Ocsp stapling что это

dxdt.ru: занимательный интернет-журнал

Ресурсы: техническое описание TLS, LaTeX — в картинки (img)

Техническое: OCSP stapling в Firefox

(Продолжаем криптографическую серию заметок.) Оказывается, в Firefox версии 26 включили поддержку OCSP staplig. Что это такое? OCSP (Online Certificate Status Protocol) – это протокол, позволяющий клиенту (браузеру) в режиме онлайн проверить не был ли представленный сервером SSL-сертификат отозван. Напомню, что отзыв сертификата – это специальная процедура, позволяющая исключить из списка доверенных сертификат, срок действия которого ещё не истёк. Это требуется, например, в том случае, если скомпрометирован закрытый ключ, соответствующий сертификату.

Логика OCSP довольно проста: получив сертификат, браузер обращается с запросом, содержащим серийный номер сертификата, по адресу специального ответчика (“респондера”), обычно работающего на серверах удостоверяющего центра (УЦ), и может получить ответ о том, не отозван ли этот сертификат. А может и не получить – дело в том, что ответчики OSCP некоторых УЦ работают не так надёжно, как хотелось бы. У OCSP есть и ещё одна особенность: владельцы ответчика получают информацию о том, какие пользователи ходят на сайты, где установлены соответствующие сертификаты (очевидно, что эту информацию передают браузеры, запрашивающие проверку отзыва сертификата).

OCSP stapling позволяет побороть оба неприятных аспекта, упомянутых в предыдущем абзаце. Ответ OCSP содержит электронную подпись, поэтому браузеру всё равно, по какому каналу этот ответ получен, главное, чтобы там была валидная подпись. Подпись действует некоторое время, соответственно, копию ответа может передавать веб-сервер, в момент установления TLS-соединения. Веб-сервер получает ответ OCSP от удостоверяющего центра, независимо от запросов посетителей веб-сайта. Просто и логично. OCSP имеет особое значение для так называемых сертификатов с расширенной проверкой (сертификаты EV), так что технология, прежде всего, актуальна именно для них, а точнее – для сайтов, их использующих.

Я некоторое время назад наладил демонстрационный сервер под доменом 1d.pw, там поддерживается и OCSP stapling – только сертификат там не EV, а простой. Посмотреть на работу OCSP stapling можно при помощи OpenSSL, вот так:

$ openssl s_client -connect 1d.pw:443 -tlsextdebug -status

В выдаче отыскиваем строки, следующие за “OCSP response”:

OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)

Адрес записки: https://dxdt.ru/2013/12/19/6420/

Похожие записки:

• Квантовая криптография и металлический контейнер
• Обновление описания TLS
• Форматы записи TLS-сертификатов
• DNS QNAME Minimization на резолверах Cloudflare
• Реплика: уточнение о языках программирования
• Статья о Certificate Transparency
• Падения Facebook.com
• Уровни Интернета и спагеттизация
• Apple и процессор радиоканала 5G
• Доверенные программы для обмена сообщениями
• Занятный замок Fichet 787

OCSP stapling в Nginx

В зависимосте от типа сертификата в архиве могут быть другие файлы:

AddTrustExternalCARoot.crt / Root CA Certificate / Корневой сертификат
COMODORSAAddTrustCA.crt / Intermediate CA Certificate / Промежуточный сертификат
COMODORSADomainValidationSecureServerCA.crt / Intermediate CA Certificate
foobar_com.crt — Сертификат домена

В этом случае команда выглядит так

$ cat foobar_com.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > ssl_bundle.crt

Да, так советует делать инструкция от Comodo. Но в таком случае на SSLLabs будет предупреждение Chain issues — Contains anchor. Поэтому AddTrustExternalCARoot.crt нужно исключить �� и правильная команда выглядит так

$ cat foobar_com.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt > ssl_bundle.crt

Далее нам нужен файл, содержащий сертификаты (корневой+промежуточный) для проверки ответов OCSP

$ cat COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt > foobar_com_ocsp.crt

Если нужно скачать сертификаты ��‍♂️

Пример конфигурационного файла для OCSP stapling

server < listen 443 ssl; server_name foobar.com; ssl_certificate /etc/ssl/foobar_com.crt; ssl_certificate_key /etc/ssl/foobar_com.key; ssl_trusted_certificate /etc/ssl/foobar_com_ocsp.crt ssl_stapling on; ssl_stapling_verify on; resolver 1.1.1.1 8.8.8.8 valid=300s ipv6=off; resolver_timeout 5s; >

Слишком маленькое значение resolver_timeout (менее 5 секунд) может вызвать ошибку ��

"ssl_stapling" ignored, host not found in OCSP responder "ocsp.comodoca.com"

Если настроен фаервол, то не забудьте разрешить вашему серверу исходящие соединения к OCSP URL .

