«Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только

от автора

Мы в 1cloud предоставляем услуги аренды виртуальной инфраструктуры и совсем недавно начали поставлять SSL-сертификаты от Сomodo, Geotrust, Rapidssl, Symantec и Thawte. Добавление такой возможности сподвигло нас к беглому анализу публикаций, которые затрагивали те или иные аспекты работы с SSL и выходили на Хабре за последние пару лет.

Мы обнаружили значительный объем переводных материалов и постов в корпоративных блогах, но и без руководств не обошлось. Именно на практической составляющей мы и решили сделать ставку в нашей подборке из полезных материалов.


/ фото Intel Free Press CC

SSL (сокр. от Secure Socket Layer — уровень защищенных сокетов) — это технология безопасных соединений, реализуемых за счет асимметричного шифрования для аутентификации ключей обмена. SSL-сертификат — это уникальный цифровой идентификатор веб-сайта. Он делает возможным установление HTTPS соединения между веб-сервером и интернет-браузером клиента, обеспечивая конфиденциальность передаваемой информации.

Подтверждать можно как отношение веб-сервера к домену, так и данные компании-владельца сайта. В зависимости от типа сертификата:

Domain Validation (DV). Данный вид сертификатов предусматривает, в первую очередь, шифрование сессии, а не аутентификацию веб-сайта. Он не содержит данных о компании и подтверждает только доменное имя, гарантируя пользователю достоверность используемого веб-ресурса. Сертификаты с валидацией по домену предлагают начальный уровень надежности, так как не требуют документальной идентификации от заказчика.

Organisation Validation (OV). Такие сертификаты являются подтверждением не только сайта, но и данных организации-владельца. Последние заверяются с помощью проверки официальных регистрационных документов компании-заказчика сертификата. Получение OV-сертификата возможно только юридическим лицом.

Extended Validation (EV). Этот тип сертификатов обеспечивает самый высокий уровень доверия и позволяет отобразить название организации-владельца сайта в адресной строке браузера пользователя («зеленая адресная строка»). Процесс получения такого сертификата занимает до 14 дней.

Для некоторых сертификатов предлагается финансовая гарантия (от 10 тысяч долларов). Она актуальна, в первую очередь, для посетителя сайта, на котором установлен сертификат. В случае, если посетитель такого сайта финансово пострадает от мошенничества, связанного с подменой сайта и утечкой конфиденциальных данных, то центр сертификации компенсирует убытки в пределах суммы гарантии.

SSL-сертификат можно купить напрямую у центра сертификации, но это не очень эффективно. Более выгодной является покупка SSL-сертификата у партнера, закупающего сертификаты оптом специальным ценам. При этом можно использовать и бесплатные SSL-сертификаты, но они больше подходят для тестирования и могут обладать низким уровнем доверия.

Информационно-развлекательное

Что веб-разработчикам следует знать об SSL

Первой поставили ссылку на пост из своего блога на Хабре. В нем мы привели краткий разбор часто встречающихся вопросов по использованию технологии SSL на основе заметок команды проекта CertSimple и других материалов по теме.

SSL/TLS: история уязвимостей

Презентация / семинар Владимира Лепихина (учебный центр «Информзащита») на конференции Positive Hack Days. Видео доклада можно посмотреть тут.

Что такое TLS

Переводной материал, позволит познакомиться TLS (Transport Layer Security), предшественником которого является SSL. Подготовлен на основе главы книги «High Performance Browser Networking» авторства Ильи Григорика.

BearSSL — реализация SSL/TLS на C

Обзор философии, возможностей, краткая документация и планы по развитию библиотеки Томаса Порнина, эксперта по криптографии.

УЦ из Китая по ошибке выдал пользователю SSL-сертификат для домена GitHub

Ошибку удостоверяющего центра WoSign обнаружил студент Университета Центральной Флориды. Именно для этого учреждения и был выдан дублирующий сертификат.

WoSign Free SSL — конец большой китайской халявы

Еще один материал о китайском УЦ и очередных изменениях условий предоставления бесплатных SSL-сертификатов.

Исправлена серьезная ошибка в настройках SSL в web-ролях Microsoft Azure

Дмитрий Мещеряков из департамента продуктов для разработчиков ABBYY прокомментировал распространенную ошибку, о которой он рассказывал ранее в блоге компании.

Центр сертификации Let’s Encrypt выдал миллион бесплатных сертификатов

Анатолий Елизар, редактор ТМ, напоминает о достижениях и прогрессе Let’s Encrypt, некоммерческого проекта Mozilla и EFF.

Let’s Encrypt выходит в публичную бету

Еще один материал о сервисе Let’s Encrypt, в котором даны краткие пояснения того, почему на этом этапе развития проекта было выбрано 90-дневное время жизни сертификатов.

SSL-сертификаты: всем, каждому, и пусть никто не уйдёт обиженным

И еще один материал о центре сертификации Let’s Encrypt. Целью проекта является ускорение перехода всемирной паутины от HTTP к HTTPS.


Google прекращает поддержку SHA-1 сертификатов вслед за Mozilla и Microsoft

Новостная заметка от редакции ТМ, которая продолжает «держать руку на пульсе» в том числе и по теме TLS- и SSL-сертификатов.

Коллизия для SHA-1 за 100$ тыс

Предупреждение о возможных рисках, связанных с использованием сертификатов с SHA-1, и предполагаемом появлении услуги по поиску коллизий SHA1. Заметка на основе пресс-релиза экспертов из Нидерландов и Сингапура.

Безопасность SSL/TLS российского интернет-банкинга

Занимательное исследование защищенности подключений к онлайн-сервисам ТОП-50 российских банков (по активам) за авторством adinadinov. Помимо сравнительной таблички приведены основные выводы и практические рекомендации.

