У меня есть поддомен от no-ip.org . Я хотел бы получить бесплатный сертификат SSL для своего домена. Можно ли это сделать для поддоменов, и если да, то какие у меня варианты?
2 ответа
10
Существует как минимум три варианта использования сертификата с веб-или почтовым сервером:
Вариант 0: получить сертификат от Let's Encrypt
Let's Encrypt может помочь вам получить бесплатные SSL-сертификаты, которым доверяет браузер. Это новый вариант, так как этот вопрос был задан.
Let's Encrypt работает немного иначе, чем другие CA. Вы устанавливаете небольшой агент на свой сервер, и он обновляет ваш сертификат автоматически каждые несколько месяцев.
Я не могу точно сказать, работает ли эта опция, потому что есть несколько проблем GitHub, обсуждающих изменение, позволяющее доменам без IP работать с их сервисом:
Даже если сегодня это не сработает, следите за этим, потому что, кажется, оно скоро будет готово.
Вариант 1. Получить сертификат SSL, подписанный центром сертификации (ЦС)
Преимущество использования сертификата, подписанного центром сертификации, заключается в том, что ваши посетители будут автоматически доверять вашему сертификату. Операционные системы и веб-браузеры поставляются со списком доверенных корневых сертификатов, и только сертификаты, подписанные этими доверенными сертификатами, считаются доверенными по умолчанию.
Недостатком является то, что большинство центров сертификации, включенных в основные операционные системы и браузеры, взимают плату за свои услуги.
CA предлагают сертификаты для поддоменов; однако, они обычно имеют какой-то простой процесс проверки, чтобы доказать, что вы контролируете этот поддомен. У разных ЦС могут быть разные политики выдачи сертификатов для поддоменов no-ip.org и других динамических DNS-провайдеров.
Небольшой список потенциальных CA, которые вы можете исследовать:
Вариант 2. Получите сертификат SSL у провайдера веб-доверия
Единственный провайдер веб-доверия, о котором я знаю, это CAcert.org. Это центр сертификации, который предоставляет бесплатные сертификаты SSL. Однако сертификаты ничего не проверяют в вашем домене до тех пор, пока достаточное количество других пользователей CAcert.org не подтвердит вашу личность. Как только вы наберете достаточно "очков доверия", вы можете добавить имя к своему сертификату и иметь более длительный срок действия.
Однако я не верю, что корневой сертификат CAcert.org включен в большинство браузеров по умолчанию. Ваши посетители должны будут установить этот корневой сертификат, иначе они получат предупреждение о страшном сертификате:
Вариант 3. Создание самозаверяющего сертификата
Если вы действительно не можете приобрести сертификат, вы можете создать самозаверяющий сертификат. Для этого не требуется ЦС, но другие компьютеры не будут автоматически доверять вашему сертификату. Гости, посещающие веб-сайт, защищенный самозаверяющим сертификатом, получат предупреждение о страшном сертификате.
В зависимости от вашей системы, есть разные способы сделать это. Если вы используете OpenSSL, вы можете использовать инструкции, предоставляемые Akadia.com:
# Generate a private key
openssl genrsa -des3 -out server.key 1024
# Generate a certificate signing request (CSR)
openssl req -new -key server.key -out server.csr
# Generate the self-signed certificate
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
Затем вы должны установить server.cst на выбранный вами веб-сервер.
1
Вы можете получить бесплатный сертификат для поддоменов на 90 дней от Comodo SSL. Я обнаружил, что это единственный, который предоставляется повсеместно доверенным центром сертификации, бесплатный и действительный для поддоменов. Я лично использовал его с моим бесплатным доменом, предоставленным no-ip. К сожалению, он действителен только в течение 90 дней, после этого он составляет 100 долларов в год (или меньше для многолетнего обязательства).