Узнаем OCSP URL

$ openssl x509 -in /etc/ssl/foobar_com.crt -noout -ocsp_uri http://ocsp.comodoca.com

Раз уж теперь известен OCSP сервер, то можно провести тест через консоль с openssl.

$ openssl ocsp -issuer intermediate.crt -cert foobar_com.crt -url http://ocsp.comodoca.com -no_nonce

Успешный вывод команды выглядит так

Response verify OK /etc/ssl/foobar_com.crt: good This Update: Apr 29 04:51:34 2020 GMT Next Update: May 6 04:51:34 2020 GMT

Если вдруг Responder Error: unauthorized, то читаем RFC5019

Также рекомендую очень полезную статью — Настройка и оптимизация OCSP

Сайт rtfm.wiki использует cookies и трекинг посещений. Продолжая использовать этот сайт, вы соглашаетесь с сохранением файлов cookie на вашем компьютере. Если вы не согласны покиньте сайт или включите Adblock �� ОК Что такое cookies? ��

Введение в многопроцессорную систему OCSP

OCSP — это протокол, используемый для проверки действительности сертификатов, чтобы убедиться, что они не были отменены. OCSP является альтернативой Certificate Revocation Lists (CRLs) Ответы OCSP это всего нескольких сотен байтов, поэтому OCSP особенно полезен, когда у выдающего ЦС имеется относительно большие CRL, а также когда клиент имеет ограниченную память и вычислительную мощность.

OCSP также может предоставлять гораздо более своевременную информацию, чем CRL, о статусе сертификата, поскольку информация обычно выбирается чаще. Кроме того, OCSP может сообщить, действительно ли CA выдал сертификат. Это невозможно с помощью CRL, поскольку CRL содержит только список отозванных серийных номеров, тогда как ответчикам OCSP предоставляется серийный номер для проверки. Таким образом, можно сразу обнаружить использование определенных видов мошеннических сертификатов.

У OCSP есть несколько недостатков.
Во-первых, веб-браузер должен получать сам ответ, что может привести к задержкам в квитировании TLS с сервером и заставить пользователя ждать для отображаемой веб-страницы. Конкуренция среди браузеров заставила в значительной степени игнорировать отказы от ответа OCSP, создавая уязвимость безопасности.
Во-вторых, поскольку каждый клиент, посещающий веб-сайт, запрашивает ответ OCSP для сервера, который они посещают, количество запросов к респондентам будет зависеть от количества пользователей сайтов. Если крупные сайты пронумерованы среди клиентов ЦС, ЦС должен создать значительную инфраструктуру для обработки всех этих запросов.
Наконец, сбой в этой инфраструктуре может заставить клиента сомневаться в том, что сертификат действителен, если ответ недоступен.

Чтобы преодолеть проблемы с задержкой и производительностью, рабочая группа TLS рабочей группы Internet Engineering определила расширение статуса сертификата для протокола TLS, обычно называемое «Сшивание OCSP» Сшивание OCSP использует сервер TLS в качестве прокси для клиента, выбирая Ответ OCSP на сертификат своего сайта и передачу ответа клиентам, которые запрашивают ответ как часть рукопожатия TLS. Поскольку ответ получен непосредственно с сервера, клиенту не требуется запрашивать информацию у эмитента, что приводит к увеличению производительности сайта. Помимо преимуществ клиента и более быстрой загрузки страниц, сглаживание OCSP смягчает некоторые проблемы конфиденциальности, вызванные тем, что клиент сообщает CA, какие сайты посещают пользователь, а также снижает нагрузку на эмитента, уменьшая требования к инфраструктуре.

