Startssl com: Notice to all StartCom subscribers

Я создал самозаверяющий сертификат, но браузер говорит мне: этот корневой сертификат ЦС не является доверенным. Чтобы включить доверие, установите этот сертификат в хранилище доверенных корневых…

Вопрос, связанный с Лазарем или Delphi. Есть ли способ программно получить доступ к сертификатам доверенных корневых центров сертификации в Windows? Я знаю, что в Windows есть инструмент на основе…

Мне нужно аутентифицировать запросы к веб-роли службы Azure Cloud с помощью клиентских сертификатов.

Откуда я могу получить список популярных открытых ключей центров сертификации . Точно так же, как все браузеры поставляются с предустановленными сертификатами(открытыми ключами) центров…

Я пытаюсь создать веб-сайт, который использует SSL с самозаверяющим сертификатом. Вот что я делаю: Создание сертификата центра сертификации: makecert -n CN=root signing authority -r -sv root.pvk…

У меня есть сертификат, выданный мне от Sub CA со следующим путем сертификации: Root CA Sub CA My Certificate Почему, когда я пытаюсь проверить его с помощью X509Chain.Build(), мне всегда нужно. ..

Я создал приложение iOS и сервер rails, которые взаимодействуют друг с другом взад и вперед. Я использую возможности входа в систему, поэтому я хочу SSL. Похоже, что конечная точка SSL на heroku-это…

В контексте Ihe Connectathon я хочу сделать необработанный сервер сокетов, отвечающий на профиль ATNA, который требует сокетов TLS с сертификатами обоих концов. Моя проблема, если суммировать ее в…

Мне нужно преобразовать строку, представляющую дату, в объект timestamp в Ruby. Например: date_string = 18-Feb-2016 09:01:04 convert to a timestamp like so 2016-02-18 14:01:04 Мне нужно сохранить…

Сертификат StartSSL дает SEC_ERROR_REVOKED_CERTIFICATE в Firefox и ERR_CERT_AUTHORITY_INVALID в Chrome

StartSSL подтвердил, что это из-за частично отозванного корневого сертификата StartCom. Они работают над тем, чтобы браузер снова полностью доверял своему корневому сертификату. Похоже, конец февраля будет самым ранним сроком, поэтому не вовремя, чтобы помочь моим сертификатам, срок действия которых истекает через две недели. 🙁

Кому: Стивену Остермиллеру,

Это сообщение электронной почты было создано административным персоналом StartCom:

Здравствуйте,

Все сертификаты, выданные до 21.10.2016, не затрагиваются. Сертификаты, выданные после 21.10.2016, не доверяют браузерам Chrome, Firefox и Safari.

Официальный документ о недоверии> https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

Мы усердно работаем над планом исправления ( https://bugzilla. mozilla.org/show_bug.cgi?id=1311832 ) и делаем все возможное, чтобы восстановить доверие как можно скорее. Один из шагов уже полностью сделан — https://startssl.com/NewsDetails?date=20160919

У нас есть некоторые задержки с временным решением, но у нас будет больше информации только позже в феврале.

Приносим свои извинения за доставленные неудобства.

Пожалуйста, не отвечайте на это письмо. Это неконтролируемый адрес электронной почты, и на ответы на это письмо невозможно ответить или прочитать. Если у вас есть какие-либо вопросы или комментарии, просто нажмите здесь (( https://startssl.com/reply ), чтобы отправить нам вопрос, спасибо.

С наилучшими пожеланиями
Центр сертификации StartCom ™

Qualys SSL Labs

Что касается того, почему Qualys SSL Labs не сообщает об ошибке, я нашел на их форумах ветку, в которой говорится, что им придется жестко кодировать конкретный случай для него, потому что отзыв не был обработан обычным способом. Они еще этого не сделали, но у них есть ошибка, чтобы сделать это .

CA не был отозван обычным образом, поэтому невозможно узнать, просто просматривая OCSP или CRL для отозванных сертификатов. По словам Mozilla, StartCom нарушил несколько правил, но Google и Apple нарушили несколько правил, но поскольку StartCom является одним из ведущих центров сертификации, было бы слишком большим действием просто отозвать сертификат CA, миллионы веб-страниц перестали бы работать. Они решили, что перестанут доверять новым выданным сертификатам этим CA, начиная с новой версии браузера. Это было объявлено, как два месяца назад, поэтому веб-администраторы успели получить новый сертификат от другого центра сертификации.

