Как настроить HTTPS, ничего не платя нигде? (Но без предупреждений от Firefox)
Обычная настройка HTTPS требует сертификата, который подписан неким богатым органом и требует [ежемесячной] платы и периодического обслуживания (для предотвращения истечения срока действия). Таким образом, Firefox отображает счастливый зеленый значок, что сертификат в порядке, и пользователи знают, что он подключается к серверу, по крайней мере, управляемому кем-то достаточно богатым, чтобы позволить себе сертификат.
Простая настройка HTTPS основана на самозаверяющем сертификате (или некотором временном "рекламном предложении" какого-либо второстепенного центра сертификации). При подключении к этому серверу Firefox почти всегда показывает Big Fat Warning, что может напугать пользователей и снизить удобство использования сайта. Таким образом, самый простой способ решить эту проблему - просто проигнорировать безопасность и вернуться к обычному незашифрованному HTTP.
Как сделать так, чтобы трафик от Firefox был зашифрован (хотя бы от пассивного сниффинга), но не настолько высокого уровня безопасности, который требуют третьи стороны? Нечто подобное в OpenSSH.
4 ответа
StartSSL предоставляет бесплатные проверенные сообществом сертификаты, это может вас заинтересовать. Зеленый значок можно получить только через расширенную проверку, которая не является бесплатной.
SSL по-прежнему защищен от пассивного прослушивания даже при использовании ненадежных сертификатов.
Если это для вашего собственного использования, создание собственного ЦС - это хорошо. Знающие люди не согласятся включить ваш домашний центр сертификации в свой браузер - это позволяет вам выдавать себя за любой веб-сайт SSL, пока вы человек в центре.
Если вы заинтересованы в том, чтобы мировое интернет-сообщество не получило предупреждение, вам не повезло. Вам нужно иметь сертификат SSL от центра сертификации, о котором Firefox знает, в противном случае люди, получившие такое приглашение. Вы можете получить очень недорогие сертификаты SSL от CA, которые Firefox уже настроен на доверие из коробки.
Если у вас есть небольшое сообщество людей, с которыми вы работаете, вы можете сгенерировать свои собственные сертификаты SSL и настроить свой собственный центр сертификации для их проверки. При этом, однако, вам нужно будет, чтобы все ваши пользователи добавили ваш центр сертификации в качестве доверенного центра сертификации в Firefox, чтобы он проверил ваш сертификат и дал им счастливый зеленый значок, к которому вы стремитесь.
Я работаю в высшем учебном заведении в США. Если вы работаете в квалификационном учреждении (IANAL, так что не спрашивайте меня), вы можете получить действительный двухлетний сертификат в испанском центре сертификации, ipsCA. Если вы перейдете по этой ссылке, то увидите, что она написана мелким шрифтом. Мы использовали это в нашем учреждении для некоторых утилитарных ящиков, но я не уверен, что это пошло в производственные услуги AFAIK.
Нельзя сказать, что у этого нет своей справедливой доли проблем. Нам пришлось отключить проверку OCSP для некоторых людей в нашей группе, потому что браузер будет очень долго зависать от этого сертификата. Мы не могли понять, почему гораздо позже, а затем тайм-ауты перестали быть проблемой. Статус ошибки не дает понять, будет ли это решено в будущем. Но эй, бесплатно это бесплатно.
Изменить: я не могу опубликовать более одной ссылки, потому что я слишком неопытен, чтобы справиться с этим на этом сайте, согласно сообщению об ошибке. Посмотрите на ошибку Firefox 529286 и OCSP в вики Mozilla, чтобы понять, о чем я говорю.
Если вы зарегистрируетесь в StartCom, вы можете получить бесплатный сертификат SSL, который считается действительным как в Firefox, так и в IE. Это не подтверждено сообществом, но подтверждено тем, что вы являетесь владельцем домена (или, по крайней мере, имеете доступ к учетным записям postmaster, webmaster или hostmaster).