Мы в 1cloud ^[1] предоставляем услуги аренды виртуальной инфраструктуры и совсем недавно начали поставлять SSL-сертификаты от Сomodo, Geotrust, Rapidssl, Symantec и Thawte. Добавление такой возможности ^[2] сподвигло нас к беглому анализу публикаций, которые затрагивали те или иные аспекты работы с SSL и выходили на Хабре за последние пару лет.

Мы обнаружили значительный объем переводных материалов и постов в корпоративных блогах, но и без руководств не обошлось. Именно на практической составляющей мы и решили сделать ставку в нашей подборке из полезных материалов.

^[3]
/ фото Intel Free Press ^[4] CC ^[5]

SSL (сокр. от Secure Socket Layer — уровень защищенных сокетов) — это технология безопасных соединений, реализуемых за счет асимметричного шифрования для аутентификации ключей обмена. SSL-сертификат — это уникальный цифровой идентификатор веб-сайта. Он делает возможным установление HTTPS соединения между веб-сервером и интернет-браузером клиента, обеспечивая конфиденциальность передаваемой информации.

Подтверждать можно как отношение веб-сервера к домену, так и данные компании-владельца сайта. В зависимости от типа сертификата:

Domain Validation (DV). Данный вид сертификатов предусматривает, в первую очередь, шифрование сессии, а не аутентификацию веб-сайта. Он не содержит данных о компании и подтверждает только доменное имя, гарантируя пользователю достоверность используемого веб-ресурса. Сертификаты с валидацией по домену предлагают начальный уровень надежности, так как не требуют документальной идентификации от заказчика.

Organisation Validation (OV). Такие сертификаты являются подтверждением не только сайта, но и данных организации-владельца. Последние заверяются с помощью проверки официальных регистрационных документов компании-заказчика сертификата. Получение OV-сертификата возможно только юридическим лицом.

Extended Validation (EV). Этот тип сертификатов обеспечивает самый высокий уровень доверия и позволяет отобразить название организации-владельца сайта в адресной строке браузера пользователя («зеленая адресная строка»). Процесс получения такого сертификата занимает до 14 дней.

Для некоторых сертификатов предлагается финансовая гарантия (от 10 тысяч долларов). Она актуальна, в первую очередь, для посетителя сайта, на котором установлен сертификат. В случае, если посетитель такого сайта финансово пострадает от мошенничества, связанного с подменой сайта и утечкой конфиденциальных данных, то центр сертификации компенсирует убытки в пределах суммы гарантии.

SSL-сертификат можно купить напрямую у центра сертификации, но это не очень эффективно. Более выгодной является покупка SSL-сертификата у партнера, закупающего сертификаты оптом специальным ценам. При этом можно использовать и бесплатные SSL-сертификаты, но они больше подходят для тестирования и могут обладать низким уровнем доверия.

Информационно-развлекательное

Что веб-разработчикам следует знать об SSL ^[6]

Первой поставили ссылку на пост из своего блога на Хабре. В нем мы привели краткий разбор часто встречающихся вопросов по использованию технологии SSL на основе заметок команды проекта CertSimple и других материалов по теме.

SSL/TLS: история уязвимостей ^[7]

Презентация / семинар Владимира Лепихина (учебный центр «Информзащита») на конференции Positive Hack Days. Видео доклада можно посмотреть тут ^[8].

Что такое TLS ^[9]

Переводной материал, позволит познакомиться TLS (Transport Layer Security), предшественником которого является SSL. Подготовлен на основе главы книги «High Performance Browser Networking» авторства Ильи Григорика ^[10].

BearSSL — реализация SSL/TLS на C ^[11]

Обзор философии, возможностей, краткая документация и планы по развитию библиотеки Томаса Порнина ^[12], эксперта по криптографии.

УЦ из Китая по ошибке выдал пользователю SSL-сертификат для домена GitHub ^[13]

Ошибку удостоверяющего центра WoSign обнаружил студент Университета Центральной Флориды. Именно для этого учреждения и был выдан дублирующий сертификат.