Сшивание OCSP в настоящее время поддерживается IIS 7+, Apache 2.4+, Nginx 1.7.3+.

Основным недостатком сшивки OCSP является то, что он немного увеличивает размер трафика веб-сайта — от нескольких сотен байтов до двух КБ за полное рукопожатие, в зависимости от размера ответа OCSP. Тем не менее, это увеличение незначительно по сравнению с количеством зашифрованных данных, отправленных по соединению, особенно если сервер настроен хорошо и использует возобновляемые сеансы SSL / TLS, что ограничит количество необходимых протоколов протокола TLS, что сократит затраты, как дорогостоящие операция закрытого ключа не требуется при возобновлении сеанса.

Другим недостатком является то, что основная сшивка OCSP работает только для сертификатов сайта и не проверяет достоверность промежуточных сертификатов ЦС в цепочке сертификатов, что также является требованием для надлежащей проверки сертификата. Это означает, что клиентам по-прежнему приходится отдельно проверять достоверность сертификата ЦС, загружая CRL или запрашивая ответы OCSP, в зависимости от того, что настроено в сертификате. Одной из возможных причин этого ограничения является то, что в то время, когда было определено расширение TLS сертификата, промежуточные сертификаты CA не включали информацию OCSP. Однако время изменилось, и теперь требуется информация OCSP в промежуточных продуктах.

Многократное скрепление OCSP

ЦС теперь выдают сертификаты, по крайней мере, с одним промежуточным ЦС в цепочке (или, по крайней мере, в большинстве случаев), а в базовых требованиях для CA / Browser Forum теперь требуются указатели OCSP в промежуточных сертификатах CA. При необходимой поддержке клиентов и серверов TLS можно было бы использовать скобки OCSP для промежуточных сертификатов ЦС. Проверка этой информации в связи со сшитым ответом OCSP называется «сшивание с несколькими типами».

Множественное сшивание должно быть таким же простым, как определение нового метода для расширения статуса сертификата и включение этого метода в список методов, поддерживаемых клиентом Расширение статуса сертификата в TLS не позволяло клиентам сигнализировать поддержку для двух методов. Это проблематично, потому что клиентам придется поддерживать как старые, так и новые методы сшивания, пока все клиенты не смогут поддерживать многошиточное сшивание. Новое расширение устраняет несколько проблем, позволяя клиентам использовать несколько методов проверки состояния и позволяя серверам пересылать несколько ответов OCSP клиенту.

Переход от проверки отзыва клиента на серверную доверенную информацию об отзыве повышает безопасность онлайн, позволяя клиентам рассматривать недостающую информацию OCSP как серьезную проблему. Кроме того, многократное сшивание немедленно повысит производительность веб-сайтов за счет устранения времени, которое в настоящее время клиентам необходимо потратить на установление соединений, используемых для загрузки информации OCSP и CRL, что может быть значительной частью времени, затраченного на рукопожатие с сервером.

Отзыв сертификатов является критическим аспектом обеспечения безопасности инфраструктуры сторонних сертификатов (ЦС), которая поддерживает безопасную связь в Интернете с использованием SSL / TLS. Сертификат может быть отменен, если у него был скомпрометирован его закрытый ключ, владелец сертификата больше не контролирует домен, для которого он был выпущен, или сертификат был ошибочно подписан. Без возможности отзыва сертификатов ЦС не имеет прямых средств для маркировки сертификата как ненадежного до истечения срока действия сертификата, который может занять несколько лет. В особенно срочных случаях поставщик браузера может иметь возможность блокировать определенные отдельные сертификаты, доверенные корни или промежуточные сертификаты, но это редко выполняется и не подходит для проблем с меньшим риском, где аннулирование является необходимым, но не срочным.

