Darmowy certyfikat SSL dla Twojej strony!

Jako że przywiązuje dużą wagę do bezpieczeństwa na stronach internetowych, niedopuszczalne jest dla mnie przesyłanie jakichkolwiek haseł czystym tekstem. Nie ważne, czy jest to strona banku, czy zwykły blog, nie powinno się tego robić i tyle. Sam na swoim blogu umożliwiam rejestrację użytkowników (jeśli jeszcze się nie zarejestrowałeś, to zapraszam), dlatego dbam o to, abyś czuł się bezpieczny przy podawaniu swojego hasła. Rozwiązanie jest proste, wystarczy serwować stronę rejestracji i logowania za pomocą protokołu https z wykorzystaniem certyfikatu SSL. Taki certyfikat każdy może wygenerować sobie sam, niestety objawiać się to będzie nieznośnym komunikatem przeglądarki o niezaufanym dostawcy certyfikatu. Certyfikaty podpisane przez zewnętrzne firmy, które są już dodane do zaufanych we wszystkich popularnych przeglądarkach, niestety trochę kosztują, a przynajmniej tak do niedawna myślałem.

Zacząłem się przekopywać poprzez różnych dostawców certyfikatów w celu znalezienia najtańszej oferty – wymagania nie były duże, certyfikat miał pokrywać tylko jedną domenę, w wariancie z przedrostkiem www i bez niego. Fajnie byłoby oczywiście móc obsłużyć więcej subdomen (wariant certyfikatu z tzw. WildCard), jednak tutaj niskich cen się nie spodziewałem. Przewinęło mi się kilka darmowych certyfikatów, które oferowane były w ramach 30-dniowego testu – no cóż, ze względu na siedzącego we mnie lenia co miesiąc bawić się w to nie będę. Nie spodziewałem się, że znajdę coś w pełni darmowego, co będzie spełniało moje oczekiwania, jednak po dłuższych poszukiwaniach trafiłem na dwie ciekawe oferty: CAcert oraz StartCom. Pierwsza z nich w celu uwierzytelnienia użytkownika opiera się na sieci zaufania, niestety certyfikaty w ramach niej wystawiane nie są domyślnie zaufane w najpopularniejszych przeglądarkach. Jeśli to się zmieni, CAcert będzie naprawdę ciekawą ofertą (przede wszystkim darmową), póki co te same efekty przyniesie wygenerowanie własnego certyfikatu. Na szczęście druga z ofert okazała się jednak znacznie ciekawsza…

StartCom oferuje darmowe certyfikaty StartSSL pozwalające na zabezpieczenie pojedynczych domen dla stron internetowych, jak też podpisane certyfikaty służące do zabezpieczania wysyłanej poczty czy też szyfrowania dokumentów (np. Word, PDF). Co najważniejsze, dostawca certyfikatów należy do zaufanych we wszystkich popularnych przeglądarkach (w Operze dopiero od jednej z najnowszych wersji, w pozostałych dużo wcześniej), dzięki czemu użytkownikowi nie będzie ukazywał się wiejący grozą komunikat o niezaufanej treści witryny. Jako ciekawostkę dodam, że nawet logowanie na stronie StartCom odbywa się za pomocą certyfikatu. W ramach oferty certyfikatów StartSLL znajduje się też kilka płatnych, których ceny są dość konkurencyjne w stosunku do innych dostawców. Co ciekawe, nawet w ramach darmowego certyfikatu dostajemy gwarancję na odszkodowanie w wysokości 10 tys. dolarów, jeśli nasze szyfrowane dane zostaną przechwycone.

Sama procedura generowania certyfikatu nie jest bardzo skomplikowana i postaram się ją tutaj pokrótce opisać. Zalecam poniższe czynności wykonywać z przeglądarki Firefox, bo np. na Operze strona StartCom’u nie była poprawnie wyświetlana.

Zakładanie konta

  1. Wejdź na stronę uwierzytelniania StartSLL.
  2. Kliknij przycisk „Sign-Up”.
  3. Wypełnij formularz prawdziwymi danymi, po czym potwierdź przyciskiem „Continue”.
  4. Czekaj na maila z tymczasowym hasłem, które po otrzymaniu wklej w pole na aktualnej stronie.
  5. Przeglądarka powinna w tym momencie zgłosić komunikat z certyfikatem do zaakceptowania, należy go zatwierdzić aby przejść dalej do panelu sterowania.

