Привет!
Я установил Discourse Ready VPS на DigitalOcean. Мой сайт работает по протоколу HTTPS. Это, кажется, бесплатный SSL. Действительно ли это безопасно? Я также купил сертификат Comodo SSL. Когда я хочу создать сертификат в панели Comodo, система запрашивает код CSR. Как мне создать CSR? Или я что-то делаю не так? Это мой первый опыт. Пожалуйста, подскажите.
SSL-сертификат, сгенерированный Discourse, выдается Let’s Encrypt и является достаточно надежным.
Однако, если вы хотите настроить собственный SSL-сертификат, следуйте этим инструкциям:
С точки зрения безопасности между Let’s Encrypt и Comodo нет никакой разницы. Поддерживаемое шифрование одинаково. Единственное отличие в том, что один сертификат бесплатный и устанавливается автоматически, а другой стоит денег и требует ручного продления. Если у вас нет действительно, действительно веской причины для использования платного сертификата, оставайтесь с Let’s Encrypt — это избавит вас от головной боли (и сэкономит деньги).
Let’s Encrypt навсегда? Или нужно что-то ежегодное, например, продление?
Обновляется автоматически каждые три месяца. Это бесплатно и работает.
Нет причин покупать сертификаты для вашей установки Discourse.
Сертификат — это сертификат*, и Comodo давно зарекомендовала себя как недобросовестный игрок в этой сфере из-за своей постоянной кампании дезинформации против Let’s Encrypt (вплоть до использования собственного веб-браузера для маркировки сайтов с сертификатами Let’s Encrypt как «небезопасных» или попыток зарегистрировать торговую марку Let’s Encrypt на себя). Сам сертификат не определяет тип или силу используемого шифрования. В сухом остатке: используйте сертификат от Let’s Encrypt — в чём-либо другом просто нет необходимости.
*Ну, в основном. Сертификаты могут быть DV (проверка домена), OV (проверка организации) или EV (расширенная проверка), различаясь тем, что именно они проверяют (и, естественно, стоимостью). Сертификат DV подтверждает, что он действительно принадлежит указанному домену. Сертификат OV подтверждает, что он принадлежит указанной организации (хотя в браузере это не отображается, если не перейти к деталям сертификата). Сертификат EV делает то же самое, что и OV, но с более строгими требованиями — и исторически отображал «зелёную строку» в браузере, хотя эта функция скоро исчезнет. Ни один тип сертификата не подтверждает, что его владелец — «хороший человек», и между ними абсолютно нет разницы в уровне шифрования.
Let’s Encrypt эффективно решает эту задачу, проверяя DNS-имя при выдаче сертификата.
В Chrome 77 зелёная строка была удалена. Для справки: текущая стабильная версия — 78.x, бета-версия — 79.x.
Поэтому я и сказал «исторически». В Chrome её больше нет, но она всё ещё присутствует в Firefox и IE (единственные браузеры, которые я могу легко протестировать в данный момент).
Это исчезло из адресной строки и в Firefox 70, который вышел в прошлом месяце. Также его нет в Safari.
Не уверен, что IE всё ещё можно считать браузером, учитывая его долю рынка в 1,98% по состоянию на октябрь 2019 года.
Думаю, мы можем подтвердить, что EV окончательно мёртв.
А как насчёт Microsoft Edge?
2,05 %, что меньше, чем у предустановленного браузера Samsung, который поставляется на их телефонах Galaxy (3,29 %).
Его доля на рынке сравнима с Internet Explorer? Не значит ли это, что он больше не считается браузером?
Отсюда и переход Microsoft на движок Chromium в браузере Edge 15 января 2020 года.
Ах, да. Посмотрим, как всё пойдёт.
Согласен. Будет интересно (и одновременно забавно и, несомненно, раздражающе) посмотреть, какие ещё аргументы в пользу продаж придумают CAs, чтобы попытаться их реализовать.
Сертификаты с расширенной проверкой (EV) появились в то время, когда PKI ещё не была хорошо понята, SSL воспринимался как технология «только для электронной коммерции», а фишинг переживал резкий рост.
Мне нравилась сама идея повышения доверия, но всё испортили именно центры сертификации (CA).
Let’s Encrypt представляет собой огромную угрозу для этих игроков, и это абсолютно заслуженно.