Для чого потрібні SSL-сертифікати та як отримати безкоштовно валідний сертифікат

Етичний хакінг та тестування на проникнення, інформаційна безпека

Увага, знайдений ще більш простий спосіб роботи з безкоштовними SSL-сертифікатами: є повністю автоматичне продовження, підключення сертифіката здійснюється в один клин. Для ознайомлення з цією можливістю рекомендується прочитати «Безкоштовні валідні SSL-сертифікати з автоматичним продовженням».

Давайте разом уявимо, що провід, яким ваша квартира підключена до Інтернету, — це прозора трубка. Вона йде від комп'ютера (або роутера) до маршрутизатора десь (наприклад) на даху будинку. Провід від маршрутизатора до інших мережних пристроїв провайдера – це також прозора трубка. Провід від інтернет-провайдера останньої милі до вищого провайдера - це ще одна прозора трубка, тільки, можливо, зроблена за іншою технологією (для підвищення пропускної спроможності). Інтернет-провайдер підключений іншим прозорим проводом до магістралі, яка є великою прозорою трубою.

Представили це безліч прозорих трубок, якими бігає туди-сюди інформація і цю інформацію може будь-хто переглядати і навіть модифікувати на льоту? Якщо вам вдалося це уявити, то вітаю вас – тепер ви бачите дійсний стан речей, адже саме це є реальність!

Нехай вас не плутає непрозорість реальних дротів. Будь-хто, хто має санкціонований або несанкціонований доступ «до проводів», може переглядати інформацію, що передається, зберігати її, модифікувати. Сюди відносяться насамперед інтернет-провайдери; державні органи, від яких інтернет-провайдери залежать на 100% (через механізм ліцензування та інші механізми) та кожну (навіть) негласну вказівкуяких виконують беззаперечно; а також хакери, які зламали ваш роутер або Wi-Fi точку доступу.

Ви думаєте це неможливо чи технічно складно? Нічого подібного — це просто двічі два.

Яку інформацію можна отримати із прозорих проводів? Взагалі всю:

Як можна модифікувати дані, що «бігають» туди сюди? Варіантів багато, все залежить від фантазії:

Як жити у прозорому будинку?

Для чого сайтам потрібні SSL-сертифікати?

Саме тому не можна сказати, що сертифікати пішли у маси. Скажу чесно, за гроші і я не ставив би сертифікат. Хоча сеошники мене, звичайно, поправили б, що Гугл заявив, що враховує (або враховуватиме) наявність у сайту шифрування і даватиме більший пріоритет тим, у кого воно є. Ще Mozilla нещодавно висловилися в тому дусі, що взагалі не підтримуватимуть протоколи без шифрування. Але, на мою думку, це всі «розмови на користь бідних».

Звісно, ​​можна використовувати самопідписаний сертифікат. Але браузери для відвідувачів будуть писати страшні попередження про неможливість перевірити справжність і, можливо, прямо зараз хтось краде їхні персональні дані. Простіше кажучи, самопідписані сертифікати не можна застосовувати для невизначеного кола осіб.

Інша справа, якщо ви хочете захистити розділи, до яких маєте доступ тільки ви (адмінку сайту), або якщо у вас маленька група людей, які турбуються про конфіденційність даних, що передаються на ваш сайт: ви всі можете додати сайт у винятки і користуватися всіма перевагами шифрування із самопідписаним сертифікатом.

Безкоштовні валідні SSL-сертифікати

А ось тепер ми підходимо до найцікавішого. Як я вже сказав валідні сертифікати коштують гроші. Але, як я сам для себе нещодавновідкрив, можна отримати пробні сертифікати. Залежно від фірми, вони можуть бути на різні терміни (мені траплялися на 1 та 3 місяці). Зважаючи на все, є можливість зробити автоподовження необмежену кількість разів.

Враховуючи, що все абсолютно безкоштовно, це дуже хороша можливість безкоштовно протестувати і зрозуміти, чи потрібно це особисто вам чи ні.

Я дізнався про цю можливість лише вчора — одразу протестував підключення одного сайту. Оскільки все пройшло чудово, я хотів би поділитися своїм алгоритмом.