Tworzenie certyfikatu

  1. Będąc w panelu sterowania wybierz zakładkę „Validations Wizard”.
  2. Z listy rozwijanej wybierz pozycję „Domain Name Validation” i zatwierdź przyciskiem „Continue”.
  3. Wprowadź nazwę domeny, którą chcesz zabezpieczyć certyfikatem.
  4. W kolejnym kroku wybierz adres skrzynki pocztowej, na który zostanie wysłany kod walidujący (dostępne są trzy adresy w ramach wprowadzonej domeny: postmaster@…, hostmaster@… i webmaster@… oraz adresy mailowe wpisane w strefie DNS dla danej domeny). Jeśli domena należy do Ciebie, nie powinieneś mieć problemu z uzyskaniem dostępu do jednego z tych adresów.
  5. Wprowadź kod otrzymany na wybrany adres e-mail.
  6. Przejdź teraz do zakładki „Certificates Wizard”.
  7. Z listy rozwijanej wybierz opcję „Web Server SSL/TLS Certificate”.
  8. Wpisz minimum 10-cio znakowe hasło składające się z liter i cyfr, którym będzie zabezpieczony Twój klucz prywatny.
  9. Zapisz wygenerowany klucz (np. za pomocą notatnika) pod nazwą ssl.key.
  10. Wybierz jedną z uwierzytelnionych wcześniej domen.
  11. Podaj nazwę subdomeny, która również będzie zabezpieczona certyfikatem. Jeśli chcesz, aby Twoja strona była dostępna pod adresem www.domena.pl, wpisz tutaj „www”. Jeśli podasz inną subdomenę, będziesz mógł ją zabezpieczyć certyfikatem, jednak będzie ona działać jedynie bez przedrostka www.
  12. W kolejnym kroku zapisz wygenerowany certyfikat pod nazwą ssl.crt oraz certyfikat „intermediate CA” dostępny na bieżącej stronie.
  13. Przejdź teraz do zakładki „Tool Box” oraz wybierz z listy narzędzie „Decrypt Private Key”.
  14. W pierwsze pole tekstowe wklej zawartość wygenerowanego wcześniej klucza prywatnego, w drugie pole wpisz podane przy generowaniu klucza hasło.
  15. Wygenerowany rozszyfrowany klucz prywatny zapisz gdzieś pod ręką.

Instalacja certyfikatu

W tym miejscu powinieneś dysponować przynajmniej trzema rzeczami: kluczem prywatnym (w formie zaszyfrowanej i odszyfrowanej – potrzebna będzie ta druga), wygenerowanym certyfikatem oraz certyfikatem pośredniczącym CA.

Instalacja certyfikatu różni się w zależności od serwera, na którym trzymasz stronę. Jeśli posiadasz własny serwer i/lub masz dostęp do serwera HTTP typu Apache Server, MS IIS,  Netscape Server, stosowne procedury znajdziesz w FAQ na stronie StartCom bądź w internecie. Jeśli domena utrzymywana jest na zewnętrznym hostingu, spróbuj poszukać przydatnych wskazówek w panelu administracyjnym swojego konta. Procedura instalacji powinna sprowadzić się do umieszczenia wygenerowanych w poprzednim kroku plików gdzieś na serwerze i wskazania ich adresów w plikach konfiguracyjnych, bądź wklejeniu ich zawartości w odpowiednie pola w panelu administracyjnym hostingu.

 

Jak widać, całość sprowadza się tylko do kilku kliknięć, a dzięki temu uzyskamy własny certyfikat poświadczający wiarygodność naszej strony. Jeśli jednak napotkasz jakieś problemy z jego generowaniem, śmiało pisz – chętnie podpowiem i udzielę kilku wskazówek. Na moim blogu certyfikat już działa, co możesz sprawdzić sam wchodząc na stronę logowania lub rejestracji, bądź też wejść po prostu na bloga przez protokół https.

Skomentuj

26 Komentarze.

  1. Z pewnością przydatna informacja. Dzięki.

  2. a masz pomysł jak to zrobić dla domeny dyndns.org ? nie jestem jej właścicielem a używam ddns do łączenia się z moim NASem na którego chciałem załadować certyfikat …

  3. A NAS nie ma przypadkiem opcji łączenia się przez https? Czy faktycznie dla NAS’a potrzebujesz zaufanego certyfikatu? To, że przeglądarka wyrzuca ostrzeżenie o niezaufanym certyfikacie, wcale nie musi oznaczać, że takie połączenie jest mniej bezpieczne. Zazwyczaj NAS’y mają opcję wystawiania usług po https’ie, więc powinno to wystarczyć.

  4. cześć,

    z https masz rację ale jak korzystam z WebDav i softu zainstalowanego na iPad to przy próbie połączenia po https wywala mi błąd że server może nie być tym serverem do którego chcę się połączyć i połączenie nie dochodzi do skutku …

  5. A w sofcie na iPadzie nie ma gdzieś opcji akceptowania niezaufanych certyfikatów? Jeśli to zwykła przeglądarka, to na pewno gdzieś jest. Ogromna ilość stron nie posiada zaufanych certyfikatów i jakoś nie wyobrażam sobie sytuacji, jakoby na urządzeniach Apple’a nie dało się ich oglądać :)

  6. Chodzi o to że nie korzystam wtedy z przeglądarki tylko z kupionego software który to z kolei wykorzystuje protokół WebDav ale chyba drugim wyjście jest zwrócenie się do developera tego softu, spróbuję tez i tą drogą.