Не доверять изменению CA жестко запрограммировано в НОВЫХ версиях браузеров, поэтому для получения полезных результатов на ssllabs.com эти правила также должны быть жестко запрограммированы в тесте. Не самое симпатичное решение, но выглядит только одно.

Fire Fox

Блог безопасности Mozilla: недоверие к новым сертификатам WoSign и StartCom

Хром

Google и Chrome не доверяют сертификатам WoSign и StartCom

Chrome постепенно удаляет эти сертификаты с последующими выпусками браузера .

• Chrome 56 не доверяет всем сертификатам, выданным после 21 октября 2016 года.
• Chrome 57 также не доверяет всем старым сертификатам, если только сайт не входит в число лучших сайтов Alexa.
• Chrome 58 также не доверяет всем старым сертификатам, если только сайт не входит в топ 500 000 Alexa.
• Chrome 61 не доверяет ВСЕМ сертификатам, подписанным StartSSL и WoSign

Сафари

Apple и Safari блокируют доверие для бесплатного сертификата WoSign CA SSL G2

Конец StartCom

Я получил следующее письмо от StartCom об их закрытии:

Уважаемый клиент,

Как вы наверняка знаете, производители браузеров не доверяли StartCom около года назад, и поэтому все сертификаты конечных объектов, недавно выпущенные StartCom, по умолчанию не пользуются доверием в браузерах.

Браузеры установили некоторые условия для повторного принятия сертификатов. В то время как StartCom считает, что эти условия были выполнены, похоже, еще есть определенные трудности. Учитывая эту ситуацию, владельцы StartCom решили прекратить деятельность компании в качестве центра сертификации, как указано на веб-сайте Startcom.

StartCom прекратит выдачу новых сертификатов с 1 января 2018 года и будет предоставлять только услуги CRL и OCSP в течение еще двух лет.

StartCom хотел бы поблагодарить вас за вашу поддержку в это трудное время.

StartCom связывается с некоторыми другими центрами сертификации, чтобы предоставить вам необходимые сертификаты. Если вы не хотите, чтобы мы предоставили вам альтернативу, пожалуйста, свяжитесь с нами по адресу [email protected]

Пожалуйста, дайте нам знать, если вам нужна дополнительная помощь в процессе перехода. Мы приносим свои извинения за возможные неудобства.

С уважением, Центр сертификации StartCom

Бесплатный SSL сертификат для сайта и настройка на nginx.

Появилась идея перевести несколько своих сайтов на HTTPS говорят , что GOOGLE добавляет таким сайтам плюсик в карму, да и просто почему бы и не использовать защищенное соединение.

Поскольку платить за сертификат для некоммерческого сайта неохота, поискав натолкнулся на центр сертификации StartSSL , огромное спасибо людям на habrahabr.

На StartSSL можно получить SSL сертификат (Класс 1) проверив только email адрес и владение доменом, для защиты личных данных и предотвращения прослушивания Интернет-соединений , совершенно бесплатно. Но если вам необходим сертификат классом выше , например для электронной коммерции, то тут придется раскошелится на некоторую сумму. Не буду расписывать весь процесс получения заветного бесплатного сертификата поскольку на сайте StartSSL присутствует частично русский язык и интуитивно понятно что необходимо сделать.

Пройдя по всем этапам и получив заветные два файла с приватным ключом и сертификатом для сайта приступим к настройке. Поскольку у меня Apache не смотрит в интернет то всю настройку я производил только в конфиге NGINX

Расшифровываем наш приватный ключ

openssl rsa -in ssl. key -out ssl.key

Поскольку в NGINX нет аналога параметру SSLCertificateChainFile то нам необходимо наш сертификат и сертификат вышестоящей инстанции соединить в один файл.

