«Ультимативний» SSL-дайджест: Кращі практичні матеріали на Хабре і не тільки

Ми 1cloud надаємо послуги оренди віртуальної інфраструктури і зовсім недавно почали постачати SSL-сертифікати від Сomodo, Geotrust, Rapidssl, Symantec і Thawte. Додавання такий можливості спонукало нас до швидкого аналізу публікацій, які зачіпали ті чи інші аспекти роботи з SSL і виходили на Хабре за останні пару років.

Ми виявили значний обсяг переказних матеріалів і постів в корпоративних блогах, але і без інструкцій не обійшлося. Саме на практичній складовій ми і вирішили зробити ставку в нашій збірці з корисних матеріалів.


/ фото Intel Free Press CC

SSL (скор. від Secure Socket Layer — рівень захищених сокетів) — це технологія безпечних з'єднань, що реалізуються за рахунок асиметричного шифрування для аутентифікації ключів обміну. SSL-сертифікат — це унікальний цифровий ідентифікатор веб-сайту. Він робить можливим встановлення HTTPS з'єднання між веб-сервером і інтернет-браузером клієнта, забезпечуючи конфіденційність переданої інформації.

Підтверджувати можна як відношення веб-сервера до домену, так і дані компанії-власника сайту. В залежності від типу сертифіката:

Domain Validation (DV). Даний вид сертифікатів передбачає, в першу чергу, шифрування сесії, а не аутентифікацію веб-сайту. Він не містить даних про компанії і підтверджує тільки доменне ім'я, гарантуючи користувачеві достовірність використовуваного веб-ресурсу. Сертифікати з валідацією по домену пропонують початковий рівень надійності, так як не вимагають документальної ідентифікації від замовника.

Organisation Validation (OV). Такі сертифікати є підтвердженням не тільки сайту, але і даних організації-власника. Останні засвідчуються за допомогою перевірки офіційних реєстраційних документів компанії-замовника сертифіката. Отримання OV-сертифіката можливо тільки юридичною особою.

Extended Validation (EV). Цей тип сертифікатів забезпечує найвищий рівень довіри і дозволяє відобразити назва організації-власника сайту в адресному рядку браузера користувача («зелена адресна рядок»). Процес отримання такого сертифіката займає до 14 днів.


Для деяких сертифікатів пропонується фінансова гарантія (від 10 тисяч доларів). Вона актуальна, в першу чергу, для відвідувача сайту, на якому встановлений сертифікат. У випадку, якщо відвідувач такого сайту фінансово постраждає від шахрайства, пов'язаного із заміною сайту і витоком конфіденційних даних, то центр сертифікації компенсує збитки в межах суми гарантії.

SSL-сертифікат можна придбати безпосередньо у центру сертифікації, але це не дуже ефективно. Більш вигідною є покупка SSL-сертифіката у партнера, закуповує сертифікати оптом спеціальними цінами. При цьому можна використовувати і безкоштовні SSL-сертифікати, але вони більше підходять для тестування і можуть володіти низьким рівнем довіри.

Інформаційно-розважальне
Що веб-розробникам слід знати про SSL
Першої поставили посилання на пост з свого блогу на Хабре. В ньому ми привели короткий розбір часто зустрічаються питань по використанню технології SSL на основі заміток команди проекту CertSimple та інших матеріалів по темі.

SSL/TLS: історія вразливостей
Презентація / семінар Володимира Лепихина (навчальний центр «Інформзахист») на конференції Positive Hack Days. Відео доповіді можна подивитися тут.

Що таке TLS
Переказний матеріал, дозволить познайомитися TLS (Transport Layer Security), попередником якого є SSL. Підготовлено на основі глави книги «High Performance Browser Networking» авторства Іллі Григорика.

BearSSL — реалізація SSL/TLS на C
Огляд філософії, можливостей, коротка документація і плани з розвитку бібліотеки Томаса Порнина, експерта з криптографії.