  7. Tak czy inaczej rozumiem że na dzień dzisiejszy nie ma opcji wygenerowania certyfikatu dla dynamicznego IP ? bo oczywiście na stronie DynDns.org można taki certyfikat wygenerować ale za 99$ ;-))

    • To zależy. Nie wiem jak tam to wygląda, czy da się gdzieś wprowadzić własne dane z wygenerowanym certyfikatem, czy istnieje jedynie możliwość skorzystania z ich rozwiązania. Mam tam konto, jak będę miał dłuższą chwilę, to sprawdzę. Alternatywnym rozwiązaniem może być przekierowanie własnej domeny z certyfikatem na własnym hostingu na adres dyndns’a, powinno to zadziałać.

  8. Udało sie może przetestować jak to jest z tym dyndns.org? Ja niestety mam ten sam problem ;(

  9. Darmowy certyfikat SSL dla Twojej strony! | Dotfish - pingback on 8 marca 2012 at 16:36
  10. Hi,
    a czy ten certyfikat działa dla domeny z przedrostkiem www i bez?

    Pozdrawiam

  11. Dzięki za info i opis instalacji.
    Sprubóję utworzyć taki certyfikat i sprawdzić czy działa z sklepem na skrypcie PrestaShop :grin:
    Dawid Zacharzowski ostatnio napisał(a)… Kobieca twarz wzór 1 – 8,99 zł

  12. Strona strasznie topornie chodzi.

    Wygenerowane wszystko jak w instrukcji – działa.
    Jeśli chodzi o samą instalację na hoście, w moim wypadku – shared host – w PA mam możliwość dodania certyfikatu SSL, jednak potrzebne jest wykupienie stałego IP za 140zł.

    Zastanawiam się nad tym – zobaczymy czy zadziała.

    • Faktycznie strona StartCom’u do najszybszych nie należy i wymaga trochę cierpliwości.
      Co to za hosting, który wymaga stałego IP do przypisania certyfikatu? Certyfikat przypisuje się do domeny, a nie IP. Jeśli robią takie problemy, to polecam zmienić hosting.

  13. Nie umiem znaleźć na stronie startssl czy mogę wygenerować sobie więcej niż jeden darmowy certyfikat jeśli mam więcej niż jedną domenę? Jednym certyfikatem obejmę jedną domenę z jedną sub domeną; na forum znalazłem informację, że można wygenerować więcej certyfikatów i każdy przypisać dla innej subdomeny. Ale czy mogę zweryfikować i wydać certyfikat dla kolejnej domeny nadrzędnej za darmo?

    Pozdrawiam

    • Tak, przynajmniej kiedyś można tak było zrobić. Pamiętaj tylko, że certyfikat dla subdomeny nie obejmie wtedy adresów z przedrostkiem www.

      • Pamiętam: www jest automatycznie zbijane przez mod_rewrite, więc ktoś by się bardzo musiał uwziąć żeby wejść na stronę z zamówieniami bezpośrednio wpisując url z www, dziękuję :)

  14. Problem w tym, że niewielu dostawców niedrogiego hostingu pozwala na instalację „własnego” certyfikatu SSL, ze sprawdzonych przeze mnie: az.pl ( problemy z .htaccess po https i drogi hosting ), netart.pl ( nazwa.pl, drogi hosting ). Tańszych z PHP>5.3 z możliwością instalowania startssl do tej pory nie znalazłem.

    • Polecam vipserv.org. Nie są może najtańsi (ale też nie przesadnie drodzy), a możliwości hostingu przekraczają znacznie wiele innych ofert. Sam trzymam tam wiele stron (łącznie z tym blogiem) i jestem bardzo zadowolony. Z instalacją certyfikatu SSL oczywiście nie ma najmniejszego problemu.

      Kiedyś używałem az.pl, nazwa.pl i kilka innych i nie spełniały moich oczekiwań.

  15. Kupiłem miejsce na VIPSERV…
    ogólnie obsługa…. miodzio…
    ale do rzeczy…
    nie chciało mi dodać https gdy wklejałem w okienko
    ten „intermediate CA” … jest informacja, że można zostawić puste i tak zrobiłem… i przeszło…
    i działa :)

    • Co do vipserv’a, to ogólnie panel administracyjny wyglądem nie zachwyca, ale możliwościami bije na głowę wszystkie te, które widziałem wcześniej. Z certyfikatem rzeczywiście chyba było też tak i u mnie, że intermediate CA na nic się nie przydał. Robiłem to już jakiś czas temu i nie pamiętam dokładnie.

  16. Szkoda, że co 30 dni trzeba odnawiać dla domeny ;(

  17. Czy ktoś miał problem z zalogowaniem się ?
    Podczas próby wejścia na https://auth.startssl.com/ przeglądarka wypisuje: Strona internetowa jest niedostępna

    Próbuje na różnych przeglądarkach i różnych kompach i cały czas to samo.

  18. Najpierw zarejestruj się i wygeneruj certyfikat zgodnie z instrukcją https://www.startssl.com/?app=12
    Zapisz cert. w przeglądarce i można śmiało wejść i zarządzać certyfikatem

Skomentuj


UWAGA - Możesz używać HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

CommentLuv badge

Trackbacks and Pingbacks: