«Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только
Мы в 1cloud предоставляем услуги аренды виртуальной инфраструктуры и совсем недавно начали поставлять SSL-сертификаты от Сomodo, Geotrust, Rapidssl, Symantec и Thawte. Добавление такой возможности сподвигло нас к беглому анализу публикаций, которые затрагивали те или иные аспекты работы с SSL и выходили на Хабре за последние пару лет.
Для некоторых сертификатов предлагается финансовая гарантия (от 10 тысяч долларов). Она актуальна, в первую очередь, для посетителя сайта, на котором установлен сертификат. В случае, если посетитель такого сайта финансово пострадает от мошенничества, связанного с подменой сайта и утечкой конфиденциальных данных, то центр сертификации компенсирует убытки в пределах суммы гарантии.
Мы обнаружили значительный объем переводных материалов и постов в корпоративных блогах, но и без руководств не обошлось. Именно на практической составляющей мы и решили сделать ставку в нашей подборке из полезных материалов.
/ фото Intel Free Press CC
SSL (сокр. от Secure Socket Layer — уровень защищенных сокетов) — это технология безопасных соединений, реализуемых за счет асимметричного шифрования для аутентификации ключей обмена. SSL-сертификат — это уникальный цифровой идентификатор веб-сайта. Он делает возможным установление HTTPS соединения между веб-сервером и интернет-браузером клиента, обеспечивая конфиденциальность передаваемой информации.
Подтверждать можно как отношение веб-сервера к домену, так и данные компании-владельца сайта. В зависимости от типа сертификата:
Domain Validation (DV). Данный вид сертификатов предусматривает, в первую очередь, шифрование сессии, а не аутентификацию веб-сайта. Он не содержит данных о компании и подтверждает только доменное имя, гарантируя пользователю достоверность используемого веб-ресурса. Сертификаты с валидацией по домену предлагают начальный уровень надежности, так как не требуют документальной идентификации от заказчика.
Organisation Validation (OV). Такие сертификаты являются подтверждением не только сайта, но и данных организации-владельца. Последние заверяются с помощью проверки официальных регистрационных документов компании-заказчика сертификата. Получение OV-сертификата возможно только юридическим лицом.
Extended Validation (EV). Этот тип сертификатов обеспечивает самый высокий уровень доверия и позволяет отобразить название организации-владельца сайта в адресной строке браузера пользователя («зеленая адресная строка»). Процесс получения такого сертификата занимает до 14 дней.
Для некоторых сертификатов предлагается финансовая гарантия (от 10 тысяч долларов). Она актуальна, в первую очередь, для посетителя сайта, на котором установлен сертификат. В случае, если посетитель такого сайта финансово пострадает от мошенничества, связанного с подменой сайта и утечкой конфиденциальных данных, то центр сертификации компенсирует убытки в пределах суммы гарантии.
SSL-сертификат можно купить напрямую у центра сертификации, но это не очень эффективно. Более выгодной является покупка SSL-сертификата у партнера, закупающего сертификаты оптом специальным ценам. При этом можно использовать и бесплатные SSL-сертификаты, но они больше подходят для тестирования и могут обладать низким уровнем доверия.
Информационно-развлекательное
Что веб-разработчикам следует знать об SSLПервой поставили ссылку на пост из своего блога на Хабре. В нем мы привели краткий разбор часто встречающихся вопросов по использованию технологии SSL на основе заметок команды проекта CertSimple и других материалов по теме.
SSL/TLS: история уязвимостейПрезентация / семинар Владимира Лепихина (учебный центр «Информзащита») на конференции Positive Hack Days. Видео доклада можно посмотреть тут.
Что такое TLSПереводной материал, позволит познакомиться TLS (Transport Layer Security), предшественником которого является SSL. Подготовлен на основе главы книги «High Performance Browser Networking» авторства Ильи Григорика.
BearSSL — реализация SSL/TLS на CОбзор философии, возможностей, краткая документация и планы по развитию библиотеки Томаса Порнина, эксперта по криптографии.