Поддержка браузера для обоих OCSP и CRL смешанна: в настоящее время Firefox не загружает CRL из доверенных ЦС автоматически, поэтому пользователи Firefox должны полагаться только на OCSP; Google использует проприетарный механизм для распространения CRL для пользователей Google Chrome, который объединяет CRL CAC в одном обновлении, которое распространяется с использованием его автоматического канала обновления. Многие браузеры по умолчанию применяют «мягкий отказ», оставляя пользователей уязвимыми для подслушивающих устройств, способных блокировать или подделывать трафик OCSP. До тех пор, пока центры сертификации, отвечающие за ответы OCSP, не имеют надежной записи как для производительности, так и для надежности своих ответчиков OCSP, браузерам будет трудно оправдать переход на синхронное поведение «с жестким отказом»

Конфигурация сервера OCSP

1. При использовании CRL — Certificate Revocation List — браузер загружает список серийных номеров отозванных сертификатов с сервера СА и проверяет не отозван ли текущий сертификат, что увеличивает время SSL-переговоров. Две основные проблемы CSR – это приватность и большая нагрузка на серверы центров сертификации. Чтобы связаться с CA и подтвердить статус сертификата требуется браузер. это нарушает конфиденциальность, поскольку ЦС знает к какому сайту вы обращаетесь и другу инфу (IP, браузер и др.). При большом количестве посетителей сайта CRL-сервер ЦС приходится обрабатывать все запросы посетителей в отдельности.
2. OCSP — Online Certificate Status Protocol – это протокол, проверяющий, был ли отозван SSL-сертификат. OCSP stapling – это расширение TLS/SSL, целью которого является повышение производительности SSL-переговоров при сохранении конфиденциальности посетителя. Он был создан в качестве альтернативы CRL, с целью уменьшить время SSL-переговоров и уменьшить нагрузку на CRL сервер СА. Используя OCSP, браузер посылает запрос к вашему серверу (а не к серверу CRL центра сертификации) и получает ответ, содержащий состояние достоверности сертификата. Ваш сервер запрашивает не отозван ли сертификат у OCSP сервера CA и кэширует полученный ответ. Этот ответ «сшивается» (staple) с TLS/SSL рукопожатием. В результате серверы ЦС не перегружаются запросами, а браузеры больше не раскрывают деталий третьим лицам (CA).

Тестирование ответа OCSP при помощи OpenSSL

echo QUIT | openssl s_client -connect domain.com:443 -status 2> /dev/null | grep -A 17 ‘OCSP response:’ | grep -B 17 ‘Next Update’

FAQ по OCSP

Что такое OCSP Stapling
OCSP — Online Certificate Status Protocol — это модель расширения стандартного протокола OCSP, посредством которой веб-сервер получает ответ OCSP от ЦС и отправляет ответ OCSP браузеру в процессе рукопожатия SSL. Это может быть более эффективным, поскольку ответ OCSP действителен в течение нескольких часов или дней, а веб-сайт может кэшировать его и отправлять его всем пользователям в течение этого периода времени. Это повышает скорость и надежность OCSP, что устраняет необходимость того, чтобы клиентский браузер инициировал подключение к CA.

Зачем использовать OCSP Stapling
DigiCert рекомендует устанавливать OCSP нашим партнерам и клиентам, которые хотят воспользоваться этой улучшенной моделью OCSP, чтобы улучшить производительность браузера своих конечных пользователей при доступе к веб-сайту. Сшивание OCSP также затрагивает проблему конфиденциальности, поскольку CA больше не получает запросы проверки отзыва непосредственно от клиента (браузера).

Сертификаты DigiCert и OCSP
Инфраструктура DigiCert полностью поддерживает OCSP Stapling, и клиентам не нужен специальный SSL-сертификат, чтобы воспользоваться им. Фактически, им вообще не нужно участие DigiCert. Все, что им нужно сделать, это убедиться, что они используют одну из OCSP сшитых веб-серверных платформ, таких как Apache, Nginx или Windows Server, и что сшивание OCSP было настроено и включено на веб-сервере локально.

Конфигурирование OCSP stapling в Apache >=2.3.3

Существуют две директивы, которые необходимо добавить в конфигурационный файл apache

SSLUseStapling on
SSLStaplingCache «shmcb:/var/run/ocsp(128000)»

SSLUseStapling включает эту функцию, а SSLStaplingCache указывает, где хранить кеш и как большой он должен быть.

