Осторожно! Бесплатные SSL-сертификаты StartCom и WoSign
18 октября я разместил на своем сайте статью «Как перевести ваш сайт на HTTPS и почему это важно». В ней, кроме всего прочего, я показывал, как можно получить бесплатный SSL-сертификат от центра StartCom.
Если вы воспользовались этой инструкцией и получили свой сертификат 18,19,20 или 21-го октября, то скорее всего он будет работать так, как нужно (хотя есть вероятность проблем с браузером Safari, об этом ниже). Если же вы получили свой сертификат после 21-го числа, то вам лучше поменять сертификат на другой.
Причина в том, что новые версии браузеров Google Chrome (с 56 версии), Mozilla Firefox (с 51 версии) и Safari перестанут поддерживать SSL-сертификаты, которые были выданы удостоверяющими центрами WoSign и StartCom после 21 октября 2016 года.
Разработчики этих браузеров считают, что компания WoSign, владеющая этими сертификационными центрами, не соблюдает стандарты, скрывает нарушения и халатно относится к уязвимостям.
У меня уже пошли первые звоночки по этому поводу. На нашем проекте «Фотошоп-мастер» как раз стоял сертификат от WoSign, и вчера мне написал знакомый, который сообщил, что у него в браузере Safari, запущенном в MacOS, при заходе на наш сайт выходит такое предупреждение:
И это несмотря на то, что данный сертификат был получен довольно давно.
После этих слов я тут же зашел в свой аккаунт на FirstSSL и заказал новый сертификат для этого домена. Мой выбор пал на сертификат RapidSSL от GeoTrust. Я сразу его оплатил и скинул администратору нашего сервера. Он его быстро установил. После этого я попросил своего знакомого еще раз зайти на сайт «Фотошоп-мастер» и проверить, как он отображается в Safari сейчас. На этот раз все было отлично!
Так что сертификат имеет значение. В очередной раз убедился, что не стоит гнаться за бесплатным сыром, а лучше немного заплатить и спать спокойно.
Кстати, если вы только планируете купить домен для своего сайта, то у вас есть возможность вместе с доменом бесплатно получить надежный SSL-сертификат DomainSSL от GlobalSign на 1 год, который в обычных условиях стоит 2549 рублей (проверить цену можно здесь). Подробнее об этом я рассказываю в заметке «Бесплатный SSL-сертификат на 1 год от REG.RU».
Полезные ссылки:
Мое видео по заказу сертфиката для сайта на FirstSSL