#скачивааем сертификат с сайта startssl.com
wget http://www.startssl.com/certs/sub.class1.server.ca.pem
#Объединяем его с нашим сертификатом в один 
cat ssl.crt sub.class1.server.ca.pem > ssl-unified.crt

Настраиваем наш сайт

server {
	listen   80 ;
	server_name example.org www.example.org;
	#Делаем 301 редирект с 80 порта на 443
	return 301 https://www.example.org$request_uri; 
		}
server {
    listen          443 ssl;
    server_name     example.org www.example.org;

    ssl                  on;
	#Подключаем получившийся файл с двумя сертификатами
    ssl_certificate /var/www/ssl/ssl-unified.crt;
	#Подключаем файл с нашим расшифрованным приватным ключем
    ssl_certificate_key /var/www/ssl/ssl. key;
	
    location / {
        proxy_pass http://127.0.0.1:81;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header Host $http_host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }
    }

Да это мне помогло избавится от необходимости ставить модуль MOD_GNUTLS для решение проблем с несколькими виртуальными хостами на 443 порту одно IP адресе.

Зачем HTTPS для сайта

Доверие и безопасность.

Наличие HTTPS актуально не только для ресурсов запрашивающих личные данные или информацию о платежных картах. Но и для обычных сайтов есть поводы использовать HTTPS/SSL шифрование.

• HTTPS подтверждает, что сайт – единственный адресат, с которым должен общаться сервер.
• HTTPS шифрует любые коммуникации, включая URL’ы, что защищает, например, историю загрузок браузера.
• HTTPS предотвращает участие в канале передачи данных любых третьих лиц.

Больше данных о входящем трафике.

Когда трафик приходит с страниц использующих HTTPS на сайт с HTTP , данные об источнике скрываются и в отчетах систем аналитик мы их видим как прямой заход на наш ресурс. Но если трафик приходит на сайт с HTTPS то защищенная реферальная информация сохраняется и мы не теряем данных об источнике перехода вне зависимости HTTPS или HTTP.

Google

Google учитывает в качестве одного из многих факторов ранжирования наличие HTTPS, но не осной.

Ну и конечно ложка дёгтя

Как всегда наши любимые поисковые системы воспринимают HTTP и HTTPS версии сайта как два разных ресурса. Соответственно переход сайта на HTTPS грозит еще и потере позиций , поскольку должно пройти время пока поисковая машина поймет что это основное зеркало сайта и произведет «склейку»

Обзор сервиса бесплатных ssl сертификатов startssl.com

Это будет многим полезно.
Особенно тем, кто только начинает. Я вообще люблю писать посты именно для нубов, так как постоянно нубы обращаются, то им посоветуй, это им посоветуй. Даже личные блоги когда были созданы с этой целью, чтобы сто раз одно и тоже не рассказывать людям, а давать просто ссылку на пост 🙂

Итак. Зачем покупать дешевый сертификат за 300р ? Или за 3000р wildcard ? Когда их можно сделать — абсолютно бесплатно.
Хочу сказать спасибо вот этому хостеру и его создателю mxneo, именно он своими постами, где бесплатное продавал по 150-250р и заставил меня изучить очередное что-то новое и разобраться, как оно на самом деле.
Оказывается — все очень просто. А советы на форумах, типо там кодировать/перекодировать сертификат нужно чтобы он нормальный стал или пиздец жесть ебанутая регистрация на зарубежном языке — просто миф и вранье, а я верил раньше и почти год не интересовался этим сайтом, где-то 8к выкинул на сертификаты, а мог бы и не выкидывать, если бы знал 🙂

Под катом подробное описание с скринами по пунктам.

Итак. Идем и регистрируемся. https://www.startssl.com/?app=11
Выбираем Sign-up.

Заполняем данные.
Тут стоит обратить 2 момента. Есть несколько уровней и разные возможности пользователя.
Сертификаты, которые на 1 год, на 1 домен. Такого рода.
Такие сертификаты вы сможете создавать уже сразу после регистрации. Можете от балды даже данные вписать.

А вот если вы хотите вот такие сертификаты создавать. То там будет проверка данных.

Итак, сразу скажу какие данные.
Скан паспорта. Да, вы можете пойти на файлообменники, забить в поиск «паспорт» «scans» «скан паспорта» и подобные ключевые слова и скачать любой паспорт, который когда-то закачивали нубасы. Но проверка там сложная 🙂 Итак обратите внимание — кроме скана паспорта нужно еще предоставить любое другое удостоверение этого же человека, водительские права, военный билет, загран паспорт. Ну короче — нужно 2 документа. Только тогда проверка пройдет.
Проверку проходить вот тут. (после регистрации это личный кабинет)

А потом ! Внимание. Потом на адрес прописки вам отправят заказное письмо с кодом.
И только тогда вы сможете создавать бесплатно вот такие вот сертификаты.
На домен и все поддомены. Удобно как раз хостерам, когда куча серверов и поддоменов. И это — бесплатно.

