Let’s Encrypt рассказал об уязвимости, позволяющей в обход получить сертификат безопасности


Оглавление (нажмите, чтобы открыть):

Страница поста от канала IT Новости

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме

Пожаловаться

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме

Часто задаваемые вопросы

Последнее обновление: Jul 6, 2020 | Вся документация

Этот раздел состоит из двух частей:

Общие вопросы

Какие услуги предлагает Let’s Encrypt?

Let’s Encrypt — это глобальный Центр Сертификации (ЦС), или Удостоверяющий Центр (УЦ). Мы помогаем людям и организациям в получении, обновлении и управлении SSL/TLS сертификатами. Наши сертификаты используются сайтами для организации доступа к ним по безопасному протоколу HTTPS.

Let’s Encrypt предлагает сертификаты с подверждением домена (Domain Validation, DV). Мы не выпускаем сертификаты с подтверждением организации (Organization Validation, OV) или сертификаты высокой надёжности (Extended Validation, EV), потому что не можем пока автоматизировать выдачу таких сертификатов.

Чтобы начать, посетите страницу документации Приступая к работе.

Сколько стоят услуги Let’s Encrypt? Это действительно бесплатно?

Мы не берём плату за наши сертификаты. Let’s Encrypt — некоммерческая организация, свою миссию мы видим в создании более безопасного, и уважающего конфиденциальность Интернета через широкое распространение HTTPS. Наши услуги бесплатны и просты в использованнии, поэтому каждый может настроить HTTPS для своего сайта.

Нам нужна поддержка спонсоров, грантодателей и отдельных людей, чтобы предоставлять наши услуги бесплатно по всему миру. Если вы хотите поддержать нас — сделайте пожертвование, или станьте нашим спонсором.

Иногда, компании-интеграторы (например хостеры) могут взимать номинальную плату для покрытия административных и управленческих расходов по интеграции с Let’s Encrypt.

Какую техническую поддержку вы предлагаете?

Let’s Encrypt — небольшая компания, мы полагаемся на автоматизацию для снижения издержек. Поэтому мы не можем предложить непосредственную техническую помощь каждому из наших пользователей. Но у нас есть другие способы помочь вам:

  1. Полноценная документация
  2. Активный и полезный форум сообщества. Члены нашего сообщества ведут активную работу по поиску ответов на вопросы, и, скорее всего, на ваш вопрос уже найден ответ.


Вот видео, которое нам нравится — о значимости большого сообщества.

Сайт с сертификатом Let’s Encrypt используется для фишинга / вредоносного ПО / мошенничества/…, что мне делать?

Мы рекомендуем уведомить об этом сервисы Google Safe Browsing и Microsoft Smart Screen, которые способны эффективно защитить пользователей Интернета. Ниже ссылка на форму сообщения::

Хотите узнать больше? Ознакомьтесь со статьёй из нашего блога.

Технические вопросы

Примет ли мой браузер сертификаты от Let’s Encrypt?

Да, большинство браузеров и операционных систем доверяют нашим сертификатам. Для подробной информации обратитесь к реестру совместимости.

Пригодны ли сертификаты Let’s Encrypt для других целей, нежели SSL/TLS для сайтов?

Сертификаты Let’s Encrypt — обычные сертификаты с подтверждением домена, поэтому они пригодны для любых серверов с доменным именем — web-серверы, почтовые серверы, FTP-серверы и т.д.

Для шифрования электронной почты и подписи исполняемого кода нужны сертификаты иного типа, который Let’s Encrypt пока не предоставляет.

Let’s Encrypt создаёт или хранит закрытые ключи для моих сертификатов на своих серверах?

Закрытые ключи всегда создаются и управляются на ваших собственных серверах, а не на серверах Центров Сертификации Let’s Encrypt.

Каков срок действия сертификатов Let’s Encrypt? Какое время они будут считаться действительными?

Наши сертификаты действительны в течение 90 дней с момента выпуска. Почему именно 90 дней? Узнайте в статье из нашего блога.

Не существует способа изменить эту величину, без всяких исключений. Мы рекомендуем автоматически обновлять сертификаты каждые 60 дней.

