Дотримуючись трендам рекомендацій Google, а саме рекомендація по переходу на https протокол, я вирішив собі також поставити https протокол на свій сайт. HTTPS виходить за рахунок криптографічного протоколу SSL. SSL може бути як самопісний, так і покупної. Сьогодні ми розглянемо покупної варіант. За SSL протокол я віддав трохи більше 10 $, замовляв тут. Вибрав Comodo PositiveSSL.
На що слід звертати увагу при покупці SSL сертифікатів
Сертифікати бувають декількох типів: з перевіркою домену (Наприклад, мій блог), з перевіркою організації (Наприклад, на сайті сбербанк онлайн), WildCard з перевіркою домену та його піддоменів.
Варіант SSL сертифікату з перевіркою домену та його піддоменів, а також з перевіркою організації є найдорожчими.
Установка SSL сертифікату на Freebsd
Насправді немає принципового значення, на якій операційній системі йде установка. Ліцензіар пересилає спочатку вам ключ формату:
--BEGIN RSA PRIVATE KEY--
--END RSA PRIVATE KEY--
Зберігаємо його як www_domain.key, де domain - ваш домен.
Далі прийдуть ще ряд файлів:
Для Comodo Essential SSL будуть надсилатися такі файли:
- AddTrustExternalCARoot.crt
ComodoUTNSGCCA.crt
EssentialSSLCA_2.crt
domainname.crt
UTNAddTrustSGCCA.crt
Для Comodo PositiveSSL центром сертифікації будуть надсилатися такі файли:
- AddTrustExternalCARoot.crt
COMODORSAAddTrustCA.crt
COMODORSADomainValidationSecureServerCA.crt
domainname.crt
де domainname.crt сертифікат вашого домену.
Решту файлів потрібні для складання ланцюжка сертифіката. У першому випадку необхідно об'єднати EssentialSSLCA_2.crt ComodoUTNSGCCA.crt UTNAddTrustSGCCA.crt AddTrustExternalCARoot.crt> yourDomain.ca-bundle
У FreeBSD / Unix команда:
#cat EssentialSSLCA_2.crt ComodoUTNSGCCA.crt UTNAddTrustSGCCA.crt AddTrustExternalCARoot.crt> yourDomain.ca-bundle
TLS і інші протоколи шифрування
Багато з вас, можливо, вже знають про різні протоколах шифрування, трохи вище даної статті ми вже відмовилися від двох таких: SSLv2 і SSLv3. Існують також сучасні протоколи шифрування такі, як TLS. TLS1.0 іноді ще називають SSL3.1, але не суть важливо. При реалізації https на своєму сайті ви можете подивитися, яким протоколом шифрування у вас шифруються всі дані. Якщо ви помітите, що протокол шифрування у вас TLS1.0, то браузер додасть приписку, що даний протокол шифрування застарів і рекомендується його оновити.
Як же оновити TLS? Насправді все простіше нікуди. За можливі протоколи шифрування відповідають криптографічні бібліотеки операційній системі: в Unix системах це openssl.
Якщо у вас Freebsd ви завжди можете подивитися, яку криптографічний бібліотеку використовує ваша ОС. Робиться це командою: