Сертификат SSL

[inokentik 45]

А кто-нибудь делал себе сертификат для протокола https на этом сайте https://startssl.com/ ?? Получилось ли все довести до логического конца? А то не совсем понятно что там да как делать... 

[inokentik 45]

Всем спасибо! Разобрался, сделал и установил себе сертификат, халявный, на целых 3 года))))

[holistic 24]

3 часа назад, inokentik сказал:

Всем спасибо! Разобрался, сделал и установил себе сертификат, халявный, на целых 3 года))))

представляю, какого он качества... ))

[inokentik 45]

1 час назад, holistic сказал:

представляю, какого он качества... ))

Отличного качества между прочим, я ранее на этом сайте делал себе, так уже около года сайты другие живут и все отлично

[SKYNET74 315]

2 часа назад, inokentik сказал:

Отличного качества между прочим, я ранее на этом сайте делал себе, так уже около года сайты другие живут и все отлично

Как качество измеряли? Методом тыка?

[Captain 623]

7 часов назад, SKYNET74 сказал:

Как качество измеряли? Методом тыка?

Походу, да!

[holistic 24]

22 часа назад, inokentik сказал:

Отличного качества между прочим, я ранее на этом сайте делал себе, так уже около года сайты другие живут и все отлично

живут... всё отлично... вау...

и в какой же рейтинг (зону) попадает ваш сайт, а ну-ка:
https://globalsign.ssllabs.com/analyze.html
?

[odys 384]

2 часа назад, holistic сказал:

живут... всё отлично... вау...

и в какой же рейтинг (зону) попадает ваш сайт, а ну-ка:
https://globalsign.ssllabs.com/analyze.html
?

Overall Rating A

и что это значит?

[holistic 24]

19 часов назад, odys сказал:

и что это значит?

Нужно получить зону A+.

SSL-сертификат - это еще не всё, чтобы быть в безопасной зоне.

Еще нужно дополнительно настроить сервер и его заголовки при этом, и прочее: OCSP stapling, HSTS, HPKP...

 

Здесь Security Report, также нужно получить инфо о том, что нужно корректить:
https://securityheaders.io

Какие Headers выдает ваш сервер с сертификатом.

Должна быть получена A-зона (зеленая).

Headers (должны быть включены на сервере - зелеными станут):    
Strict-Transport-Security
Public-Key-Pins
X-Frame-Options
X-Content-Type-Options
X-XSS-Protection

Изменено 5 декабря 2016 пользователем holistic

[inokentik 45]

В 03.12.2016 в 22:13, SKYNET74 сказал:

Как качество измеряли? Методом тыка?

Ну и на что это все рейтинги влияют? На безопасность? Я на сайте не использую сторонние данные, у меня авторизация лишь через регистрацию на сайте.. Никаких денежных транзакций нет и тд и тп... На что он вообще влияет то тогда?)

Изменено 5 декабря 2016 пользователем inokentik

[inokentik 45]

4 часа назад, holistic сказал:

Нужно получить зону A+.

SSL-сертификат - это еще не всё, чтобы быть в безопасной зоне.

Вот для меня как для рядового пользователя, какая разница какой рейтинг сертификата? Какую роль влияет? Я же заходя на многие сайты даже не думаю, есть ли там сертификат или нет... В чем суть тогда сертификатов вообще, если сайт не связан ни с какими данными из вне и тд?!

[DeeMon 73]

14 часа назад, inokentik сказал:

В чем суть тогда сертификатов вообще, если сайт не связан ни с какими данными из вне и тд?

По сути новая фишка для выманивания бабла. Сайты без сертификатов почти всеми поисковыми системами будут опускать вниз. А так да, не всем эти сертификаты нужны.

[webair 178]

Использую Let's Encrypt, очень доволен. Настроена автоматическая пролонгация на своем сервере.

Либо, можно использовать хостеров типа Timeweb, где тоже выпуск сертификата автоматизирована и автоматическое продление.