Или 1 сертификат на кучу доменов.

Вот такие дела 🙂

И еще нужно будет оплатить 60$ либо пластиковой картой, либо через PayPal. Чтобы проверка произошла успешно.

А теперь давайте я покажу как создавать сертификаты.
Сначала добавляем домен, на который будет выписывать. Ну проверку подлинности пройти, что мы действительно владелец домена.

Создаем сертификат.

Придумываем ключ-пароль.

Сохраняем куда-ниб то, что нам выдало. Это PRIVATE KEY. Но закодированный паролем. 

Далее нам создается сам сертификат. BEGIN SERTIFICAT. Его тоже копируем и сохраняем. 
Но приват-кей у нас какой-то неправильный. ISP manager например не принимает 🙂
Идем вот сюда и делаем нормальный

Потом в ISP manager, вкладка SSL сертификаты. Создаем новый. Вводим наши данные что мы создали.

А потом выбираем нужный домен, в вкладке WWW-домены — редактировать — внизу будет выбор сертификата.

ВСЕ 🙂
Кстати миф, что каждому ssl сертификату нужен только 1 ip — тоже пиздешь хостеров. Они специально пиздят чтобы продать побольше ip. Легко можно лепенить кучу доменов, кучу реально разных сертификатов. И все домены будут на 1 единственном ip.

Обзор написан alice2k, надеюсь хостеры будут теперь экономить на ssl. А еще можно покупать домены людям и в подарок дарить ssl 😉

Получение бесплатного SSL сертификата

На дворе май 2017-го, а браузеры продолжают путь к «защищённому» интернету, смысл которого заключается в обязательной ssl-сертификации всех сайтов. Этот путь начался давно ^англ и, некоторое время назад Chrome начал дописывать «Информацию о сайте», в котором указано, что соединение с сайтом не защищено. Mozilla пошла дальше и теперь при заполнении форм входа на сайт, пользователи стали получать сообщение:

Это соединение не защищено. Логины, введенные здесь, могут быть скомпрометированы.

Описание данного явления можно увидеть на официальном сайте Mozilla.

Здорово, Mozilla! Молодцы, Mozilla! Теперь, для любого смертного, попадающего на Ваш сайт, это сообщение выглядит как: Эй, человек! Этот сайт очень страшный и опасный, и он точно сломает твой компьютер. А если не cломает то украдёт твои деньги!
Конечно, я утрирую, но такие надписи значительно уменьшают уровень доверия к сайту.

Ну что ж. Надо, так надо. Попробуем разобраться, что можно сделать без денег.

Если Ваш сайт имеет под собой коммерческую основу, то Вам ничего не стоит потратить хотя бы $100 — $200, чтобы купить нормальный сертификат. Но те, которые хотят «таблеток от жадности, да побольше!», и сертификат желают получить нахаляву (а лучше два =) ). Я, со своим блогом, тоже в этом клане и для нас нищебродов есть сайты, которые выпускают бесплатные сертификаты. Их полно, но два отличаются особо: StartSSL и Let’s Encrypt.

Платные сертификаты лучше

Разница заключается в том, что бесплатные CA не дают гарантий. В какой-то момент сертификат может стать не валидным и тогда, с ним будет хуже, чем без него.

Выбор платных CA велик: RapidSSL, GeoTrust, Comodo. Могу рекомендовать только Thawte  ^англ.
С другими не работал, а от Thawte остались положительные впечатления.

Бесплатный сертификат от StartSSL

StartSSL, который переехал на адрес startcomca.com ^англ раздаёт сертификаты давно и даже статьи на хабре есть по этому поводу. Впрочем, они уже не актуальны.

Бесплатные сертификаты от StartSSL не валидны

С 21-го октября 2016 года браузеры перестали доверять CA StartSSL и WoSign. Так описывают эту причину Google  ^англ. StartSSL сообщают, что исправят проблемы в течении полугода.