Мій хостинг – це компанія Хостленд. Як і багато інших, вони продають сертифікати. Щоправда, про пробні (безкоштовні) сертифікати вони не мають жодних згадок. Нещодавно у них з'явилася нова БЕЗКОШТОВНА послуга — встановлення сертифікатів, які ви придбали в іншому місці. Все робиться в графічному інтерейсі і починає працювати за кілька хвилин.

Натомість про пробні сертифікати є хостинг-компанія Айхор. Там подобаються ціни на VPS, але сайти там я не тримаю. Причому отримати безкоштовний валідний сертифікат можна без покупки хостингу і взагалі без покупки будь-яких послуг. Але зареєструватися таки треба.

Процес отримання безкоштовного SSL-сертифіката

У панелі керування Айхор перейдіть на вкладку "SSL сертифікати":

ssl-сертифікати

Натисніть "Замовити" і знайдіть там "Айхор Хостинг - Comodo Trial SSL":

безкоштовно

На наступній вкладці виберіть «Генерація CSR та Private key» та заповніть необхідні дані:

ssl-сертифікати

У наступному вікні ви побачите закритий ключ - збережіть його в текстовий файл - він знадобиться.

Введіть контактні дані:

безкоштовно

Далі інформація про організацію. Оскільки реальної організації я не маю, то дані повністювигадані:

потрібні

А ось наступне вікно викликало у мене конфуз і затримало мене при отриманні сертифікату.

ssl-сертифікати

Оскільки послуга безкоштовна, я вибрав автоматичне продовження:

безкоштовно

Тепер просто чекаємо листів на пошту:

Поки чекаємо, можна переглянути список послуг і переконатися, що це коштує 0 рублів:

Нам прийде листа. У ньому потрібно перейти за посиланням та ввести секретний код, який міститься в цьому ж листі.

Після цього надійдуть ще два листи. У першому нам пропонують розмістити значок (друк), мовляв, з'єднання до сайту зашифроване. У другому архів із двома файлами. Саме він цікавий.

Налаштування SSL-сертифіката на віртуальному хостингу

Якщо у вас VPS, то, як і з приводу решти обслуговування системи/сервера, вам потрібно подбати самому.

Якщо у вас віртуальний хостинг, то тут уже залежить від хостера — чи має він таку послугу. Хостленд, де і розміщені всі мої сайти, вона є. До того ж в автоматичному режимі можна підключити сторонні сертифікати.

Для цього переходимо вПанель управління, у вкладку SSL, далі вибираємо підвкладку Завантаження власного SSL. Бачимо чотири вікна:

чого

У перше вікно ми вводимо закритий (секретний) ключ, згенерований на сайті Айхор. У друге вікно вводимо сертифікат (у мене це файл hackware_ua.crt ). У полі "Проміжний сертифікат " вводимо вміст файлу з розширенням.ca-bundle. А в останнє, в четверте поле («Корневий сертифікат ») нічого не вводимо, тобто. залишаємо його порожнім. Якщо вам надіслали чотири файли, то в полі «Проміжний сертифікат » вводимо послідовно вміст файлівCOMODORSADomainValidationSecureServerCA.crt таCOMODORSAAddTrustCA.crt.

Знову трохи чекаємо, коли заявка обробиться:

Незабаром напис зміниться на таку:

Це означає, що ніби все готове, але насправді потрібно ще трохи почекати (кілька хвилин).

Налаштування WordPress для роботи з SSL-сертифікатом

Взагалі, розумні браузери самі завантажуватиму HTTPS версію. Але залишається можливість примусового зниження до HTTP. Будь-які cURL взагалі ні за жодні HTTPS нічого не знають. Ми можемо повністю заборонити HTTP та встановити примусове завантаження лише через HTTPS. Для цього переходимо до файлів сайту та відкриваємо файл.htaccess. Туди ми додаємо такі рядки:

Цими рядками ми примусово переводимо всі HTTP з'єднання на HTTPS.

Як завжди, для WordPress є готовий плагін, який все зробить за вас сам. Я просто впевнений, що таких плагінів багато, для себе я вибрав SSL Insecure Content Fixer (просто він був першим, який я спробував і одразу заробив як треба).

потрібні

отримати