Планирует ли Let’s Encrypt выпускать сертификаты с подтверждением организации (Organization Validation, OV) или сертификаты высокой надёжности (Extended Validation, EV)?

Нет, мы не планируем выпускать OV или EV сертификаты.

Могу ли я получить сертификат для нескольких доменных имён (SAN или UCC сертификаты)?


Да, один и тот же сертификат Let’s Encrypt может содержать несколько доменных имён, используя механизм Subject Alternative Name (SAN).

Выпускает ли Let’s Encrypt сертификаты с возможностью подстановки (wildcard-сертификаты)?

Да. Такие сертификаты выпускаются на основе протокола ACMEv2 с проверкой доменов по методу DNS-01. Узнайте подробности в статье на форуме сообщества.

Существует ли ACME-клиент Let’s Encrypt для моей операционной системы?

Есть множество реализаций ACME-клиента. Скорее всего, для вашей операционной системы найдётся рабочее решение. На начальном этапе мы рекомендуем использовать Certbot.

Мастер Йода рекомендует:  Как определить оригинальность фотографии и была ли она отредактирована

Могу ли я использовать имеющийся закрытый ключ, или запрос в Центр Сертификации (Certificate Signing Request, CSR)?

Да, но не все реализации ACME-клиента имеют такую функцию. Certbot — имеет.

Какие IP-адреса использует Let’s Encrypt для проверки моего web-сервера?

Мы не публикуем такой список IP-адресов, потому что адреса могут измениться в любое время. В будущем, мы планируем выполнять проверку web-сервера с нескольких IP-адресов одновременно.

Я успешно обновил сертификат — но проверка домена не запустилась. Как такое возможно?

Если вы однажды успешно подтвердили право на доменное имя, результат проверки кэшируется, для последующего использования. Время жизни кэша — 30 дней с момента проверки. Если при обновлении сертификата результаты проверки будут найдены в кэше — то новая проверка запущена не будет до тех пор, пока кэш действителен.

    GitHubTwitter

Ознакомьтесь с нашей политикой конфиденциальности.
Ознакомьтесь с нашей политикой в отношении товарных знаков.

Let’s Encrypt — это бесплатный, автоматизированный и открытый Центр Сертификации, созданный для вас некоммерческой организацией Internet Security Research Group (ISRG).

Linux Foundation является зарегистрированным товарным знаком The Linux Foundation. Linux является зарегистрированным товарным знаком, принадлежащим Линусу Торвальдсу.

В рамках проекта Let’s Encrypt выдан первый бесплатный сертификат безопасности

Let’s Encrypt пока не входит в список заслуживающих доверия сертификатов в браузерах.


Представители Фонда Электронных Рубежей сообщили о том, что в рамках проекта Let’s Encrypt был выдан первый бесплатный автоматизированный сертификат безопасности. Напомним , организованный Linux Foundation и Исследовательской группой интернет-безопасности (Internet Security Research Group, ISRG) проект Let’s Encrypt является бесплатным центром сертификации, который подразумевает выпуск сертификатов безопасности с проверкой доменных имен для web-сайтов.

Первый сертификат в рамках Let’s Encrypt был выдан сайту helloworld.letsencrypt.org. Однако, как сообщает издание The Register, если перейти по HTTPS-ссылке на интернет-ресурс будет выдана ошибка. Это происходит из-за того, что обычные браузеры не доверяют сертификату, выданному helloworld.letsencrypt.org. Эксперты поясняют, что Let’s Encrypt еще не входит в список заслуживающих доверия сертификатов, поставляемых в составе браузеров, однако это будет исправлено в ближайшее время. Пользователю необходимо вручную добавить в браузер корневой сертификат Let’s Encrypt. Процесс установки будет зависеть от браузера.

В течение месяца планируется завершить процесс перекрестного утверждения корневого сертификата Let’s Encrypt с сертификатом другого удостоверяющего центра — IdenTrust, что даст возможность принимать сертификаты Let’s Encrypt практически на всех браузерах.