Чтобы получить бесплатный сертификат от StartSSL, необходимо:

1. Зарегистрироваться на startcomca.com  ^англ
2. Подтвердить право владения доменом(и) (верификация)
3. Сгенерировать CSR и сделать запрос на получение сертификата одним из предложенных способов
4. Прикрепить полученный сертификат к домену

1. Регистрация в startcomca.com

Регистрация  ^англ простая. Пароля нет, почту подтверждать не надо. Каждый последующий вход выполняется путём получения кода для входа на почту.

2.

Верифицировать можно разными способами. Мы берём бесплатный сертификат, поэтому любой способ подойдет. Выбираем что проще. Например, верификация по email’у.

Верификация проходит также как и в большинстве других случаев: подтверждением владения почты административной почты. На почту приходит код, вводим его, профит. После этого в правом столбце у Вас появится подтверждённое доменное имя.

3. Запрос на сертификат

Теперь у нас есть подтвержденный домен и можно приступать к получению сертификата. Выбираем самый простой тот, что бесплатный

Этот шаг занимает чуть больше времени, чем остальные, но тоже прост: заполняем форму и отправляем.

1. Указываем до 10-ти доменных имен
2. Выбираем способ генерации CSR

3. Выполняем команду и генерируем CSR. В процессе генерации CSR Вам будет задан ряд вопросов, ответы на которые необходимо вводить в латинской раскладке. Достаточными являются:

   • Country Name (2 letter code) [AU] — страна регистрации организации, для которой получаем сертификат (для Росcии — RU)
   • State or Province Name (full name) [Some-State] — область, регион регистрации организации (Москва — Moscow)
   • Locality Name (eg, city) [] — город регистрации организации (Москва — Moscow)
   • Organization Name (eg, company) [Internet Widgits Pty Ltd] — наименование организации
   • Common Name (e. g. server FQDN or YOUR name) [] — доменное имя, для которого генерируется сертификат

   openssl req -newkey rsa:2048 -keyout mbaev.key -out mbaev.csr
   Generating a 2048 bit RSA private key
   ..................................................+++
   .............................................................+++
   writing new private key to 'mbaev.key'
   Enter PEM pass phrase:
   Verifying - Enter PEM pass phrase:
   -----
   You are about to be asked to enter information that will be incorporated
   into your certificate request.
   What you are about to enter is what is called a Distinguished Name or a DN.
   There are quite a few fields but you can leave some blank
   For some fields there will be a default value,
   If you enter '.', the field will be left blank.
   -----
   Country Name (2 letter code) [AU]:RU
   State or Province Name (full name) [Some-State]:Samara
   Locality Name (eg, city) []:Samara
   Organization Name (eg, company) [Internet Widgits Pty Ltd]:Mbaev's blog
   Organizational Unit Name (eg, section) []:
   Common Name (e. g. server FQDN or YOUR name) []:mbaev.com
   Email Address []:
   ----
   Please enter the following 'extra' attributes
   to be sent with your certificate request
   A challenge password []:
   An optional company name []:
   

   Пароль не обязателен

   Если в процессе формирования CSR вы укажете пароль, то он понадобится в момент крепления сертификата к домену. Если за вас это будет делать техподдержка, то они попросят у Вас этот пароль.

4. Далее открываем сформированный <файл>.csr, копируем содержимое и вставляем в ожидающее нас поле.

5. Отправляем и смотрим результат
   

4. Крепление сертификата к домену

Начать стоит, безусловно, со скачивания самого сертификата. Список всех сертификатов можно увидеть на странице Certificate list.

В скачанном архиве будет несколько папок и куча сертификатов. Это все один и тот же сертификат, только используется в разных случаях.

Сам процесс крепления обычно начинается и заканчивается запросом в службу техподдержки, где вам нужно будет предоставить полученный архив и файл с расширением . key, который Вы сформировали самостоятельно.

Сертификат от Let’s Encrypt

Однажды, два сотрудника из Mozilla почесали и репу и сказали: «Ёшки-матрёшки! Да что ж это такое?! Сертификаты — это же, всего лишь, единицы и нули. А почему бы нам не раздавать их всем желающим?.. Ну хотя бы тем, у кого нет коммерческой подоплёки?». Другие воскликнули: «Да! Давайте раздавать!». Так возникла идея автоматизированного сервиса по выдаче бесплатных сертификатов сроком на 90 дней, которую, мы теперь знаем под названием Let’s Encrypt.