УЦ из Китая по ошибке выдал пользователю SSL-сертификат для домена GitHubОшибку удостоверяющего центра WoSign обнаружил студент Университета Центральной Флориды. Именно для этого учреждения и был выдан дублирующий сертификат.
WoSign Free SSL — конец большой китайской халявыЕще один материал о китайском УЦ и очередных изменениях условий предоставления бесплатных SSL-сертификатов.
Исправлена серьезная ошибка в настройках SSL в web-ролях Microsoft AzureДмитрий Мещеряков из департамента продуктов для разработчиков ABBYY прокомментировал распространенную ошибку, о которой он рассказывал ранее в блоге компании.
Центр сертификации Let’s Encrypt выдал миллион бесплатных сертификатовАнатолий Елизар, редактор ТМ, напоминает о достижениях и прогрессе Let’s Encrypt, некоммерческого проекта Mozilla и EFF.
Let’s Encrypt выходит в публичную бетуЕще один материал о сервисе Let’s Encrypt, в котором даны краткие пояснения того, почему на этом этапе развития проекта было выбрано 90-дневное время жизни сертификатов.
SSL-сертификаты: всем, каждому, и пусть никто не уйдёт обиженнымИ еще один материал о центре сертификации Let’s Encrypt. Целью проекта является ускорение перехода всемирной паутины от HTTP к HTTPS.
Google прекращает поддержку SHA-1 сертификатов вслед за Mozilla и MicrosoftНовостная заметка от редакции ТМ, которая продолжает «держать руку на пульсе» в том числе и по теме TLS- и SSL-сертификатов.
Коллизия для SHA-1 за 100$ тысПредупреждение о возможных рисках, связанных с использованием сертификатов с SHA-1, и предполагаемом появлении услуги по поиску коллизий SHA1. Заметка на основе пресс-релиза экспертов из Нидерландов и Сингапура.
Безопасность SSL/TLS российского интернет-банкингаЗанимательное исследование защищенности подключений к онлайн-сервисам ТОП-50 российских банков (по активам) за авторством adinadinov. Помимо сравнительной таблички приведены основные выводы и практические рекомендации.
Бесплатные SSL-сертификаты — теперь на 3 года от WoSignКраткая заметка по теме от REZ1DENT3, ну вы поняли.
Лучшая практика развертывания SSL/TLS (часть 1)Базовая информация о том, как правильно развернуть SSL/TLS. Продолжение теории — во второй части материала.
Лучшая практика развертывания SSL/TLS (часть 2)Продолжение рассказа об основных моментах, которые составляют процесс развертывания SSL/TLS.
Как и зачем мы делаем TLS в ЯндексеИнтереснейший материал kyprizel о том, как Яндекс внедряет TLS: способы терминации, унификация компонентов, сертификаты, производительность, безопасность и другие нюансы.
Уязвимость DROWN в SSLv2 позволяет дешифровать TLS-трафикОб уязвимости под названием DROWN, которая позволяет дешифровать TLS-трафик клиента, и вариантых защиты. Рассказывают эксперты Digital Security.
Прошлое и настоящее SSL-сертификатовБазовый обзор по инфраструктуре открытых ключей (PKI) плюс немного об отзыве сертификатов, злоупотреблении доверием и перспективах использования SSL-сертификатов.
Практические руководства
Настройка HTTPS для вашего приложения на Azure App ServiceПодробная пошаговая инструкция для тех, кто использует свое доменное имя. Подготовка, получение сертификата и советы по установке.
Генерация CSR-запроса в IIS 8В этой инструкции описана процедура генерации запроса на подпись сертификата на веб-сервере IIS 8 в Windows Server 2012 и заказа SSL-сертификата через панель управления 1cloud.
Установка SSL-сертификата на IIS 8Как установить полученные сертификаты .CRT (файл сертификата для вашего сайта) и .CA (файл сертификата Центра Сертификации) на сервер.
