- PVSM.RU - https://www.pvsm.ru -
Мы в 1cloud [1] предоставляем услуги аренды виртуальной инфраструктуры и совсем недавно начали поставлять SSL-сертификаты от Сomodo, Geotrust, Rapidssl, Symantec и Thawte. Добавление такой возможности [2] сподвигло нас к беглому анализу публикаций, которые затрагивали те или иные аспекты работы с SSL и выходили на Хабре за последние пару лет.
Мы обнаружили значительный объем переводных материалов и постов в корпоративных блогах, но и без руководств не обошлось. Именно на практической составляющей мы и решили сделать ставку в нашей подборке из полезных материалов.
[3]
/ фото Intel Free Press [4] CC [5]
SSL (сокр. от Secure Socket Layer — уровень защищенных сокетов) — это технология безопасных соединений, реализуемых за счет асимметричного шифрования для аутентификации ключей обмена. SSL-сертификат — это уникальный цифровой идентификатор веб-сайта. Он делает возможным установление HTTPS соединения между веб-сервером и интернет-браузером клиента, обеспечивая конфиденциальность передаваемой информации.
Подтверждать можно как отношение веб-сервера к домену, так и данные компании-владельца сайта. В зависимости от типа сертификата:
Domain Validation (DV). Данный вид сертификатов предусматривает, в первую очередь, шифрование сессии, а не аутентификацию веб-сайта. Он не содержит данных о компании и подтверждает только доменное имя, гарантируя пользователю достоверность используемого веб-ресурса. Сертификаты с валидацией по домену предлагают начальный уровень надежности, так как не требуют документальной идентификации от заказчика.
Organisation Validation (OV). Такие сертификаты являются подтверждением не только сайта, но и данных организации-владельца. Последние заверяются с помощью проверки официальных регистрационных документов компании-заказчика сертификата. Получение OV-сертификата возможно только юридическим лицом.
Extended Validation (EV). Этот тип сертификатов обеспечивает самый высокий уровень доверия и позволяет отобразить название организации-владельца сайта в адресной строке браузера пользователя («зеленая адресная строка»). Процесс получения такого сертификата занимает до 14 дней.
Для некоторых сертификатов предлагается финансовая гарантия (от 10 тысяч долларов). Она актуальна, в первую очередь, для посетителя сайта, на котором установлен сертификат. В случае, если посетитель такого сайта финансово пострадает от мошенничества, связанного с подменой сайта и утечкой конфиденциальных данных, то центр сертификации компенсирует убытки в пределах суммы гарантии.
SSL-сертификат можно купить напрямую у центра сертификации, но это не очень эффективно. Более выгодной является покупка SSL-сертификата у партнера, закупающего сертификаты оптом специальным ценам. При этом можно использовать и бесплатные SSL-сертификаты, но они больше подходят для тестирования и могут обладать низким уровнем доверия.
Первой поставили ссылку на пост из своего блога на Хабре. В нем мы привели краткий разбор часто встречающихся вопросов по использованию технологии SSL на основе заметок команды проекта CertSimple и других материалов по теме.
Презентация / семинар Владимира Лепихина (учебный центр «Информзащита») на конференции Positive Hack Days. Видео доклада можно посмотреть тут [8].
Что такое TLS [9]
Переводной материал, позволит познакомиться TLS (Transport Layer Security), предшественником которого является SSL. Подготовлен на основе главы книги «High Performance Browser Networking» авторства Ильи Григорика [10].
Обзор философии, возможностей, краткая документация и планы по развитию библиотеки Томаса Порнина [12], эксперта по криптографии.
УЦ из Китая по ошибке выдал пользователю SSL-сертификат для домена GitHub [13]
Ошибку удостоверяющего центра WoSign обнаружил студент Университета Центральной Флориды. Именно для этого учреждения и был выдан дублирующий сертификат.
Еще один материал о китайском УЦ и очередных изменениях условий предоставления бесплатных SSL-сертификатов.
Исправлена серьезная ошибка в настройках SSL в web-ролях Microsoft Azure [15]
Дмитрий Мещеряков из департамента продуктов для разработчиков ABBYY прокомментировал распространенную ошибку, о которой он рассказывал [16] ранее в блоге компании.