Этот сервис полностью автоматизирован. Он устанавливается на хостинг за 15 минут, а процедура получения сертификата занимает до 30 секунд, в которую входит выполнение 2-х команд.

Установка CertBot’а — это отдельная тема, но всё же приведу несколько ссылок:

IT-Patrol

Хостинг, который вызывает у меня симпатию IT-Patrol, тоже поддерживает автоматизированный выпуск сертификатов от Let’s Encrypt. Этот хостинг «заточен» на работу с cms Drupal  всех версий и нынче он располагается по адресу drupalhosting. ru . Моё последнее обращение к ним началось с просьбы о подключении автогенерации сертификата от Let’s Encrypt. Наше общение было такое же простое, лёгкое и приятное, как все предыдущие и через некоторое время я получил заветное сообщение «Подключили сертификаты. Проверьте, пожалуйста.»

That’s it.

Полезные ссылки

Продление сертификата от StartSSL — kurazhov’s blog

1. Немного слов о процедуре продления личного сертификата от StartSSL

После создания сертификата и по истечении 11 месяцев со дня начала его действия на почту придёт письмо о необходимости его продления. Перейдя по ссылке (https://startssl.com/Certificates) и войдя в систему по сертификату, который вы сделали ранее, попадёте в панель управления. (Не обязательно сразу кидаться обновлять сертификат, как оказалось позже)

Панель управления

Вверху выведены три вкладки. ToolBox — вкладка с самыми часто используемыми действиями (как бы подразумевается), Certificates Wizard — вкладка для создания и выпуска нового сертификата, Validation Wizard — вкладка для подтверждения e-mail, доменного имени и других классов сертификации.

Иногда необходимо подтвердить, что e-mail ваш и вы им владеете, в противном случае валидацию домена вы не пройдёте.

2. Продление сертификата

Переходим на вторую вкладку и указываем пункт генерации сертификата для web-сервера.

В следующем окне вводите:

а) ваше доменное имя (можно без www)
б) Запрос на сертификат. В поле подсказке написано, что его можно генерировать как из консоли веб-сервера, так и используя программу StartSSL

3. Воспользуемся способом запроса сертификата из консоли.

openssl req -new -nodes -keyout yourname.key -out yourname.csr

,где yourname.key — Ваш новый приватный ключ (сохраните в надёжном месте!), а yourname.csr — файл запроса сертификата, его и нужно будет отправить в центр сертификации.

В процессе создания запроса необходимо ответить на следующие вопросы:

Country Name (2 letter code) [AU]: RU //код страны
 State or Province Name (full name) [Some-State]:  //вписываете то же значение области, что и видно справа в панели управления. 
 Locality Name (eg, city) []: Moscow //вписываете свой город
 Organization Name (eg, company) [Internet Widgits Pty Ltd]: //вводить не обязательно для физ.лица, достаточно поставить точку и значение по-умолчанию станет пустым
 Organizational Unit Name (eg, section) []: //тоже можно оставить пустым
 Common Name (e.g. server FQDN or YOUR name) []:kurazhov.ru //самое главное - ваше доменное имя без www
 Email Address []: [email protected] //почта за которой закреплена Ваша учётная запись.
 A challenge password []: //не заполнять! сразу жмём Enter
 An optional company name []: //не заполнять! сразу жмём Enter

На выходе получаем файлы yourname.csr и yourname.key. yourname.csr отправляем в центр сертификации. Копируем текст и вставляем во второе поле, показанное на картинке выше. Жмём Submit

И в списке сертификатов видим новый. Скачиваем, устанавливаем, радуемся.

Я не думал, что процедура выпуска нового сертификата будет такой быстрой, и сделал запрос за месяц. По идее, можно было сделать запрос в день окончания действия старого сертификата.

— действительно ли StartSSL.com заслуживает доверия?

Хотите улучшить этот вопрос? Обновите вопрос, чтобы на него можно было ответить с помощью фактов и цитат, отредактировав это сообщение.

Закрыт 4 года назад.