Стоит отметить, что над проектом Let’s Encrypt наряду с Фондом Электронных Рубежей, Исследовательской группой интернет-безопасности, и специалистами из Университета Мичигана работают такие компании, как Mozilla, Cisco Systems, Akamai Technologies, IdenTrust.

Подписывайтесь на каналы «SecurityLab» в Telegram и Яндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Let’s Encrypt — бесплатный SSL-сертификат: как получить, инструкция по установке, настройке и продлению

В статье рассмотрим плюсы и минусы бесплатного Let’s Encrypt, для кого подойдет, как получить и установить его на сайт с панелью Plesk 12.5

Let’s Encrypt— бесплатный, автоматизированный проект, с открытым CA (certificate authority — центр сертификации).

ОСНОВНЫЕ ПРЕИМУЩЕСТВА

бесплатно: любой владелец сайта (в частности, доменного имени) может получить и установить доверенный TLS-сертификат Let’s Encrypt (TLS — наследник SSL);
автоматизация: все функции установки, конфигурации и обновления проводятся в автоматическом режиме;
безопасность: все методы шифрования Let’s Encrypt отвечают текущим стандартам;
прозрачность: публичная доступность информации о выпуске и отзыве каждого сертификата для любого желающего;
свободно: будет использован принцип open standard для протоколов взаимодействия с CA (certificate authority).

ПРОГРАММНАЯ РЕАЛИЗАЦИЯ

Центр Сертификации выдаёт сертификаты, которые генерируются на АСМЕ сервере по протоколу Boulder, написанные на языке GO (доступный в исходниках под лицензией MPL2).
Данный сервер предоставляет RESTful-протокол, который функционирует через канал с TLS шифрованием.
Клиентская часть протокола АСМЕ , т.е. certbot, написанный на языке Python, также открыт под APACHE лицензией . Certbot устанавливается на клиентском сервере, чтобы создавать запрос сертификата, проверить валидность домена и после этого устанавливает сертификат с последующей настройкой шифрования HTTPS веб-сервера.
Также в функцию certbot входит обновление сертификата после истечения срока действия. Установка сертификата производится одной командой после того как принимается лицензия.
Certbot позволяет устанавливать сертификат с дополнительными опциями -OCSP stapling и HTTP Strict Transport Security

УСТАНАВЛИВАЕМ SSL СЕРТИФИКАТ LET’S ENCRYPT (ИНСТРУКЦИЯ)

Рассмотрим использование сертификата применительно к серверам , используемым на нашем хостинге.
Подавляющее большинство наших серверов используют версию Plesk 12.5 где данный модуль уже включён в дистрибутив Plesk 12.5 и установка его проста и удобна. Достаточно зайти в панель плеск в раздел «Сайты и домены », кликнуть на модуль Let’s Encrypt,

выбрать нужные опции и после нажатия кнопки «Установить», установка произойдёт менее чем за минуту.

Так как данный сертификат рассчитан на срок не более 90 дней, то в панели плеск создана соответствующая задача cron в разделе Инструменты и настройки — Планировщик задач

Стоит заметить, что существуют некоторые ограничения на генерацию сертификата:

  • дублирующие сертификаты — не более 5 в неделю;
  • количество попыток генерации сертификата не более 5 раз в час.


О НЕДОСТАТКАХ LET’S ENCRYPT

В конце этой статьи хотим отметить, что несмотря на все преимущества данного типа сертификата, существуют недостатки, которые нужно учитывать при выборе SSL:

    Бесплатный сертификат Let’s Encrypt кратковременный и рассчитан на срок не более 90 дней, в отличии от платного, который можно выпустить сроком до 3 лет. Вы можете , конечно, перевыпускать сертификат каждые 3 месяца, но обязательно следите за сроками. Перевыпуск сертификата можно осуществить тремя способами: вручную, за счет настройки планировщика задач cron или автоматически.

Если вы выбрали способ обновления вручную, то следите четко за сроками и вовремя перевыпускайте сертификат. Иначе рискуете получить наплыв недовольных пользователей сайта и их последующий отток.