Note:Если вы используете Apache для Windows, убедитесь, что путь для SSLStaplingCache относится к пути к файлу Windows, например, «shmcb:C:/xampp/apache/logs/ocsp(128000)»]

Убедитесь, что SSLStaplingCache находится за пределами виртуального хоста или Apache, скорее всего, не запустится. Мы предлагаем поместить всю настройку за пределы раздела Virtual Host для простоты.
Примечание. При включении и / или настройке OCSP Stapling на ваших серверах имейте в виду, что запрос OCSP с вашего сервера на URL-адрес DigiCert OCSP должен быть разрешен. Если ваш сервер находится за брандмауэром. Вам необходимо создать исключение брандмауэра, чтобы сервер для исходящих подключений соответствовал URL-адресу DigiCert OCSP.

Сохраните файл конфигурации и перезапустите Apache, чтобы изменения вступили в силу

Проверка работы OCSP Stapling

Убедитесь, что вы используете самую последнюю версию openssl (0.9.8k или более поздней) для тестирования.

openssl s_client -connect yourdomain.com:443 -tls1 -tlsextdebug -status

В ответ обратите внимание на следующее:

OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: successful (0x0)

Это означает, что сцепление OCSP включено. Если вы получите ответ, как показано ниже, то сшивание OCSP не выполняется:

OCSP response: no response sent

Конфигурация OCSP stapling в Nginx >=1.3.7

1. В файле конфигурации Nginx необходимо добавить две директивы

ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
ssl_trusted_certificate /etc/ssl/CA.crt

Файл CA.crt в приведенном выше примере должен содержать все соответствующие корневые и промежуточные сертификаты ЦС. Ниже приведен пример конфигурации Nginx для сшивания OCSP.

server <
listen 443 ssl;
server_name serverhostname;
ssl_certificate /etc/ssl/SSL_Cert.crt;
ssl_certificate_key /etc/ssl/cert_key.key;
ssl_trusted_certificate /etc/ssl/CA.crt
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
>

Примечание. При включении и / или настройке OCSP Stapling на ваших серверах имейте в виду, что запрос OCSP с вашего сервера на URL-адрес DigiCert OCSP должен быть разрешен. Если ваш сервер находится за брандмауэром, вам необходимо создать исключение брандмауэра, чтобы ваш сервер мог использовать исходящие подключения к URL-адресу DigiCert OCSP.

Проверка работы OCSP Stapling

Убедитесь, что вы используете самую последнюю версию openssl (0.9.8k или более поздней) для тестирования.

openssl s_client -connect yourdomain.com:443 -tls1 -tlsextdebug -status

Обратите внимание на область ответа OCSP:

OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: successful (0x0)

Это означает, что сшивание OCSP включено. Если вы получите ответ, как показано ниже, то сшивание OCSP не включено:

OCSP response: no response sent

Конфигурирование OCSP stapling в Windows Server

• Сшивание OCSP поддерживается и включено по умолчанию в Windows Server 2008 или выше .
• Для Windows Server 2008 или выше не требуются шаги настройки
• Версия сервера Windows ниже 2008 г. не поддерживает OCSP Stapling

Для сшивки OCSP для работы на вашем сервере Windows все, что вам нужно сделать, это проверить версию сервера, на котором вы работаете, — 2008 или выше. А также требуется разрешение OCSP с вашего сервера на сервер OCSP DigiCert. Если ваш сервер находится за брандмауэром. Вам необходимо создать исключение брандмауэра, чтобы ваш сервер мог отправлять исходящие соединения на URL OCSP DigiCert.

 DV OV EV WC SAN PRO CodeSign Email PDF Wi-Fi IoT ALL Купить сертификат

Copyright © 1997-2024 adgrafics

Добиваемся OCSP stapling = Yes для сертификатов от WoSign на Nginx

Доброго времени суток, Хабражители.
Прочитав статьи №1 и №2 (про бесплатные SSL сертификаты от китайских друзей WoSign столкнулся с тем, что многие не могут добиться OCSP stapling = Yes для этих сертификатов.
Хочу рассказать как этого добился я.

Мы получили сертификат WoSign, залили на сервер.
И так, приступим.

