Бесплатный SSL-сертификат на 3 года

Бесплатный SSL-сертификат на 3 года

Год назад я перевёл на HTTPS свой WordPress-блог, воспользовавшись возможностью получения SSL-сертификата от StartSSL, компании, одной из первых предложившей владельцам сайтов бесплатные сертификаты.

Получение и установка сертификата StartSSL было тем ещё квестом, который невозможно было бы пройти без дополнительных источников информации с инструкциями. По этой причине я с неохотой ждал окончания годового периода действия сертификата.

Внимание:
В октябре 2016 года компания Mozilla (разработчик браузера Firefox) опубликовала результаты расследования, которое свидетельствует о многочисленных нарушениях и уязвимостях бесплатных сертификатов от WoSign и StartSSL (которые оказались одним лицом), в связи с чем компанией Mozilla принято решение считать выданные позднее середины октября 2016 года сертификаты от обоих брендов небезопасными. Позже к этому решению присоединился Google для своего продукта Chrome. Apple также перестала доверять сертификатам на своих устройствах.

Обновлено в марте 2017: с версии 57 Google Chrome перестал доверять и тем сертификатам, что были выданы до октября 2016 года, в том числе и мой был помечен недействительным. Перешёл на Let’s Encrypt за несколько минут с помощью плагина WP Encrypt. Похоже, среди бесплатных решений конкурентов у LE не осталось.

Сертификат умер. Да здравствует новый сертификат!

На днях пришло письмо о том, что к 17 сентября срок действия моего первого сертификата истечёт, поэтому пришлось снова лезть в дебри сайта StartSSL. Мало того, что дизайн изменился, почему-то сбросились все валидации, пришлось снова устанавливать авторизационный сертификат в браузер, и так далее.

Намучившись, решил поискать альтернативу и наткнулся где-то на Хабре на информацию о том, что китайская компания WoSign с каких-то пор начала выдавать бесплатные SSL-сертификаты сроком аж на три года. Перешёл по ссылке и буквально за пятнадцать-двадцать минут обновил сертификат на домен Budaev.org, добавив к нему один поддомен и Master2u.ru.

Можно было подключить и больше. Бесплатный сертификат от WoSign позволяет подписать до 20 доменов, что для обычного вебмастера вполне себе замена платного сертификата с WildCard (на неограниченное количество доменов). Конечно, существуют кой-какие технические ограничения типа отсутствия поддержки старых версий IE или такого же старого встроенного браузера Android, да и сертификат выдаётся только базового, первого класса, но для простого сайта или блога это несущественно.

Как получить бесплатный трёхлетний SSL-сертификат WoSign?

Для начала нужно перейти на сайт WoSign, в разделе «Request a Free SSL Certificate» вписать домены (по одному в строчке, до двадцати штук), указать Email, придумать пароль и заполнить капчу.

WoSign запрос SSL-сертификата

После этого следует пройти процедуру валидации почты и доменов (для этого не забудьте завести на них «стандартные» почтовые ящики типа webmaster@example.com), получить и ввести коды подтверждения.

Дальше, если всё в порядке, вам будет предложено создать сертификат. Для пущего упрощения процесса в появившемся диалоговом меню нужно выбрать верхний пункт «Generate CSR by the System», ввести сложный пароль от 12 до 16 символов со строчными и прописными буквами и цифрами, затем нажать кнопку Submit.

WoSign запрос создания сертификата

Готово. Через час-другой придёт письмо со ссылкой на страницу скачивания файлов сертификата одним архивом, в котором будут ключи и сертификаты для выбранных доменов. Архив защищён тем же сложным паролем, что вы ввели ранее, так что запомните или запишите его.

В полученном архиве нас интересует подпапка с названием нужного сервера — в моём случае это «for Apache». Заранее разархивируйте её и приготовьтесь к установке на сервер.

Как установить SSL-сертификат на сервер Apache с хостинг-панелью cPanel?

У меня на клёвом хостинге Fozzy сервер вообще-то не Apache, а «сверхбыстрый» LiteSpeed, но не суть важно. Установка через cPanel аналогичная.

  1. В главном меню cPanel нужно выбрать пункт «SSL/TLS», перейти по ссылке «Создать, просмотреть, отправить или удалить закрытые ключи», найти кнопку «Выберите файл .key», залить из заранее разархивированной папки с файлами сертификата для Apache файл с расширением .key. Ключ установится и появится в списке установленных ключей.
  2. Снова перейти в меню «SSL/TLS» и кликнуть по ссылке «Создать, просмотреть, отправить или удалить сертификаты SSL». Аналогично установке ключа заливается и устанавливается сертификат из файла с расширением .crt. Если всё прошло успешно, информация об установленных на сервере сертификатах вверху страницы обновится.
  3. Опять перейти в верхнее меню и выбрать там ссылку «Управление сайтами с SSL», затем в выпадающем меню выбрать домен, для которого устанавливается сертификат, нажать появившуюся кнопку «Автозаполнение доменом» (автоматически должны появиться данные во всех окошках для заполнения), и кнопку «Установить сертификат».

Не забудьте повторить операцию для каждого домена и поддомена, к которым был выписан сертификат. На этом всё, можно тестировать свой HTTPS-сайт, приступать к настройке файлов .htaccess, устанавливать плагины для облегчения переадресации и так далее. А потом забыть об SSL-сертификатах на целых три года. По-моему, отлично.

P.S. Для тех, кто не понимает, зачем нужен переход на HTTPS:

Официально: с 1 января 2017 года браузер Google Chrome начнёт маркировать HTTP-сайты как небезопасные. В общем, не захочешь перейти на HTTPS — заставят.

Бесплатный SSL-сертификат на 3 года: 10 комментариев

    1. WoSign и StartSSL одна и та же компания . Они порядно накосячили выдавая сертификаты на все домены, при проверке лишь одного. Не советую использовать ни Восинг не StartSSL. Это плохая практика. Долой мерзацев из ROOT CA браузеров! Есть лучшая альтернатива Let’s Encrypt https://letsencrypt.org/

      PS:»P-P-P-Party at the NSA,
      Twenty, twenty, twenty-four hours a day!»

      1. Да, вы правы, сейчас почитал о недавнем расследовании и о том, что сертификаты от WoSign и StartSSL оскандалились и скоро перестанут считаться безопасными в Firefox и Google Chrome. Поторопился я радоваться удобству установки и бесплатному трёхлетнему периоду!

    1. Нашёл на вашем сайте только цены в белорусских рублях и вообще, ваши услуги, судя по всему, ориентированы только на внутренний рынок. Комментарий оставили ради неиндексируемой ссылки? И почему продаёте сертификаты от COMODO, а сайт работает на бесплатном Let’s Encrypt?

  1. ну вот — на дворе 14 февраля 2017 года и google chrome ничего плохого не говорит про мои сайты без ssl … Хватит наводить панику ! :)

    1. Про ваши сайты может (пока) и не говорит. А про некоторые другие (и их наверняка очень много) — говорит.

      Вы не прочитали текст по ссылке-пруфу того, что Хром будет помечать «незащищёнными» сайты без HTTPS? Там написано буквально:

      We’ll mark HTTP pages that collect passwords or credit cards as non-secure, as part of a long-term plan to mark all HTTP sites as non-secure.

      «Мы начнём помечать HTTP-страницы, которые собирают пароли или данные банковских карт как небезопасные, и это станет этапом долгосрочных планов помечать ВСЕ HTTP САЙТЫ как небезопасные».

  2. Подскажите, существует ли сейчас возможность бесплатного получения сертификата для сайт?

Добавить комментарий