Планировщик задач cron — это способ настройки автоматического обновления. Способ хорош для тех, кто владеет навыками администрирования Linux и умеет работать с кронами. Нужно еще учитывать, что в работе крона не исключены ошибки, которые могут помешать перевыпуску сертификата. Вывод: следить за обновлением все равно придется.

Автоматическое обновление. Этот способ подразумевает, что вы принимаете автоматические настройки, предусмотренные Центром сертификации. И тут нужно понимать, что вы таким образом, даете свое согласие на то, что ЦС может вносить изменения по своему усмотрению в ПО и настройки вашего сервера.
Не все домены можно защитить бесплатным Let’s Encrypt. Данный сертификат рассчитан только на защиту одного домена без проверки компании, так называемые DV SSL (Domain Validation).

Мастер Йода рекомендует:  Комментарии и авторизация на турбо-страницах от Яндекса

Так, при помощи Let’s Encrypt нельзя создать следующие типы сертификатов:

— WildCard сертификат для защиты поддоменов определённого домена;
— Сертификаты OV SSL(organization validation), предполагающие проверку не только домена, но и компании;
— Сертификаты EV SSL (extended validation). Сертификат с максимальной степенью защиты и зелёной адресной строкой браузера;
— Multi-Domain сертификат типа UCC;

  • Важный момент — нет никаких финансовых гарантий использования Let’sEncrypt . Если вдруг произойдет взлом бесплатного сертификата, то денежную компенсацию никто вам не предоставит.
  • ЗАКЛЮЧЕНИЕ

    Подводя итоги, можно сказать, что Центр Сертификации Let’s Encrypt достаточно успешный проект, популярность которого растет с каждым годом среди пользователей сети.

    И если вам нужен простой сертификат для одного домена, вы обладаете соответствующими навыками администрирования, а также если нет необходимости в SSL с проверкой компании (OV- organization validation) или наличие зеленой адресной строки и указания названия компании в сертификате, то данный сертификат можно использовать.

    Тем не менее, мы рекомендуем крупным компаниям, интернет-магазинам, банкам и другим e-commerce проектам устанавливать коммерческие SSL — сертификаты от известных Центров сертификации, таких как, например, GlobalSign, Comodo.
    Так вы заручитесь доверием пользователей и покажете, что вы серьезная компания, которая заботится о безопасности данных клиентов.

      Поделиться:

    SSL Let’s Encrypt в ISP manager не получает сертификат

    Приветствую. Кто подсказать может, на VDS s ISP панелью установил расширения для Let’s Encrypt, активирую для домена процесс получения сертификата.


    И в журнале 403 forbidden (на скрине лог журнала)

    11 ответов

    DNS наверно меняете и они еще не обновились по миру.

    Да уже прошло недели 3 точно. В итоге пишет
    В процессе получения Let’s Encrypt сертификата «имядомена.ru_le2» произошла ошибка: for domain имядомена.ru
    return code:429
    Details:Error creating new authz :: Too many invalid authorizations recently.

    Подскажите, так а как решили проблему-то?
    Столкнулся с аналогичной, никак не могу решить.

    Да никак не решил до сих пор.

    Вчера нашел корень проблемы — она была в домене, который припаркован в Таймвебе. С другими доменами все прошло отлично.

    Последовательность действий:
    a) Удостоверился, что все нормально с правами по алгоритму из этой темы: https://community.letsencrypt.org/t/webroot-plugin-wrong-permission-on-validation-files-nginx-403-error/21728
    — Проверил права на папку /usr/local/mgr5/www/letsencrypt — все ок
    — Через команды cd /usr/local/mgr5/www/letsencrypt и watch ls -la отследил права на файл, который создается в папке /usr/local/mgr5/www/letsencrypt в момент проверки прав на домен (эта папка прописана в конфигурации let’s encrypt — /etc/httpd/conf.d/letsencrypt.conf)
    — Выяснилось, что с правами все хорошо, но ошибка 403 все равно присутствует (755 права, владелец и группа — root)

    б) На другом сервере через file_get_contents() (http://php.net/manual/ru/function.file-get-contents.php ) попробовал получить содержимое произвольной страницы домена, ожидая 404 ошибку. Но получил вместо этого страницу: «Этот домен припаркован в Таймвеб». Чему был очень удивлен.