WoSign Free SSL — конец большой китайской халявы ^[14]

Еще один материал о китайском УЦ и очередных изменениях условий предоставления бесплатных SSL-сертификатов.

Исправлена серьезная ошибка в настройках SSL в web-ролях Microsoft Azure ^[15]

Дмитрий Мещеряков из департамента продуктов для разработчиков ABBYY прокомментировал распространенную ошибку, о которой он рассказывал ^[16] ранее в блоге компании.

Центр сертификации Let's Encrypt выдал миллион бесплатных сертификатов ^[17]

Анатолий Елизар, редактор ТМ, напоминает о достижениях и прогрессе Let's Encrypt, некоммерческого проекта Mozilla и EFF ^[18].

Let's Encrypt выходит в публичную бету ^[19]

Еще один материал о сервисе Let's Encrypt, в котором даны краткие пояснения того, почему на этом этапе развития проекта было выбрано 90-дневное время жизни сертификатов.

SSL-сертификаты: всем, каждому, и пусть никто не уйдёт обиженным ^[20]

И еще один материал о центре сертификации Let's Encrypt. Целью проекта является ускорение перехода всемирной паутины от HTTP к HTTPS.

---

Google прекращает поддержку SHA-1 сертификатов вслед за Mozilla и Microsoft ^[21]

Новостная заметка от редакции ТМ, которая продолжает «держать руку на пульсе» в том числе и по теме TLS- и SSL-сертификатов.

Коллизия для SHA-1 за 100$ тыс ^[22]

Предупреждение о возможных рисках, связанных с использованием сертификатов с SHA-1, и предполагаемом появлении услуги по поиску коллизий SHA1. Заметка на основе пресс-релиза ^[23] экспертов из Нидерландов и Сингапура.

Безопасность SSL/TLS российского интернет-банкинга ^[24]

Занимательное исследование защищенности подключений к онлайн-сервисам ТОП-50 российских банков (по активам) за авторством adinadinov ^[25]. Помимо сравнительной таблички приведены основные выводы и практические рекомендации.

Бесплатные SSL-сертификаты — теперь на 3 года от WoSign ^[26]

Краткая заметка по теме от REZ1DENT3 ^[27], ну вы поняли.

Лучшая практика развертывания SSL/TLS (часть 1) ^[28]

Базовая информация о том, как правильно развернуть SSL/TLS. Продолжение теории — во второй части материала.

Лучшая практика развертывания SSL/TLS (часть 2) ^[29]

Продолжение рассказа об основных моментах, которые составляют процесс развертывания SSL/TLS.

Как и зачем мы делаем TLS в Яндексе ^[30]

Интереснейший материал kyprizel ^[31] о том, как Яндекс внедряет TLS: способы терминации, унификация компонентов, сертификаты, производительность, безопасность и другие нюансы.

Уязвимость DROWN в SSLv2 позволяет дешифровать TLS-трафик ^[32]

Об уязвимости под названием DROWN, которая позволяет дешифровать TLS-трафик клиента, и вариантых защиты. Рассказывают эксперты Digital Security.

Прошлое и настоящее SSL-сертификатов ^[33]

Базовый обзор по инфраструктуре открытых ключей (PKI) плюс немного об отзыве сертификатов, злоупотреблении доверием и перспективах использования SSL-сертификатов.

---

Практические руководства

Настройка HTTPS для вашего приложения на Azure App Service ^[34]

Подробная пошаговая инструкция для тех, кто использует свое доменное имя. Подготовка, получение сертификата и советы по установке.

Генерация CSR-запроса в IIS 8 ^[35]

В этой инструкции описана процедура генерации запроса на подпись сертификата на веб-сервере IIS 8 в Windows Server 2012 и заказа SSL-сертификата через панель управления 1cloud.

Установка SSL-сертификата на IIS 8 ^[36]

Как установить полученные сертификаты .CRT (файл сертификата для вашего сайта) и .CA (файл сертификата Центра Сертификации) на сервер.

Установка SSL-сертификата на Apache (Linux) ^[37]

Эта пошаговая инструкция поможет установить приобретенный SSL-сертификат на веб-сервер Apache под управлением Linux: Ubuntu, Debian или CentOS.