Мне пришло следующее электронное письмо:

Уважаемые клиенты StartCom,

Это электронное письмо создано администрацией StartCom. Персонал:

StartCom, ведущий глобальный центр сертификации (CA) и провайдер доверенные службы идентификации и аутентификации, объявляет о новой услуге — StartEncrypt сегодня, автоматическая выдача сертификатов SSL и установочное программное обеспечение для вашего веб-сервера.

StartEncrypt основан на системе StartAPI, позволяющей получить SSL сертификат и установите сертификат SSL на свой веб-сервер для бесплатно и автоматически, без кодирования, всего одним щелчком мыши, чтобы установить его в ваш сервер.

Сравните с Let’s Encrypt, StartEncrypt поддерживает Windows и Linux сервер для наиболее популярного программного обеспечения веб-серверов, и многие несравненные преимущества как:

(1) Не просто получить сертификат SSL автоматически, но и установить его автоматически;

(2) Не только зашифровано, но и удостоверение личности подтверждено для отображения EV Green Bar и название организации OV в сертификате;

(3) Сертификат не только на период 90 дней, но и до 39 месяцев, и более более 1180 дней;

(4) Не только сертификат DV SSL с низким уровнем надежности, но и высокий уровень надежности SSL-сертификат OV и сертификат EV SSL с зеленой полосой;

(5) Не только для одного домена, но до 120 доменов с подстановочными знаками служба поддержки;

(6) Все сертификаты OV SSL и EV SSL бесплатны, просто сделайте убедитесь, что ваша учетная запись StartSSL подтверждена как удостоверение класса 3 или 4.

StartEncrypt вместе со StartSSL, чтобы позволить вашему сайту перейти на https безболезненно, чтобы на вашем веб-сайте оставалась зеленая полоса, которая дает больше быть уверенным для вашего онлайн-клиента и приносить вам онлайн-доход. Приступим к шифрованию.

Не отвечайте на это письмо. Это неконтролируемое письмо адрес, и ответы на это электронное письмо нельзя ответить или прочитать. Если у вас есть какие-либо вопросы или комментарии, просто нажмите здесь, чтобы отправить нам свой вопрос, спасибо.

С уважением, Центр сертификации StartCom ™

Есть несколько схематично звучащих фраз, например , и много несравненных преимуществ, например:

Я заглянул на сайт startssl.com, и он не внушал особого доверия, за исключением зеленой полосы в URL-адресе StartCom Ltd .:

Это заслуживающий доверия CA, у которого просто есть плохие английские копирайтеры, или есть какая-то история, о которой следует беспокоиться?

Free StartSSL.

Мгновенно делитесь кодом, заметками и фрагментами.

Бесплатный SSL-сертификат StartSSL.com HOWTO

Пишу по памяти, поэтому могут появиться ошибки.

Это было обновлено для использования сертификатов SHA256.

Пуск

1. Перейдите на http://www.startssl.com/
2. Щелкните «Панель управления»
3. Нажмите «Экспресс-лейн»

Подтверждение личности

4. Заполнить форму, отправить
5. Проверьте свою электронную почту на наличие кода подтверждения, введите его, отправьте
6. Вы получите сертификат на стороне клиента, действительный в течение 1 года, установленный в хранилище вашего браузера. Думайте об этом как о пароле вашей учетной записи StartSSL. Сделайте резервную копию.

Проверка домена

7. Введите ваше доменное имя
8. Выберите адрес электронной почты, который вы хотите подтвердить (postmaster @, hostmaster @ или webmaster @)
9. Проверьте свою электронную почту на наличие кода подтверждения, введите его, отправьте

Генерация сертификата

10. Пропустите этап генерации на сайте startssl, потому что вы будете делать это прямо на своем сервере
11. На вашем компьютере с Linux создайте запрос .cfg для OpenSSL, чтобы вам не приходилось постоянно отвечать на вопросы:

  [требуется]
default_bits = 2048
default_keyfile = privkey.pem
отличительное_имя = req_distinguished_name
подсказка = нет

[req_distinguished_name]
countryName = LT
stateOrProvinceName =.
localityName = Вильнюс
organizationName = Варденис Паварденис
organizationUnitName =. 
commonName = пример.ком
emailAddress = [email protected]
  