    Сам использую ПДД Яндекса, соответственно, домены от Таймвеба делегированы Яндексу. Через редактор DNS того же Яндекса добавил А-записи с IP моего сервера, домены работают нормально, содержимое отображается правильно. Но в ЛК Таймвеба сохранилась одна А-запись с IP адресом сервера Таймвеба — полагаю, в этом проблема и была. Запись сменил, ожидаю обновления DNS, после чего попробую получить сертификат еще раз.

    Да про 403 ошибку тоже искал в инете решения, всё делал и проверял всё вроде бы нормально с правами. Напишите пожалуйста если получится получить сертификат. Мне просто обещается програмер один поглядеть в чем проблема да уже месяца 2 жду обещанного.

    Что такое Let’s Encrypt и почему это – не самый лучший выбор для бизнеса?

    Let’s Encrypt (LE) является некоммерческим центром сертификации (CA), который выпускает
    бесплатные 90-дневные SSL сертификаты с валидацией домена. Это феноменальный сервис для небольших веб-сайтов и
    сайтов-блогов, где не проводится каких-либо финансовых операций и
    единственная цель владельца – добавить базовый вариант шифрования. Но в то время, как Let’s Encrypt – это хороший
    сервис с благородными намерениями, с другой стороны – это плохой выбор для компаний и организаций, которые занимаются
    бизнесом в интернете.

    Преимущества традиционного центра сертификации (CA) над Let’s Encrypt:

    • Предоставляет SSL
      сертификаты по типу проверки организации (OV), а также SSL сертификаты с расширенной проверкой (EV)
    • Инвестирует в инфраструктуру безопасности , чтобы предотвратить выдачу сертификатов киберпреступникам
    • Сертификаты доступны на период 1-2 года
    • Обслуживание клиентов доступно на нескольких языках
      24/7/365
    • В случае уязвимости центр сертификации может
      отменить пострадавшие сертификаты и заменить их на безопасные
    • Предоставляет SSL сертификаты только по
      типу проверки домена
      (DV), которые обеспечивают минимальную аутентификацию
    • Минимальные гарантии , выдача сертификатов без
      проверки подлинности электронной почты
    • Все сертификаты выдаются на 90-дневный срок
    • Поддержка на уровне сообщества – клиенты
      самостоятельно диагностируют и устраняют проблемы
    • В случае уязвимости Let’s Encrypt не имеет механизма
      для массовой отмены

    Компаниям нужно больше высоких гарантий


    • Фишинг-атаки растут
    • Люди изучают DV ≠ безопасность
    • OV/EV сертификаты обеспечивают большую уверенность в защите данных
    • Доверенный центр сертификации проверяет подлинность вашей компании
    • В сертификате отображается подтвержденная информация
    • Печать сайта повышает доверие и конверсии

    Доверие – это ключ

    • Доверие имеет жизненно важное значение для электронной
      коммерции
    • Клиенты должны знать, что это действительно Вы
    • Бизнес аутентификация обеспечивает проверенное
      подтверждение личности
    • Более высокая уверенность = более высокая прибыль

    Let’s Encrypt – не решение бизнес-класса

    Отсутствие механизмов безопасности

    Отсутствует ответ в шкале уязвимостей

    Let’s Encrypt. Эти сертификаты наряду с легальными сайтами выдаются
    также известным фишинговым и вредоносным доменам
    . Не предоставляют
    пользователям уведомления об опасных сайтах, сталкиваются с несколькими известными ошибками и, возможно, наиболее
    вопиюще, не имеют возможности реагировать в масштабе на такие
    уязвимости, как Heartbleed.

    Let’s Encrypt SSL сертификаты предоставляются кому угодно

    Включая хакеров и киберпреступников

    Киберпреступники используют Let’s Encrypt для обеспечения безопасности своих
    вредоносных сайтов. Центр сертификации также знает об этом. Как сказал исполнительный директор Let’s Encrypt Джош
    Аас в интервью Wired: «Люди спрашивают, используют ли плохие парни Let’s Encrypt .
    Ответ в основном «да».