Генерация CSR-запроса на Linux/MacOS ^[38]

Создание CSR-запроса с помощью сервиса генерации и OpenSSL вместе с заказом SSL-сертификата через панель управления 1cloud.

Установка SSL-сертификата на Nginx (Linux) ^[39]

Данное пошаговое руководство поможет установить приобретенный SSL-сертификат на веб-сервер Nginx под управлением Linux: Ubuntu, Debian или CentOS.

Установка SSL-сертификата на 1С-Битрикс ^[40]

Система 1С-Битрикс работает под управлением дистрибутива Linux CentOS (генерация CSR-запроса ^[38] — раздел для CentOS). Инструкция для генерации запроса, заказа и установки SSL-сертификатов.

Установка SSL-сертификата на Nginx (Linux) ^[39]

Данное пошаговое руководство поможет установить приобретенный SSL-сертификат на веб-сервер Nginx под управлением Linux: Ubuntu, Debian или CentOS.

Установка SSL-сертификатов на файловое хранилище D-Link DNS-320L ^[41]

Решение проблемы подключения устройства как сетевого диска в Widnows.

Быстрая установка SSL сертификата от StartSSL в почтовом сервере iRedMail ^[42]

Процесс замены SSL-сертификатов и скрипт, позволяющий автоматизировать все необходимые действия.

---

Рекомендации по обеспечению безопасности Windows Server 2008/2012 ^[43]

Для обеспечения безопасности подключений по RDP в случае, когда соединение с сервером осуществляется не через VPN, рекомендуется использовать SSL/TLS-туннелирование соединения. Об этом и не только.

Защищенное TLS-соединение с использованием Boost.Asio и OpenSSL под Windows ^[44]

Для сборки сервера и клиента под Windows с использованием Boost Asio и OpenSSL плюс организацией обмена информацией по защищенному TLS-каналу.

SSL/TLS-сертификаты для клиентов AWS ^[45]

Вводная информация и краткая инструкция для тех, кто пользуется Amazon Web Services.

Настройка SSL для приложений на AWS ^[46]

Пошаговое объяснение процесса получения SSL-сертификата.

Дружим virt-manager с удаленной системой поверх TLS ^[47]

Пошаговая инструкция от saamich ^[48] о том, что нужно для использования графического virt-manager'а для управления гипервизорами на удаленных серверах.

Настройка Nginx с Let's Encrypt на CentOS 7 ^[49]

Руководство для Let's Encrypt, некоммерческого проекта Mozilla и EFF ^[18], рассказы о котором были приведены выше.

Инструкция по установке SSL-сертификата Let’s Encrypt на сервер с CMS Bitrix и Nginx ^[50]

Подготовка, получение сертификата, настройка и обновление.

Настройка SSL-сертификата для проекта «Raise Your Flag» на Nginx ^[51]

Практический пост одного из участников проекта по поиску вакансий. Сам проект размещен на DigitalOcean.

Источники по теме SSL-сертификатов от Palo Alto Networks ^[52]

Типы сертификатов и практические руководства различного уровня сложности.

---

Как перевести сайт целиком на постоянный HTTPS для всех ^[53]

Перевод руководства для серверов на базе Linux, на которых установлен Nginx.

Мигрируем на HTTPS ^[54]

Еще один перевод от редакции ТМ, в котором описаны шаги, которые необходимо предпринять для перевода вашего сайта с HTTP на HTTPS.

Переходим на HTTPS на Nginx ^[55]

О том, что сделал pistonsky ^[56], когда к нему пришел босс и заявил, что ему нужен HTTPS. Инструкция в 5 простых шагов.

Почему до сих пор повсеместно не используется HTTPS ^[57]

Хороший вопрос и достойный ответ, перевод которого опубликовал thevar1able ^[58].

Повсеместный переход на HTTPS ^[59]

Почему это не нужно делать всем, и на что следует обратить внимание, если говорить о TLS.

Автор: 1cloud.ru

Источник ^[60]