 

Ничем не отличается от платных. Не поддерживается лишь на XP SP2 и ниже, на сколько я помню. И нет выплаты компенсации, как у платных SSL сертификатов, в случае если ваш сайт взломают из-за уязвимости сертификата (поверьте, этого с вами не случится)

Изменено 6 декабря 2016 пользователем webair

[Kolbaser 33]

Никто случайно не знает, вот заставляют перейти на протокол https вместо http, а rtmp:// это касается? Т.е. если я переведу сайт на https, смогу ли без проблем с зелёным замочком транслировать видео по rtmp:// или его тоже нужно переводить на rtmps?

 

Недавно добавил на сайт пару новостей, где транслируется видео по rtmp и теперь не знаю что делать, сам думаю, что этот незащищённый протокол будет выдавать ошибку сертификата самого сайта, но блин, я столько с ним мучался, что жалко удалять. Оставить в начале ссылки просто // не помогает.

 

Интересный тест про разницу в скорости загрузки https и http - http://www.httpvshttps.com

Изменено 6 декабря 2016 пользователем Kolbaser

[holistic 24]

В 06.12.2016 в 14:52, webair сказал:

Настроена автоматическая пролонгация на своем сервере.

Как вы настроили это?

[webair 178]

15 часов назад, holistic сказал:

Как вы настроили это?

Вариантов полно, выбирайте удобный для вас.

У меня VestaCP, использую вот это

Изменено 9 декабря 2016 пользователем webair

[Kolbaser 33]

После переезда на https, если у вас подключена авторизация через соц. сети, зайдите в настройки приложений в соц. сетях и укажите там свой домен уже с https вместо http.

[webair 178]

Те, кто уже давно перешел, не парятся. А те, кто еще нет, кусайте локти

https://habrahabr.ru/post/319084/

[draxxx 2]

В 13.01.2017 в 12:32, webair сказал:

Те, кто уже давно перешел, не парятся. А те, кто еще нет, кусайте локти

https://habrahabr.ru/post/319084/

Релиз 56 версии хрома по идее должен был быть ещё в начале января... а его до сих пор нету

[draxxx 2]

В 09.12.2016 в 09:40, webair сказал:

Вариантов полно, выбирайте удобный для вас.

У меня VestaCP, использую вот это

И как сайты ведут себя в хром 56 ? Бесплатный серф от startssl почему то в 56 версии уже не работает, хотя в 55 всё было с зелёной строкой...

[draxxx 2]

Аа, извините, прочитал, что startssl больше не соответствует требованиям безопасности и его заблокировали...

[webair 178]

1 час назад, draxxx сказал:

Аа, извините, прочитал, что startssl больше не соответствует требованиям безопасности и его заблокировали...

Я же про Let's Encrypt, а не StartSSL.

Google является спонсором Let's Encrypt, так что работает сертификат нормально, как и платные аналоги.

[Datagor 31]

On 05.12.2016 at 7:42 PM, holistic said:

Headers (должны быть включены на сервере - зелеными станут):    
Strict-Transport-Security
Public-Key-Pins
X-Frame-Options
X-Content-Type-Options
X-XSS-Protection

Извините за глупый вопрос... Где именно это настраивается?

У меня CentOS, все конфиги доступны.

[SKYNET74 315]

В 31.01.2017 в 09:44, Datagor сказал:

Извините за глупый вопрос... Где именно это настраивается?

У меня CentOS, все конфиги доступны.

В вашем вебсервере, а что там у вас стоит и как настроено, вам должно быть виднее.
Заголовки можно отправлять и из кода, если конечно CMS это умеет и поддерживает.

[holistic 24]

В 31.01.2017 в 06:44, Datagor сказал:

Извините за глупый вопрос... Где именно это настраивается?

У меня CentOS, все конфиги доступны.

Это настраивается для Nginx (по крайней мере у меня так работает) в настроечном файле (*.conf) для конкретного домена.

##### ЭТА ЧАСТЬ server только для: HTTPS-протокола сайта
server {
server_name site.ru www.site.ru;
    
add_header Strict-Transport-Security "max-age=31536000" always;
add_header Public-Key-Pins 'pin-sha256="СВОИ РАСЧЕТНЫЕ ДАННЫЕ"; pin-sha256="СВОИ РАСЧЕТНЫЕ ДАННЫЕ"; max-age=31536000' always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-XSS-Protection "1; mode=block" always;    
}

 

Изменено 6 февраля 2017 пользователем holistic