12. openssl req -config req.conf -newkey rsa: 2048 -nodes -keyout subdomain.example.com.pem -sha256 -out subdomain.example.com.csr
13. chmod 600 subdomain.example.com.pem — это ваш закрытый ключ, держите его в секрете!
14. скопируйте текст из subdomain.example.com.csr в веб-форму StartSSL, отправьте
15. выберите подтвержденный домен из шага 7 (example.com), выберите желаемый поддомен
16. скопируйте текст сертификата в файл с именем subdomain.example.com.crt

Установка сертификата в Apache в системах Ubuntu / Debian

17. скопируйте / переместите subdomain.example.com.crt в / etc / ssl / certs / на вашем веб-сервере
18. скопируйте / переместите subdomain.example.com.pem в / etc / ssl / private / на вашем веб-сервере
19. загрузить https://www.startssl.com/certs/class1/sha2/pem/sub. class1.server.sha2.ca.pem
20. скопируйте / переместите загруженный sub.class1.server.sha2.ca.pem в / etc / ssl / certs / startssl-class1-intermediate-sha2.крт
21. поместите это в свою конфигурацию Apache (например, внутри директивы ):

  SSLCertificateFile /etc/ssl/certs/subdomain.example.com.crt
    SSLCertificateKeyFile /etc/ssl/private/subdomain.example.com.pem
    SSLCertificateChainFile /etc/ssl/certs/startssl-class1-intermediate-sha2.crt
  

22. Судо A2enmod SSL
23. sudo apache2ctl configtest && sudo apache2ctl изящный

Проверка

24. openssl s_client -connect поддомен.example.com:443 -servername subdomain.example.com -CApath / etc / ssl / certs
25. посетите https://www.ssllabs.com/ssltest/analyze.html и протестируйте его там тоже

Сертификаты для нескольких поддоменов

26. Обязательно отредактируйте /etc/apache2/ports. conf и убедитесь, что он содержит NameVirtualHost *: 443
27. Перейдите на startssl.com, нажмите «Панель управления», выберите вкладку «Мастер сертификатов», запросите новый сертификат веб-сервера.
28. Создайте новый CSR и новый сертификат, установите его, как описано выше (шаги 10-25).

Примечания:

• для этого требуется SNI, что означает, что пользователи, застрявшие с Windows XP или Internet Explorer 6, не смогут увидеть нужные сертификаты и могут получить страшные предупреждения системы безопасности.
• , чтобы получить групповой сертификат или один сертификат, действительный для нескольких поддоменов, вам необходимо выполнить проверку личности класса 2 (то есть отправить StartSSL 59,90 долларов США, а также сканировать два разных действительных идентификатора фотографии, например.грамм. паспорт и водительское удостоверение)

Сертификаты для нескольких доменов

То же, что и выше, за исключением того, что вам также необходимо снова выполнить проверку домена.

  StartSSL предлагает бесплатный (для личного использования) сертификат SSL X.509 класса 1 «StartSSL Free», который работает для веб-серверов (SSL / TLS), а также для шифрования электронной почты (S / MIME).  Он также предлагает сертификаты класса 2 и 3, а также сертификаты расширенной проверки. Все основные браузеры поддерживают сертификаты StartSSL.
  

  StartCom, ведущий глобальный центр сертификации (CA) и провайдер надежных служб идентификации и аутентификации, только в конце года запустил свой недавно разработанный веб-сайт и объявляет о расширении своей деятельности в Китае.
  

  root @ kali: ~ / # хост www.startssl.com
www.startssl.com имеет адрес 97.74.232.97 <- Godaddy
www.startssl.com имеет адрес 52.7.55.170 <- Amazon Web Services
www.startssl.com имеет адрес 52.21.57.183 <- Amazon Web Services
www.startssl.com имеет адрес 52.0.114.134 <- Amazon Web Services
www.startssl.com имеет адрес 50.62.56.98 <- Godaddy
www.startssl.com имеет адрес 104.192.110.222 <- QiHU 360 Inc.
www.startssl.com имеет адрес 50.62.133.237 <- Godaddy
корень @ kali: ~ / #
  

  www.startssl.com разрешает для 1 IP-адреса 104.192.110.222
auth.startssl.com -> 104.192.110.222
www.startpki.com -> 104.192.110.222
  

 
 C = IL 
 
 O = StartCom Ltd. 
 
 OU = Secure Digital Certificate Signing 
 
 CN = StartCom Class 2 Primary Intermediate Server CA