Бесплатные SSL-сертификаты — теперь на 3 года от WoSign

Краткая заметка по теме от REZ1DENT3, ну вы поняли.

Лучшая практика развертывания SSL/TLS (часть 1)

Базовая информация о том, как правильно развернуть SSL/TLS. Продолжение теории — во второй части материала.

Лучшая практика развертывания SSL/TLS (часть 2)

Продолжение рассказа об основных моментах, которые составляют процесс развертывания SSL/TLS.

Как и зачем мы делаем TLS в Яндексе

Интереснейший материал kyprizel о том, как Яндекс внедряет TLS: способы терминации, унификация компонентов, сертификаты, производительность, безопасность и другие нюансы.

Уязвимость DROWN в SSLv2 позволяет дешифровать TLS-трафик

Об уязвимости под названием DROWN, которая позволяет дешифровать TLS-трафик клиента, и вариантых защиты. Рассказывают эксперты Digital Security.

Прошлое и настоящее SSL-сертификатов

Базовый обзор по инфраструктуре открытых ключей (PKI) плюс немного об отзыве сертификатов, злоупотреблении доверием и перспективах использования SSL-сертификатов.


Практические руководства

Настройка HTTPS для вашего приложения на Azure App Service

Подробная пошаговая инструкция для тех, кто использует свое доменное имя. Подготовка, получение сертификата и советы по установке.

Генерация CSR-запроса в IIS 8

В этой инструкции описана процедура генерации запроса на подпись сертификата на веб-сервере IIS 8 в Windows Server 2012 и заказа SSL-сертификата через панель управления 1cloud.

Установка SSL-сертификата на IIS 8

Как установить полученные сертификаты .CRT (файл сертификата для вашего сайта) и .CA (файл сертификата Центра Сертификации) на сервер.

Установка SSL-сертификата на Apache (Linux)

Эта пошаговая инструкция поможет установить приобретенный SSL-сертификат на веб-сервер Apache под управлением Linux: Ubuntu, Debian или CentOS.

Генерация CSR-запроса на Linux/MacOS

Создание CSR-запроса с помощью сервиса генерации и OpenSSL вместе с заказом SSL-сертификата через панель управления 1cloud.

Установка SSL-сертификата на Nginx (Linux)

Данное пошаговое руководство поможет установить приобретенный SSL-сертификат на веб-сервер Nginx под управлением Linux: Ubuntu, Debian или CentOS.

Установка SSL-сертификата на 1С-Битрикс

Система 1С-Битрикс работает под управлением дистрибутива Linux CentOS (генерация CSR-запроса — раздел для CentOS). Инструкция для генерации запроса, заказа и установки SSL-сертификатов.

Установка SSL-сертификата на Nginx (Linux)

Данное пошаговое руководство поможет установить приобретенный SSL-сертификат на веб-сервер Nginx под управлением Linux: Ubuntu, Debian или CentOS.

Установка SSL-сертификатов на файловое хранилище D-Link DNS-320L

Решение проблемы подключения устройства как сетевого диска в Widnows.

Быстрая установка SSL сертификата от StartSSL в почтовом сервере iRedMail

Процесс замены SSL-сертификатов и скрипт, позволяющий автоматизировать все необходимые действия.


Рекомендации по обеспечению безопасности Windows Server 2008/2012

Для обеспечения безопасности подключений по RDP в случае, когда соединение с сервером осуществляется не через VPN, рекомендуется использовать SSL/TLS-туннелирование соединения. Об этом и не только.

Защищенное TLS-соединение с использованием Boost.Asio и OpenSSL под Windows

Для сборки сервера и клиента под Windows с использованием Boost Asio и OpenSSL плюс организацией обмена информацией по защищенному TLS-каналу.

SSL/TLS-сертификаты для клиентов AWS

Вводная информация и краткая инструкция для тех, кто пользуется Amazon Web Services.

Настройка SSL для приложений на AWS

Пошаговое объяснение процесса получения SSL-сертификата.

Дружим virt-manager с удаленной системой поверх TLS

Пошаговая инструкция от saamich о том, что нужно для использования графического virt-manager’а для управления гипервизорами на удаленных серверах.

Настройка Nginx с Let’s Encrypt на CentOS 7

Руководство для Let’s Encrypt, некоммерческого проекта Mozilla и EFF, рассказы о котором были приведены выше.

Инструкция по установке SSL-сертификата Let’s Encrypt на сервер с CMS Bitrix и Nginx

Подготовка, получение сертификата, настройка и обновление.

Настройка SSL-сертификата для проекта «Raise Your Flag» на Nginx

Практический пост одного из участников проекта по поиску вакансий. Сам проект размещен на DigitalOcean.

Источники по теме SSL-сертификатов от Palo Alto Networks

Типы сертификатов и практические руководства различного уровня сложности.


Как перевести сайт целиком на постоянный HTTPS для всех

Перевод руководства для серверов на базе Linux, на которых установлен Nginx.

Мигрируем на HTTPS

Еще один перевод от редакции ТМ, в котором описаны шаги, которые необходимо предпринять для перевода вашего сайта с HTTP на HTTPS.

Переходим на HTTPS на Nginx

О том, что сделал pistonsky, когда к нему пришел босс и заявил, что ему нужен HTTPS. Инструкция в 5 простых шагов.

Почему до сих пор повсеместно не используется HTTPS

Хороший вопрос и достойный ответ, перевод которого опубликовал thevar1able.

Повсеместный переход на HTTPS

Почему это не нужно делать всем, и на что следует обратить внимание, если говорить о TLS.
ссылка на оригинал статьи https://habrahabr.ru/post/315758/