Установка SSL-сертификата на Apache (Linux)Эта пошаговая инструкция поможет установить приобретенный SSL-сертификат на веб-сервер Apache под управлением Linux: Ubuntu, Debian или CentOS.
Генерация CSR-запроса на Linux/MacOSСоздание CSR-запроса с помощью сервиса генерации и OpenSSL вместе с заказом SSL-сертификата через панель управления 1cloud.
Установка SSL-сертификата на Nginx (Linux)Данное пошаговое руководство поможет установить приобретенный SSL-сертификат на веб-сервер Nginx под управлением Linux: Ubuntu, Debian или CentOS.
Установка SSL-сертификата на 1С-БитриксСистема 1С-Битрикс работает под управлением дистрибутива Linux CentOS (генерация CSR-запроса — раздел для CentOS). Инструкция для генерации запроса, заказа и установки SSL-сертификатов.
Установка SSL-сертификата на Nginx (Linux)Данное пошаговое руководство поможет установить приобретенный SSL-сертификат на веб-сервер Nginx под управлением Linux: Ubuntu, Debian или CentOS.
Установка SSL-сертификатов на файловое хранилище D-Link DNS-320LРешение проблемы подключения устройства как сетевого диска в Widnows.
Быстрая установка SSL сертификата от StartSSL в почтовом сервере iRedMailПроцесс замены SSL-сертификатов и скрипт, позволяющий автоматизировать все необходимые действия.
Рекомендации по обеспечению безопасности Windows Server 2008/2012Для обеспечения безопасности подключений по RDP в случае, когда соединение с сервером осуществляется не через VPN, рекомендуется использовать SSL/TLS-туннелирование соединения. Об этом и не только.
Защищенное TLS-соединение с использованием Boost.Asio и OpenSSL под WindowsДля сборки сервера и клиента под Windows с использованием Boost Asio и OpenSSL плюс организацией обмена информацией по защищенному TLS-каналу.
SSL/TLS-сертификаты для клиентов AWSВводная информация и краткая инструкция для тех, кто пользуется Amazon Web Services.
Настройка SSL для приложений на AWSПошаговое объяснение процесса получения SSL-сертификата.
Дружим virt-manager с удаленной системой поверх TLSПошаговая инструкция от saamich о том, что нужно для использования графического virt-manager’а для управления гипервизорами на удаленных серверах.
Настройка Nginx с Let’s Encrypt на CentOS 7Руководство для Let’s Encrypt, некоммерческого проекта Mozilla и EFF, рассказы о котором были приведены выше.
Инструкция по установке SSL-сертификата Let«s Encrypt на сервер с CMS Bitrix и NginxПодготовка, получение сертификата, настройка и обновление.
Настройка SSL-сертификата для проекта «Raise Your Flag» на NginxПрактический пост одного из участников проекта по поиску вакансий. Сам проект размещен на DigitalOcean.
Источники по теме SSL-сертификатов от Palo Alto NetworksТипы сертификатов и практические руководства различного уровня сложности.
Как перевести сайт целиком на постоянный HTTPS для всехПеревод руководства для серверов на базе Linux, на которых установлен Nginx.
Мигрируем на HTTPSЕще один перевод от редакции ТМ, в котором описаны шаги, которые необходимо предпринять для перевода вашего сайта с HTTP на HTTPS.
Переходим на HTTPS на NginxО том, что сделал pistonsky, когда к нему пришел босс и заявил, что ему нужен HTTPS. Инструкция в 5 простых шагов.
Почему до сих пор повсеместно не используется HTTPSХороший вопрос и достойный ответ, перевод которого опубликовал thevar1able.
Повсеместный переход на HTTPSПочему это не нужно делать всем, и на что следует обратить внимание, если говорить о TLS.
Комментарии (1)
21 ноября 2016 в 15:50
+2↑
↓
Спасибо за топик! Добавил в закладки