УЦ з Китаю помилково видав користувачеві SSL-сертифікат для домену GitHub
Помилку засвідчувального центру WoSign виявив студент Університету Центральної Флориди. Саме для цього установи і був виданий дублюючий сертифікат.

WoSign Free SSL — кінець великої китайської халяви
Ще один матеріал про китайському УЦ і чергових змінах умов надання безкоштовних сертифікатів SSL.

Виправлена серйозна помилка у налаштуваннях SSL в web-ролях Microsoft Azure
Дмитро Мещеряков з департаменту продуктів для розробників ABBYY прокоментував поширену помилку, про яку він розповідав раніше в блозі компанії.

Центр сертифікації let's Encrypt видав мільйон безкоштовних сертифікатів
Анатолій Єлизар, редактор ТМ, нагадує про досягнення та прогрес let's Encrypt, некомерційного проекту Mozilla і EFF.

let's Encrypt виходить у публічну бету
Ще один матеріал про сервіс let's Encrypt, в якому даються короткі пояснення того, чому на цьому етапі розвитку проекту було обрано 90-денний час життя сертифікатів.

SSL-сертифікати: всім, кожному, і нехай ніхто не піде скривдженим
І ще один матеріал про центр сертифікації let's Encrypt. Метою проекту є прискорення переходу всесвітньої павутини від HTTP HTTPS.



Google припиняє підтримку SHA-1 сертифікатів слідом за Mozilla і Microsoft
Новинна допис від редакції ТМ, яка продовжує «тримати руку на пульсі» у тому числі й по темі TLS і SSL-сертифікатів.

Колізія для SHA-1 за 100$ тис
Попередження про можливі ризики, пов'язані з використанням сертифікатів з SHA-1, і ймовірну появу послуги з пошуку колізій SHA1. Замітка на основі пресс-релиза експертів із Нідерландів і Сінгапуру.

Безпека SSL/TLS російського інтернет-банкінгу
Цікаве дослідження захищеності підключень до онлайн-сервісів ТОП-50 російських банків (за активами) за авторством adinadinov. Крім порівняльної таблички наведені основні висновки та практичні рекомендації.

Безкоштовні SSL-сертифікати — тепер на 3 роки від WoSign
Коротка замітка по темі REZ1DENT3, ну ви зрозуміли.

Найкраща практика розгортання SSL/TLS (частина 1)
Базова інформація про те, як правильно розгорнути SSL/TLS. Продовження теорії — у другій частині матеріалу.

Найкраща практика розгортання SSL/TLS (частина 2)
Продовження розповіді про основні моменти, які становлять процес розгортання SSL/TLS.

Як і навіщо ми робимо TLS в Яндексі
Цікавий матеріал kyprizel про те, як Яндекс впроваджує TLS: способи термінації, уніфікація компонентів, сертифікати, продуктивність, безпеку та інші нюанси.

Вразливість DROWN в SSLv2 дозволяє дешифрувати TLS-трафік
Про уразливості під назвою DROWN, яка дозволяє дешифрувати TLS-трафік клієнта, і вариантых захисту. Розповідають експерти Digital Security.

Минуле і сьогодення SSL-сертифікатів
Базовий огляд інфраструктури відкритих ключів (PKI) плюс трохи про відкликання сертифікатів, зловживанні довірою і перспективи використання SSL-сертифікатів.



Практичні керівництва
Налаштування HTTPS для вашого застосування на Azure App Service
Детальна покрокова інструкція для тих, хто використовує своє доменне ім'я. Підготовка, одержання сертифіката і поради по установці.

Генерація CSR-запиту в IIS 8
У цій інструкції описана процедура генерації запиту на підпис сертифіката на веб-сервері IIS 8 в Windows Server 2012 і замовлення SSL-сертифіката через панель управління 1cloud.

Установка SSL-сертифіката на IIS 8
Як встановити отримані сертифікати .CRT (файл сертифіката для вашого сайту).CA (файл сертифіката Центру Сертифікації) на сервер.