Центр сертификации Let's Encrypt выдал миллион бесплатных сертификатов [17]
Анатолий Елизар, редактор ТМ, напоминает о достижениях и прогрессе Let's Encrypt, некоммерческого проекта Mozilla и EFF [18].
Еще один материал о сервисе Let's Encrypt, в котором даны краткие пояснения того, почему на этом этапе развития проекта было выбрано 90-дневное время жизни сертификатов.
SSL-сертификаты: всем, каждому, и пусть никто не уйдёт обиженным [20]
И еще один материал о центре сертификации Let's Encrypt. Целью проекта является ускорение перехода всемирной паутины от HTTP к HTTPS.
Google прекращает поддержку SHA-1 сертификатов вслед за Mozilla и Microsoft [21]
Новостная заметка от редакции ТМ, которая продолжает «держать руку на пульсе» в том числе и по теме TLS- и SSL-сертификатов.
Предупреждение о возможных рисках, связанных с использованием сертификатов с SHA-1, и предполагаемом появлении услуги по поиску коллизий SHA1. Заметка на основе пресс-релиза [23] экспертов из Нидерландов и Сингапура.
Занимательное исследование защищенности подключений к онлайн-сервисам ТОП-50 российских банков (по активам) за авторством adinadinov [25]. Помимо сравнительной таблички приведены основные выводы и практические рекомендации.
Бесплатные SSL-сертификаты — теперь на 3 года от WoSign [26]
Краткая заметка по теме от REZ1DENT3 [27], ну вы поняли.
Базовая информация о том, как правильно развернуть SSL/TLS. Продолжение теории — во второй части материала.
Продолжение рассказа об основных моментах, которые составляют процесс развертывания SSL/TLS.
Интереснейший материал kyprizel [31] о том, как Яндекс внедряет TLS: способы терминации, унификация компонентов, сертификаты, производительность, безопасность и другие нюансы.
Уязвимость DROWN в SSLv2 позволяет дешифровать TLS-трафик [32]
Об уязвимости под названием DROWN, которая позволяет дешифровать TLS-трафик клиента, и вариантых защиты. Рассказывают эксперты Digital Security.
Базовый обзор по инфраструктуре открытых ключей (PKI) плюс немного об отзыве сертификатов, злоупотреблении доверием и перспективах использования SSL-сертификатов.
Настройка HTTPS для вашего приложения на Azure App Service [34]
Подробная пошаговая инструкция для тех, кто использует свое доменное имя. Подготовка, получение сертификата и советы по установке.
В этой инструкции описана процедура генерации запроса на подпись сертификата на веб-сервере IIS 8 в Windows Server 2012 и заказа SSL-сертификата через панель управления 1cloud.
Как установить полученные сертификаты .CRT (файл сертификата для вашего сайта) и .CA (файл сертификата Центра Сертификации) на сервер.
Эта пошаговая инструкция поможет установить приобретенный SSL-сертификат на веб-сервер Apache под управлением Linux: Ubuntu, Debian или CentOS.
Создание CSR-запроса с помощью сервиса генерации и OpenSSL вместе с заказом SSL-сертификата через панель управления 1cloud.
Данное пошаговое руководство поможет установить приобретенный SSL-сертификат на веб-сервер Nginx под управлением Linux: Ubuntu, Debian или CentOS.
Система 1С-Битрикс работает под управлением дистрибутива Linux CentOS (генерация CSR-запроса [38] — раздел для CentOS). Инструкция для генерации запроса, заказа и установки SSL-сертификатов.
Данное пошаговое руководство поможет установить приобретенный SSL-сертификат на веб-сервер Nginx под управлением Linux: Ubuntu, Debian или CentOS.
Установка SSL-сертификатов на файловое хранилище D-Link DNS-320L [41]
Решение проблемы подключения устройства как сетевого диска в Widnows.
Быстрая установка SSL сертификата от StartSSL в почтовом сервере iRedMail [42]
Процесс замены SSL-сертификатов и скрипт, позволяющий автоматизировать все необходимые действия.
Рекомендации по обеспечению безопасности Windows Server 2008/2012 [43]
Для обеспечения безопасности подключений по RDP в случае, когда соединение с сервером осуществляется не через VPN, рекомендуется использовать SSL/TLS-туннелирование соединения. Об этом и не только.
Защищенное TLS-соединение с использованием Boost.Asio и OpenSSL под Windows [44]
Для сборки сервера и клиента под Windows с использованием Boost Asio и OpenSSL плюс организацией обмена информацией по защищенному TLS-каналу.
