Tengo un subdominio de no-ip.org. Me gustaría obtener un certificado SSL gratuito para mi dominio. ¿Es posible hacer esto para un subdominio y, de ser así, cuáles son mis opciones?
Respuesta1
Hay al menos tres opciones para utilizar un certificado con un servidor web o de correo:
Opción 0: obtener un certificado de Let's Encrypt
Vamos a cifrarpuede ser una forma de obtener certificados SSL gratuitos y confiables para el navegador. Esta es una nueva opción desde que se hizo esta pregunta.
Let's Encrypt funciona de manera un poco diferente que otras CA. Instala un pequeño agente en su servidor y renueva su certificado automáticamente cada pocos meses.
No puedo decir si esta opción funciona todavía, porque hay algunos problemas de GitHub que discuten un cambio para permitir que los dominios sin IP funcionen con su servicio:
Aunque esto no funcione hoy, estad atentos, porque parece que estará listo pronto.
Opción 1: obtener un certificado SSL firmado por una autoridad certificadora (CA)
La ventaja de utilizar un certificado firmado por una CA es que sus visitantes confiarán automáticamente en su certificado. Los sistemas operativos y los navegadores web vienen con una lista de certificados raíz confiables, y solo los certificados firmados por esos certificados confiables se consideran confiables de forma predeterminada.
La desventaja es que la mayoría de las CA incluidas en los principales sistemas operativos y navegadores cobran dinero por sus servicios.
Las CA ofrecen certificados para subdominios; sin embargo, generalmente tienen algún tipo de proceso de verificación simple para demostrar que usted tiene el control de ese subdominio. Diferentes CA pueden tener diferentes políticas sobre la emisión de certificados para subdominios de no-ip.org y otros proveedores de DNS dinámicos.
Una pequeña lista de posibles CA que podría investigar son:
Opción 2: obtener un certificado SSL de un proveedor de web de confianza
El único proveedor de web de confianza que conozco esCAcert.org. Esta es una autoridad certificadora que proporciona certificados SSL gratuitos. Sin embargo, los certificados no verifican nada sobre su dominio hasta que otros usuarios de CAcert.org hayan verificado su identidad. Una vez que haya obtenido suficientes "puntos de garantía", podrá agregar un nombre a su certificado y tener fechas de vencimiento más largas.
Sin embargo, no creoCertificado raíz de CAcert.orgestá incluido en la mayoría de los navegadores de forma predeterminada. Sus visitantes deberán instalar este certificado raíz o, de lo contrario, recibirán la Advertencia de certificado aterrador:
Opción 3: generar un certificado autofirmado
Si realmente no puede comprar un certificado, puede crear un certificado autofirmado. Esto no requiere ninguna CA, pero otras computadoras no confiarán automáticamente en su certificado. Los visitantes que visiten un sitio web protegido por un certificado autofirmado recibirán la Advertencia de certificado aterrador.
Dependiendo de su sistema, existen diferentes formas de hacerlo. Si está utilizando OpenSSL, puede utilizar elinstrucciones proporcionadas por Akadia.com:
# Generate a private key
openssl genrsa -des3 -out server.key 1024
# Generate a certificate signing request (CSR)
openssl req -new -key server.key -out server.csr
# Generate the self-signed certificate
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
Luego lo instalará server.csten el servidor web de su elección.
Respuesta2
Puede obtener un certificado gratuito para subdominios durante 90 días de Comodo SSL. Este es el único que he encontrado proporcionado por una autoridad certificadora de confianza omnipresente, gratuito y válido para subdominios. Yo personalmente lo he usado con mi dominio gratuito proporcionado por no-ip. Desafortunadamente, solo es válido por 90 días, después de eso cuesta $ 100 al año (o menos para un compromiso de varios años).