    Сертификаты только для одного домена

    Не поддерживается защита поддоменов и нескольких доменов

    Let’s Encrypt предоставляет только сертификаты с одним доменом , с еженедельными лимитами выпуска. Для предприятия или организации с несколькими
    доменами и поддоменами, отсутствие поддержки защиты поддоменов и нескольких доменов делает шифрование
    существенно более сложным
    .

    Проверки домена недостаточно

    Мастер Йода рекомендует:  Взаимодействие PHP и MySQL

    Сейчас, как никогда, интернет-пользователи требуют уверенности в подлинности сайтов, с которыми они ведут бизнес. Только бизнес-аутентификация
    обеспечивает такой уровень гарантии для потенциальных клиентов . К
    сожалению, Let’s Encrypt не предлагает этого.

    Отсутствие клиентской поддержки

    Мы надеемся, что у вас есть IT-навыки:


    Let’s Encrypt довольно сложно установить и
    настроить вручную
    , и он не предлагает возможности поддержки корпоративного
    уровня. Фактически, из-за его некоммерческого статуса и жестких бюджетов, поддержка Let’s Encrypt
    полностью коллективная
    .

    Let’s Encrypt: не предназначен для бизнеса

    Хотя Let’s Encrypt и является жизнеспособным вариантом для небольших веб-сайтов и
    блогов, которые не могут позволить себе инвестировать в безопасность – это плохой выбор для бизнес-компаний или мощных
    организаций.

    Отсутствие бизнес-аутентификации и сильных механизмов безопасности, а также отсутствие
    клиентской поддержки — основные проблемы, которые следует учитывать при выборе между Let’s Encrypt и традиционным
    центром сертификации.

    Рассмотреть варианты возможных SSL-сертификатов и сделать заказ вы можете на соответствующей странице. Если у вас остались какие-либо вопросы, обращайтесь в
    нашу службу поддержки и мы обязательно на
    них ответим.

    Let’s Encrypt рассказал об уязвимости, позволяющей в обход получить сертификат безопасности

    Роскомнадзор заблокировал ряд ресурсов, в число которых попал и сервис по выпуску бесплатных SSL-сертификатов Let’s Encrypt. В связи с этим выпуск новых сертификатов и продление действующих может происходить некорректно.

    Ошибки в работе бесплатного SSL-сертификата могут привести к таким нежелательным последствиям, как:

    снижение уровня доверия пользователей к сайту — переходя на сайт пользователь будет видеть предупреждение о том, что сайт не защищен,
    падению позиций в рейтинге поисковиков — рабочий SSL-сертификат входит в число параметров оценки,
    снижению числа платежей через сайт — платежная система может работать нестабильно.

    Чтобы избежать проблем, связанных с некорректной работой Let’s Encrypt, подключите SSL-сертификат проверенного сертификационного центра:

    Хакеры начали использовать сертификаты Let’s Encrypt

    Xakep #246. Учиться, учиться, учиться!

    Специалисты Trend Micro сообщают, что произошло ожидаемое: хакеры начали использовать бесплатные сертификаты Let’s Encrypt для доставки малвари на устройства своих жертв.

    С самого начала было ясно, что злоумышленникам должен понравиться проект Let’s Encrypt, в рамках которого был создан новый центр сертификации, раздающий цифровые сертификаты для шифрования трафика по HTTPS всем и бесплатно. К сожалению, такие сертификаты не только помогут администраторам сайтов зашифровать трафик пользователей, но и могут послужить отличным прикрытием для распространения малвари.

    Сотрудник Trend Micro Джозеф Чен (Joseph Chen) рассказал о первом прецеденте такого рода. В конце декабря 2015 года японские пользователи заразились малварью, которая поставлялась в зашифрованном HTTPS-трафике, с применением сертификата Let’s Encrypt. Пораженный сайт распространял небезызвестный Angler Exploit Kit, который предназначен для хищения средств с банковских аккаунтов жертв.

