Осторожно! Бесплатные SSL-сертификаты StartCom и WoSign

18 октября я разместил на своем сайте статью «Как перевести ваш сайт на HTTPS и почему это важно». В ней, кроме всего прочего, я показывал, как можно получить бесплатный SSL-сертификат от центра StartCom.

Если вы воспользовались этой инструкцией и получили свой сертификат 18,19,20 или 21-го октября, то скорее всего он будет работать так, как нужно (хотя есть вероятность проблем с браузером Safari, об этом ниже). Если же вы получили свой сертификат после 21-го числа, то вам лучше поменять сертификат на другой.

Причина в том, что новые версии браузеров Google Chrome (с 56 версии), Mozilla Firefox (с 51 версии) и Safari перестанут поддерживать SSL-сертификаты, которые были выданы удостоверяющими центрами WoSign и StartCom после 21 октября 2016 года.

Разработчики этих браузеров считают, что компания WoSign, владеющая этими сертификационными центрами, не соблюдает стандарты, скрывает нарушения и халатно относится к уязвимостям.

У меня уже пошли первые звоночки по этому поводу. На нашем проекте «Фотошоп-мастер» как раз стоял сертификат от WoSign, и вчера мне написал знакомый, который сообщил, что у него в браузере Safari, запущенном в MacOS, при заходе на наш сайт выходит такое предупреждение:

Проблема в Safari с https

Проблема с SSL-сертификатом

И это несмотря на то, что данный сертификат был получен довольно давно.

После этих слов я тут же зашел в свой аккаунт на FirstSSL и заказал новый сертификат для этого домена. Мой выбор пал на сертификат RapidSSL от GeoTrust. Я сразу его оплатил и скинул администратору нашего сервера. Он его быстро установил. После этого я попросил своего знакомого еще раз зайти на сайт «Фотошоп-мастер» и проверить, как он отображается в Safari сейчас. На этот раз все было отлично!

Так что сертификат имеет значение. В очередной раз убедился, что не стоит гнаться за бесплатным сыром, а лучше немного заплатить и спать спокойно.

Кстати, если вы только планируете купить домен для своего сайта, то у вас есть возможность вместе с доменом бесплатно получить надежный SSL-сертификат DomainSSL от GlobalSign на 1 год, который в обычных условиях стоит 2549 рублей (проверить цену можно здесь). Подробнее об этом я рассказываю в заметке «Бесплатный SSL-сертификат на 1 год от REG.RU».

Полезные ссылки:
Мое видео по заказу сертфиката для сайта на FirstSSL

Владилена Петухова

Пycть kомпьютер порaбoтаeт за тебя, зaбрать бонуc по ссылке > http://bit.ly/2FCcHe4?__VASH__PODAROK__6521__RUBLEY

Павел Беляев

letsencrypt же!

Димон

Во первых все эти сертификаты не что иное как дополнительный развод на бабки. Представляете какое число сайтов необходимо перевести на ssl. Во вторых если Гугл сам издает сертификаты и сам решает какие компании ему блокировать своим браузером, то это не что иное как конкурентная борьба. Какие на..хер выданные задним числом сертификаты. Евгений - одна реклама в каждой строчке. Я разочаровываюсь в вас.

Andrey Voskoboynikov

А если есть проблема с бесплатным startssl.com - то лучше все же им заплатить и купить платный или сделать это в другом месте? И не возникнет ли проблем, что в разных местах есть разные выпущенные сертификаты?

Михаил

Ругается и не пускает на сайт только firefox 51, опера и IE11 более лояльны.

Михаил

Евгений, толко что столкнулся с этой ситуацией с сертификатом от StartCom на сайте https://photo-monster.ru, идет ошибка Сертификат узла был отозван. Код ошибки: SEC_ERROR_REVOKED_CERTIFICATE. Заходил через FireFox 51, Опера и IE 11. Быстрый поиск ошибки показал, что FF более не доверяет сертификатам от Startcom, вот ссылка на багтрекер https://bugzilla.mozilla.org/show_bug.cgi?id=1325855#c1

Александр Увлеченный

Ну это вы решили проблему чисто за счет организации, предоставляющей хостинг. С тем же успехом можно сказать - купите SSL у своего хостера, только, как правило это окажется дороже, чем можно найти.

Александр Увлеченный

Понятно, спасибо

Evgeniy Popov

Главное не брать их от StartCom и WoSign. От других поставщиков можно.

Александр Увлеченный

Но ведь Вы как раз в статье написали про то, что бесплатный сертификат, как в Вашем случае не поможет, и пользователи будут получать предупреждение

Evgeniy Popov

В таких случаях можно поставить бесплатный серфтикат, чтобы не нести дополнительных затрат.