Во-первых — получаем промежуточные сертификаты.

cd /path/to/your/ssl/ wget -O - https://www.startssl.com/certs/ca.pem | tee -a ca-certs.pem > /dev/null wget -O - https://www.startssl.com/certs/sub.class1.server.ca.pem | tee -a ca-certs.pem > /dev/null wget -O - http://aia.startssl.com/certs/ca.crt | openssl x509 -inform DER -outform PEM | tee -a ca-certs.pem > /dev/null wget -O - http://aia1.wosign.com/ca1g2-server1-free.cer | openssl x509 -inform DER -outform PEM | tee -a ca-certs.pem > /dev/null wget -O - http://aia6.wosign.com/ca6.server1.free.cer | openssl x509 -inform DER -outform PEM | tee -a ca-certs.pem > /dev/null 

Во-вторых — в коняги Nginx’а добавляем

######################################################### # # ssl_session_cache shared:SSL:10m; ssl_session_timeout 5m; ssl_prefer_server_ciphers on; ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate "/path/to/your/ssl/ca-certs.pem"; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 5s; # # ######################################################### 

В-третьих — в коняги домена прописываем для 443 порта в раздел server следующее:

 ssl on; ssl_certificate /path/to/your/ssl/ssl.crt; ssl_certificate_key /path/to/your/ssl/ssl.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'HIGH:!aNULL:!MD5:!kEDH'; add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;"; 

И напоследок — перезапускаем Nginx

service nginx restart 

Теперь при проверке на SSL-тестере мы видим результат А+ и включенный OCSP stapling.
Так же можно проверить это прямо на сервере командой

openssl s_client -connect YourDomain.com:443 -tls1 -tlsextdebug -status 

Если в результате есть следующее,
то значит всё отлично!

OCSP response:
======================================
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: C = CN, O = WoSign CA Limited, CN = WoSign Free SSL OCSP Responder(G2)
Produced At: Mar 27 14:30:05 2015 GMT
Responses:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: A06661F16CBCC23E98BC71914830B85AAA8D0A6B
Issuer Key Hash: D2A716207CAFD9959EEB430A19F2E0B9740EA8C7
Serial Number: 4C306486969BCBC1AE555A1D8C117B87
Cert Status: good
This Update: Mar 27 14:30:05 2015 GMT
Next Update: Mar 29 14:30:05 2015 GMT

Signature Algorithm: sha1WithRSAEncryption
7c:d8:e8:28:37:a3:2b:44:d2:30:f3:e5:a6:fa:9d:ff:1c:4a:
d9:33:43:a2:75:d6:f5:da:a1:47:f4:46:22:af:a2:54:a8:30:
cb:c8:6a:f9:1f:85:18:ee:c1:70:43:c9:08:61:cb:eb:b1:d6:
42:70:0f:e4:7b:dc:81:fb:f5:47:d1:02:b9:f4:bb:e4:5d:32:
57:75:8e:ca:15:95:4c:50:f3:2b:8f:94:ab:53:2d:a7:0a:b0:
3e:ab:d4:2b:fa:f1:8c:2e:00:46:e5:9b:d3:31:9f:e6:54:9d:
35:eb:20:95:b4:1a:12:7c:58:f2:f3:38:6b:fb:a6:1f:3c:cf:
fa:bc:f2:bb:92:e8:b0:41:37:84:31:ca:8c:44:73:60:8c:2f:
60:1f:7c:97:a8:7f:f0:b2:b3:8f:68:ce:3c:1d:9d:91:c9:88:
a7:bc:6e:91:93:68:de:6b:84:91:3e:34:7c:46:de:eb:71:9a:
76:f7:f8:87:d1:be:12:1b:7a:f0:3c:37:98:41:92:7a:6c:40:
87:3f:a1:f5:ef:d7:a3:1e:d2:34:3b:5d:f5:de:b9:a7:1d:a8:
da:f6:c0:2e:19:6f:e7:9c:96:78:3e:c7:a1:9d:f8:9d:09:81:
f0:5d:16:be:53:0c:cb:82:28:05:08:b2:cd:d6:5d:46:3c:ea:
cd:a1:e7:55

Вот результаты теста моего блога
В комментариях к вышеупомянутым статьям были попытки (очень похожие на мою), но неуспешные.
Я не навязываю бесплатные сертификаты, но всё же если платить не хочется — пользуйтесь!
Спасибо.

• Информационная безопасность
• Криптография
• PHP