Вводная информация и краткая инструкция для тех, кто пользуется Amazon Web Services.
Пошаговое объяснение процесса получения SSL-сертификата.
Пошаговая инструкция от saamich [48] о том, что нужно для использования графического virt-manager'а для управления гипервизорами на удаленных серверах.
Руководство для Let's Encrypt, некоммерческого проекта Mozilla и EFF [18], рассказы о котором были приведены выше.
Инструкция по установке SSL-сертификата Let’s Encrypt на сервер с CMS Bitrix и Nginx [50]
Подготовка, получение сертификата, настройка и обновление.
Настройка SSL-сертификата для проекта «Raise Your Flag» на Nginx [51]
Практический пост одного из участников проекта по поиску вакансий. Сам проект размещен на DigitalOcean.
Источники по теме SSL-сертификатов от Palo Alto Networks [52]
Типы сертификатов и практические руководства различного уровня сложности.
Как перевести сайт целиком на постоянный HTTPS для всех [53]
Перевод руководства для серверов на базе Linux, на которых установлен Nginx.
Мигрируем на HTTPS [54]
Еще один перевод от редакции ТМ, в котором описаны шаги, которые необходимо предпринять для перевода вашего сайта с HTTP на HTTPS.
О том, что сделал pistonsky [56], когда к нему пришел босс и заявил, что ему нужен HTTPS. Инструкция в 5 простых шагов.
Хороший вопрос и достойный ответ, перевод которого опубликовал thevar1able [58].
Почему это не нужно делать всем, и на что следует обратить внимание, если говорить о TLS.
Автор: 1cloud.ru
Источник [60]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/http/212177
Ссылки в тексте:
[1] 1cloud: https://1cloud.ru/
[2] возможности: https://1cloud.ru/services/ssl
[3] Image: https://habrahabr.ru/company/1cloud/blog/315758/
[4] Intel Free Press: https://www.flickr.com/photos/intelfreepress/
[5] CC: https://creativecommons.org/licenses/by-sa/2.0/
[6] Что веб-разработчикам следует знать об SSL: https://habrahabr.ru/company/1cloud/blog/275335/
[7] SSL/TLS: история уязвимостей: http://www.slideshare.net/phdays/ssl-vuln
[8] тут: https://www.youtube.com/watch?v=2WYNW2uZQhs
[9] Что такое TLS: https://habrahabr.ru/post/258285/
[10] Ильи Григорика: https://twitter.com/igrigorik
[11] BearSSL — реализация SSL/TLS на C: https://bearssl.org
[12] Томаса Порнина: https://twitter.com/BearSSLnews
[13] УЦ из Китая по ошибке выдал пользователю SSL-сертификат для домена GitHub: https://habrahabr.ru/company/pt/blog/308824/
[14] WoSign Free SSL — конец большой китайской халявы: https://habrahabr.ru/post/270681/
[15] Исправлена серьезная ошибка в настройках SSL в web-ролях Microsoft Azure: https://habrahabr.ru/company/abbyy/blog/302530/
[16] рассказывал: https://habrahabr.ru/company/abbyy/blog/280840/
[17] Центр сертификации Let's Encrypt выдал миллион бесплатных сертификатов: https://habrahabr.ru/post/278865/
[18] EFF: https://ru.wikipedia.org/wiki/Electronic_Frontier_Foundation
[19] Let's Encrypt выходит в публичную бету: https://habrahabr.ru/post/272253/
[20] SSL-сертификаты: всем, каждому, и пусть никто не уйдёт обиженным: https://habrahabr.ru/post/244037/
[21] Google прекращает поддержку SHA-1 сертификатов вслед за Mozilla и Microsoft: https://habrahabr.ru/post/273703/
[22] Коллизия для SHA-1 за 100$ тыс: https://habrahabr.ru/post/268495/
[23] пресс-релиза: https://docs.google.com/viewer?url=https%3A%2F%2Fsites.google.com%2Fsite%2Fitstheshappening%2Fshappening_PR.pdf%3Fattredirects%3D0
[24] Безопасность SSL/TLS российского интернет-банкинга: https://habrahabr.ru/post/258735/