Установка SSL-сертифіката на Apache (Linux)
Ця покрокова інструкція допоможе встановити придбаний SSL-сертифікат на веб-сервер Apache під управлінням Linux: Ubuntu, Debian або CentOS.

Генерація CSR-запиту на Linux/MacOS
Створення CSR-запиту за допомогою сервісу генерації і OpenSSL разом із замовленням SSL-сертифіката через панель управління 1cloud.

Установка SSL-сертифіката на Nginx (Linux)
Це покрокове керівництво допоможе встановити придбаний SSL-сертифікат на веб-сервер Nginx під управлінням Linux: Ubuntu, Debian або CentOS.

Установка SSL-сертифіката на 1С-Бітрікс
Система 1С-Бітрікс працює під управлінням fedora Linux CentOS (генерація CSR-запиту — розділ для CentOS). Інструкція для генерації запиту, замовлення і встановлення SSL-сертифікатів.

Установка SSL-сертифіката на Nginx (Linux)
Це покрокове керівництво допоможе встановити придбаний SSL-сертифікат на веб-сервер Nginx під управлінням Linux: Ubuntu, Debian або CentOS.

Установка SSL-сертифікатів на файлове сховище D-Link DNS-320L
Вирішення проблеми підключення пристрою як мережного диска в Widnows.

Швидка установка SSL сертифікату від StartSSL в поштовому сервері iRedMail
Процес заміни сертифікатів SSL та скрипт, який дозволяє автоматизувати всі необхідні дії.



Рекомендації щодо безпеки для Windows Server 2008/2012
Для забезпечення безпеки підключень по RDP у випадку, коли з'єднання з сервером здійснюється не через VPN, рекомендується використовувати SSL/TLS-тунелювання з'єднання. Про це і не тільки.

Захищене SSL-з'єднання з використанням Boost.Asio і OpenSSL під Windows
Для складання сервера і клієнта під Windows з використанням Boost Asio і OpenSSL плюс організацією обміну інформацією з захищеного SSL-з'єднання.

SSL/TLS-сертифікати для клієнтів AWS
Вступна інформація і коротка інструкція для тих, хто користується Amazon Web Services.

Налаштування SSL для додатків на AWS
Покрокове пояснення процесу отримання сертифіката SSL.

Дружимо virt-manager з віддаленою системою поверх TLS
Покрокова інструкція від saamich про те, що потрібно для використання графічного virt-мападег'а для управління гіпервізорами на віддалених серверах.

Налаштування Nginx з let's Encrypt на CentOS 7
Керівництво для let's Encrypt, некомерційного проекту Mozilla і EFF, розповіді про якому були наведені вище.

Інструкція по установці SSL-сертифіката let's Encrypt на сервер CMS Bitrix та Nginx
Подготовка отримання сертифіката, настройка і оновлення.

Налаштування SSL-сертифікату для проекту «Raise Your Flag» на Nginx
Практичний посаду одного з учасників проекту з пошуку вакансій. Сам проект розміщено на DigitalOcean.

Джерела по темі SSL-сертифікатів від Palo Alto Networks
Типи сертифікатів та практичні керівництва різного рівня складності.



Як перекласти сайт цілком на постійний HTTPS для всіх
Переклад посібника для серверів на базі Linux, на яких встановлено Nginx.

Мігруючи на HTTPS
Ще один переклад від редакції ТМ, в якому описані кроки, які необхідно зробити для перекладу вашого сайту з HTTP HTTPS.

Переходимо на HTTPS на Nginx
Про те, що зробив pistonsky, коли до нього прийшов бос і заявив, що йому потрібен HTTPS. Інструкція в 5 простих кроків.

Чому досі повсюдно не використовується HTTPS
Хороший питання і гідну відповідь, переклад якого опублікував thevar1able.

Повсюдний перехід на HTTPS
Чому це не треба робити всім, і на що слід звернути увагу, якщо говорити про TLS.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.