diff options
Diffstat (limited to 'content/post/2023-07-24-tls.md')
| -rw-r--r-- | content/post/2023-07-24-tls.md | 27 |
1 files changed, 16 insertions, 11 deletions
diff --git a/content/post/2023-07-24-tls.md b/content/post/2023-07-24-tls.md index 4bd6cea..2411d76 100644 --- a/content/post/2023-07-24-tls.md +++ b/content/post/2023-07-24-tls.md @@ -3,12 +3,13 @@ author: NeonXP categories: - Без рубрики date: "2023-07-24T20:04:17Z" -guid: http://8 id: 53 tags: - it - Россия +- TLS title: Немного мыслей о TLS (HTTPS) в России +draft: false --- Накопилось немного мыслей относительно того, что может грозить нам (и мне) в связи с трендом на “балканизацию” рунета. @@ -17,7 +18,9 @@ title: Немного мыслей о TLS (HTTPS) в России Есть относительно [доверенный УЦ от Минцифры](https://www.gosuslugi.ru/tls). Это здорово и я это всецело поддерживаю. Вот только есть момент. Он не для нас, простых людей, и при попытке его получить видим то, что на скриншоте ниже. А сранный Firefox вообще хочет его внести в черный список, чтобы даже специально его нельзя было установить. В общем, пока его я поставить не могу даже при всём желании. -<figure class="wp-block-image"></figure>Какие ещё альтернативы есть, если нас вдруг прокинет Let’s encrypt? + + +Какие ещё альтернативы есть, если нас вдруг прокинет Let’s encrypt? 1. Не использовать HTTPS вообще. Я же не магазин и у меня нет форм логина, которые требуют шифрования. Так-то оно так, да не так. Браузеры уже сейчас очень косо смотрят на “обычные”, не HTTPS сайты, а в дальнейшем, не удивлюсь если перестанут открывать вообще. Так же на HTTP сайтах не работают прикольные браузерные API типа геолокации (наверное, это в каком-то роде даже плюс 😉 ). Ну и ещё проблема, что, например, этот сайт без HTTPS вообще не может работать, ибо для доменов зоны .dev насильно включено HSTS и они не могут работать не по HTTPS. Последнее то я решу старым добрым доменом neonxp.ru, но тем не менее. 2. Самоподписанные сертификаты. Вот это уже более менее похоже на правду! Да, такие сайты надо добавлять в исключения и мороки с сертификатами чуть больше. Но тут та же история с доменами .dev. Для них самоподписаные не катят. Выход — опять таки старый добрый neonxp.ru. @@ -34,15 +37,17 @@ title: Немного мыслей о TLS (HTTPS) в России 4. `openssl req -new -key server.key -subj "/CN=neonxp.ru/CN=*.neonxp.ru" -out server.csr` — генерируем файл запроса для конкретного сайта 5. Создаем файл `openssl.cnf` с примерно таким содержимым: ``` + [SAN] + subjectAltName = @alt_names + [alt_names] + DNS.1 = neonxp.ru + DNS.2 = *.neonxp.ru + ``` +6. И, наконец, создаем сертификат для сайта, который будет подписан ключами server.key и root\_ca.key (то есть и своим удостоверяющим центром тоже): ``` - - ``[SAN]`` - `subjectAltName = @alt_names` - `[alt_names]` - `DNS.1 = neonxp.ru` - `DNS.2 = *.neonxp.ru` -6. И, наконец, создаем сертификат для сайта, который будет подписан ключами server.key и root\_ca.key (то есть и своим удостоверяющим центром тоже): `openssl x509 -req -in server.csr -CA root_ca.crt -CAkey root_ca.key -CAcreateserial -out server.crt -days 365 -extensions SAN -extfile openssl.cnf` - -В общем, всё. Полученные root\_ca.crt (но не root\_ca.key!), server.key и server.crt можно вносить в конфигурацию используемого вебсервера. А так же внести root\_ca.crt в доверенные для себя. + openssl x509 -req -in server.csr -CA root_ca.crt -CAkey root_ca.key -CAcreateserial -out server.crt -days 365 -extensions SAN -extfile openssl.cnf + ``` + +В общем, всё. Полученные root_ca.crt (но не root_ca.key!), server.key и server.crt можно вносить в конфигурацию используемого вебсервера. А так же внести root_ca.crt в доверенные для себя. Так у меня выглядят [сертификат на сайт](/img/posts/20230724_204209.png) и [сертификат УЦ](/img/posts/20230724_204325.png).
\ No newline at end of file |