Александр Увлеченный

С этими сертификатами и браузерами так все недодумано. К примеру есть блог, на котором не авторизации, ни приема оплат. Оно вроде бы и не нужно его владельцу, потому что шифровать то особо ничего не нужно, а "мода" обязывает приобрести SSL, чтобы банально не потерять трафик из-за браузеров.

Ильдар Шагиахметов

Взял сертификат от StarCom - вроде как пока проблем не наблюдается. Буду ждать 1 января.

sozidatel79

https://letsencrypt.org/ Очень удобно, при установке на очень интуитивном уровне предлагается создать крон, который будет обновлять сертификат, каждые три месяца.

Алексей Пруслин

Почему ж нет. У меня вот прекрасно работает на centos и apache https://support.c-stud.ru/

Владимир Лебедько

А я решил проблему за 100 рублей на сайте ОфферИнвест!

Evgeniy Popov

Похоже что нет.

Евгений Попов

Самый простой вариант для чайников - найти специалиста на fl.ru, который за небольшую сумму грамотно переведет ваш сайт на https и поправит все ссылки.

Марина

Зачем разработчики браузеров устраивают такие трудности? Особенно для сайтов, которым и защищать-то нечего(нет ни логинов, ни паролей) Установила на свой сайт бесплатный сертификат на Beget. Теперь перед название стоит красный треугольник и перечёркнутый https. Впрочем, точно так же, как и Ваш, Евгений сайт и сайт Beget.com(браузер Google Chrome) Зелёный значок только у Ютуба...

Алексей Бортников

А все потому, что сертификационный центр WoSign начиная с 2015 года допустил и не исправил серьёзные нарушения безопасности. Он выпускал устаревшие сертификаты, выдавал сертификаты задним числом, дублировал серийные номера и выдавал фиктивные сертификаты. Подробно об этом можно прочитать на Гиктаймс.

Алексей Бортников

что то новый комментарий оставить не получается, поэтому тут :) Спасибо! Итак, похоже бесплатно раздаётся то что ценности особо и не имеет. Пора предупреждать подписчиков что не всё так радужно Цитата "Google, Mozilla и Apple объявили, что перестанут доверять SSL-сертификатам WoSign и StartCom."

Катерина

Валентина, благодарю за подсказку:)!

Валентина

Катерина, у меня сайт на offerhost и там ребята всем желающим устанавливают SSL сертификат и устанавливают специальный плагин для панели WP, чтобы все ссылки на сайте открывались с защитой https. Услуга эта стоит всего 100 р. для тех, у кого на сайте меньше 15 страниц и 200р. для тех,у кого больше 15 страниц.

Serge

Скорее всего что ваш скрипт .js запрашивает/соединяеться с ресурсом на htttp. Можно открыть тот файл.js в Notepad++ например и поискать и поменять в ссыках http на https или лучше убрать протокол [https://] и оставить только например //site.com P.S. Не забудьте только бэкап (резерв. копию) .js файла сделать сначала.

Алексей Пруслин

Есть еще хороший бесплатный вариант Let's Encrypt У меня на хостинге он уже автоматом ставится. Можно легко поставить в ручную на любом сервере https://certbot.eff.org/#centosrhel7-other

Катерина

Евгений, спасибо за информацию! Только в ситуации с установлением сертификатов есть еще один большой подводный камень - как именно все ссылки на сайте переписать на HTTPS? Вручную переписывать не реально:) Наверное нужна программа? Проясните пожалуйста этот момент для чайников:)

Григорий

Здравствуйте, Павел! Вообще-то вопрос был не о моих впечатлениях, а о конкретной проблеме - почему Google показывает, что проблема со скриптами, в частности при подключении на сайт google-карты/ А ответ, что такого не может быть, потому что такое вообще не возможно, я уже где-то слышал. Спасибо.

Павел Политаев

"Создается такое впечатление, что эти библиотеки iquery-скриптов не совместимые с https-протоколом. " - ну это совсем вы не туда пошли... Проблем вообще не должно быть на любом сайте с https. https будет корректно работать при условии, что вся статика тоже запрашивается через https

Григорий

Здравствуйте, Евгений! Если можно подскажите, по-моему, эта проблема не обошла и Ваш сайт. Почему при переходе на https в сайтах на WordPress возникает проблема с Ява-скриптами, и это уже не на первом сайте. В итоге какие-то функции перестают работать. И в основном Chrome указывает на папку: wp-includes/js/jquery/jquery-migrate.js JQMIGRATE: Migrate is installed, version 1.4.1 Как будто не та версия скриптов. Создается такое впечатление, что эти библиотеки iquery-скриптов не совместимые с https-протоколом. Что можно сделать , что бы исправить положение. Может какой-то код в шаблон блога добавить? Но такое положение, честно говоря, уже начинает бесить. И проблема то, по-моему, в WordPress а не в шаблонах блога.

Закрыть
Наверх