Digital Security.
Базовый обзор по инфраструктуре открытых ключей (PKI) плюс немного об отзыве сертификатов, злоупотреблении доверием и перспективах использования SSL-сертификатов.
Практические руководства
Подробная пошаговая инструкция для тех, кто использует свое доменное имя. Подготовка, получение сертификата и советы по установке.
В этой инструкции описана процедура генерации запроса на подпись сертификата на веб-сервере IIS 8 в Windows Server 2012 и заказа SSL-сертификата через панель управления 1cloud.
Как установить полученные сертификаты .CRT (файл сертификата для вашего сайта) и .CA (файл сертификата Центра Сертификации) на сервер.
Эта пошаговая инструкция поможет установить приобретенный SSL-сертификат на веб-сервер Apache под управлением Linux: Ubuntu, Debian или CentOS.
Создание CSR-запроса с помощью сервиса генерации и OpenSSL вместе с заказом SSL-сертификата через панель управления 1cloud.
Данное пошаговое руководство поможет установить приобретенный SSL-сертификат на веб-сервер Nginx под управлением Linux: Ubuntu, Debian или CentOS.
Система 1С-Битрикс работает под управлением дистрибутива Linux CentOS (генерация CSR-запроса — раздел для CentOS). Инструкция для генерации запроса, заказа и установки SSL-сертификатов.
Данное пошаговое руководство поможет установить приобретенный SSL-сертификат на веб-сервер Nginx под управлением Linux: Ubuntu, Debian или CentOS.
Установка SSL-сертификатов на файловое хранилище D-Link DNS-320L
Решение проблемы подключения устройства как сетевого диска в Widnows.
Быстрая установка SSL сертификата от StartSSL в почтовом сервере iRedMail
Процесс замены SSL-сертификатов и скрипт, позволяющий автоматизировать все необходимые действия.
Рекомендации по обеспечению безопасности Windows Server 2008/2012
Для обеспечения безопасности подключений по RDP в случае, когда соединение с сервером осуществляется не через VPN, рекомендуется использовать SSL/TLS-туннелирование соединения. Об этом и не только.
Защищенное TLS-соединение с использованием Boost.Asio и OpenSSL под Windows
Для сборки сервера и клиента под Windows с использованием Boost Asio и OpenSSL плюс организацией обмена информацией по защищенному TLS-каналу.
Вводная информация и краткая инструкция для тех, кто пользуется Amazon Web Services.
Пошаговое объяснение процесса получения SSL-сертификата.
Пошаговая инструкция от saamich о том, что нужно для использования графического virt-manager'а для управления гипервизорами на удаленных серверах.
Руководство для Let's Encrypt, некоммерческого проекта Mozilla и EFF, рассказы о котором были приведены выше.
Инструкция по установке SSL-сертификата Let’s Encrypt на сервер с CMS Bitrix и Nginx
Подготовка, получение сертификата, настройка и обновление.
Настройка SSL-сертификата для проекта «Raise Your Flag» на Nginx
Практический пост одного из участников проекта по поиску вакансий. Сам проект размещен на DigitalOcean.
Типы сертификатов и практические руководства различного уровня сложности.
Перевод руководства для серверов на базе Linux, на которых установлен Nginx.
Еще один перевод от редакции ТМ, в котором описаны шаги, которые необходимо предпринять для перевода вашего сайта с HTTP на HTTPS.
О том, что сделал pistonsky, когда к нему пришел босс и заявил, что ему нужен HTTPS. Инструкция в 5 простых шагов.
Хороший вопрос и достойный ответ, перевод которого опубликовал thevar1able.
Почему это не нужно делать всем, и на что следует обратить внимание, если говорить о TLS.
Автор: 1cloud.ru