[25] adinadinov: https://habrahabr.ru/users/adinadinov/
[26] Бесплатные SSL-сертификаты — теперь на 3 года от WoSign: https://habrahabr.ru/post/257207/
[27] REZ1DENT3: https://habrahabr.ru/users/rez1dent3/
[28] Лучшая практика развертывания SSL/TLS (часть 1): https://habrahabr.ru/company/usedesk/blog/249575/
[29] Лучшая практика развертывания SSL/TLS (часть 2): https://habrahabr.ru/company/usedesk/blog/252747/
[30] Как и зачем мы делаем TLS в Яндексе: https://habrahabr.ru/company/yandex/blog/249771/
[31] kyprizel: https://habrahabr.ru/users/kyprizel/
[32] Уязвимость DROWN в SSLv2 позволяет дешифровать TLS-трафик: https://habrahabr.ru/company/dsec/blog/278335/
[33] Прошлое и настоящее SSL-сертификатов: https://habrahabr.ru/company/regru/blog/264551/
[34] Настройка HTTPS для вашего приложения на Azure App Service: https://azure.microsoft.com/en-us/documentation/articles/web-sites-configure-ssl-certificate/
[35] Генерация CSR-запроса в IIS 8: https://1cloud.ru/help/SSL/orderssliis
[36] Установка SSL-сертификата на IIS 8: https://1cloud.ru/help/SSL/installssliis
[37] Установка SSL-сертификата на Apache (Linux): https://1cloud.ru/help/SSL/installsslapache
[38] Генерация CSR-запроса на Linux/MacOS: https://1cloud.ru/help/SSL/orderssllinux
[39] Установка SSL-сертификата на Nginx (Linux): https://1cloud.ru/help/SSL/installsslnginx
[40] Установка SSL-сертификата на 1С-Битрикс: https://1cloud.ru/help/SSL/installsslbitrix
[41] Установка SSL-сертификатов на файловое хранилище D-Link DNS-320L: https://habrahabr.ru/post/310202/
[42] Быстрая установка SSL сертификата от StartSSL в почтовом сервере iRedMail: https://habrahabr.ru/post/276319/
[43] Рекомендации по обеспечению безопасности Windows Server 2008/2012: https://1cloud.ru/help/windows/windowssecurity#rdpssl
[44] Защищенное TLS-соединение с использованием Boost.Asio и OpenSSL под Windows: https://habrahabr.ru/post/271203/
[45] SSL/TLS-сертификаты для клиентов AWS: https://aws.amazon.com/blogs/aws/new-aws-certificate-manager-deploy-ssltls-based-apps-on-aws/
[46] Настройка SSL для приложений на AWS: https://medium.com/engineering-tyroo/configuring-ssl-for-your-apps-on-aws-cloud-3c47ca078af1
[47] Дружим virt-manager с удаленной системой поверх TLS: https://habrahabr.ru/post/221693/
[48] saamich: https://habrahabr.ru/users/saamich/
[49] Настройка Nginx с Let's Encrypt на CentOS 7: https://habrahabr.ru/post/306128/
[50] Инструкция по установке SSL-сертификата Let’s Encrypt на сервер с CMS Bitrix и Nginx: https://habrahabr.ru/post/301558/
[51] Настройка SSL-сертификата для проекта «Raise Your Flag» на Nginx: https://medium.com/416serg-s-life-in-tech-travel-etc/the-tech-behind-raise-your-flag-ssl-seo-nginx-53d0685d6a5e
[52] Источники по теме SSL-сертификатов от Palo Alto Networks: https://live.paloaltonetworks.com/t5/Management-Articles/SSL-certificates-resource-list/ta-p/53068
[53] Как перевести сайт целиком на постоянный HTTPS для всех: https://habrahabr.ru/post/257609/
[54] Мигрируем на HTTPS: https://habrahabr.ru/post/252507/
[55] Переходим на HTTPS на Nginx: https://habrahabr.ru/post/250931/
[56] pistonsky: https://habrahabr.ru/users/pistonsky/
[57] Почему до сих пор повсеместно не используется HTTPS: https://habrahabr.ru/post/275539/
[58] thevar1able: https://habrahabr.ru/users/thevar1able/
[59] Повсеместный переход на HTTPS: http://www.w3.org/DesignIssues/Security-NotTheS.html
[60] Источник: https://habrahabr.ru/post/315758/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best
Нажмите здесь для печати.