    Исследователь пишет, что злоумышленники скомпрометировали некий неназванный веб-сервер, создали на нем собственный поддомен и получили для него бесплатный сертификат. Установив сертификат Let’s Encrypt на сервер, хакеры разместили на поддомене вредоносную рекламу, через которую и распространялся Angler. Обычно для проведения подобных атак злоумышленники используют ворованные SSL-сертификаты, покупая их на черном рынке, но теперь у них появилась альтернатива.

    Чен считает, что руководству проекта Let’s Encrypt нужно предпринимать какие-то меры для предотвращения подобных инцидентов в будущем. Стоит хотя бы проводить более тщательные проверки, а не просто полагаться на данные Safe Browsing API компании Google.

    Исполнительный директор Internet Security Research Group Джош Аас (Josh Aas) с этим не согласен. Он сообщил, что руководство Let’s Encrypt продолжает придерживаться официальной позиции, которая была описана в официальном блоге еще в октябре минувшего года. Согласно этой записи, проект отказывается даже аннулировать спорные сертификаты.

    «Мы считаем, что экосистема сертификатов — неподходящий механизм для контроля фишинга и вредоносного ПО в сети. Другие механизмы, такие как Safe Browsing, SmartScreen или, в данном случае, внутренние системы контроля рекламных сетей, будут более эффективны и подходят для решения данной задачи куда лучше, — прокомментировал Аас изданию The Register. — Перед выдачей сертификата, мы проводим проверку фишингового статуса через Google Safe Browsing API, никаких действий после этого мы не предпринимаем».


    Создание и установка сертификата Let’s Encrypt

    Для получения бесплатного SSL сертификата Let’s Encrypt можно воспользоваться сайтом https://www.sslforfree.com/:

    1. На главной странице ввести имя домена в поле «enter your website to secure» и нажать на кнопку “Create Free SSL Certificate”.
    1. На следующей странице выбрать “Manual Verification” (простой способ верификации домена).
    2. Далее нажать на “Retry Manual Verification”. После этого будет предложено скачать два файла ( Файл №1 и Файл№2 ). Файлы скачиваются, а следом загружаются на сайт в папку /.well-known/acme-challenge.

    1. После загрузки файлов нужно вернуться на сайт https://www.sslforfree.com/ и нажать на кнопку “Download SSL Certificate”.
    1. На этом создание SSL-сертификата завершено, теперь приступим к установке его на сайт. Для этого нужно скачать все файлы сертификата, нажав на кнопку «Download all SSL sertificate files».
    1. Далее нужно снова зайти в Панель управления аккаунтом в раздел — «Установка сертификата». Файл сертификата загружается в первое поле, приватный ключ — во второе, файл с промежуточными центрами сертификации — в третье. После загрузки достаточно нажать на «установить» :

    Важно: срок действия сертификата Let’s Encrypt составляет только 90 дней, по истечению срока придется повторить процедуру или приобрести сертификат на больший срок.

    Полезно: Подробная инструкция по переключению сайта на https: Настройка сайта для работы по HTTPS.

    Сервис Let’s Encrypt попал под блокировку Роскомнадзора

    Роскомнадзор заблокировал ряд ресурсов, в число которых попал и сервис по выпуску бесплатных SSL-сертификатов Let’s Encrypt. В связи с этим выпуск новых сертификатов и продление действующих может происходить некорректно.

    Ошибки в работе бесплатного SSL-сертификата могут привести к таким нежелательным последствиям, как:

    • снижение уровня доверия пользователей к сайту — переходя на сайт пользователь будет видеть предупреждение о том, что сайт не защищен,
    • падению позиций в рейтинге поисковиков — рабочий SSL-сертификат входит в число параметров оценки,
    • снижению числа платежей через сайт — платежная система может работать нестабильно.

    Чтобы избежать проблем, связанных с некорректной работой Let’s Encrypt, подключите SSL-сертификат проверенного сертификационного центра:

    • Более половины мировых компаний используют сертификаты Sectigo, RapidSSL и Thawte для защиты своих сайтов.
    • Нет необходимости продлять сертификат каждые три месяца — сертификат действует от года до двух лет.
    • Гарантия надёжности и уровня шифрования — длина ключа 2048 бит.
    • Совместимость со всеми популярными браузерами.
    Добавить комментарий