Eu tenho um subdomínio de no-ip.org. Gostaria de obter um certificado SSL gratuito para meu domínio. Isso é possível fazer para um subdomínio e, em caso afirmativo, quais são minhas opções?
Responder1
Existem pelo menos três opções para usar um certificado com um servidor web ou de email:
Opção 0: Obtenha um certificado do Let's Encrypt
Vamos criptografarpode ser uma maneira de você ter certificados SSL gratuitos e confiáveis para navegadores. Esta é uma nova opção desde que esta pergunta foi feita.
Let's Encrypt funciona de maneira um pouco diferente de outras CAs. Você instala um pequeno agente em seu servidor e ele renova seu certificado automaticamente a cada poucos meses.
Não sei dizer se essa opção funciona ainda, porque há alguns problemas no GitHub discutindo uma mudança para permitir que domínios No-IP funcionem com seus serviços:
Mesmo que isso não funcione hoje, fique de olho, pois parece que estará pronto em breve.
Opção 1: Obtenha um certificado SSL assinado por uma autoridade de certificação (CA)
A vantagem de usar um certificado assinado por uma CA é que os visitantes confiarão automaticamente no seu certificado. Os sistemas operacionais e navegadores da Web são fornecidos com uma lista de certificados raiz confiáveis, e somente os certificados assinados por esses certificados confiáveis são considerados confiáveis por padrão.
A desvantagem é que a maioria das CAs incluídas nos principais sistemas operacionais e navegadores cobram por seus serviços.
As CAs oferecem certificados para subdomínios; no entanto, eles geralmente possuem algum tipo de processo de verificação simples para provar que você tem o controle desse subdomínio. CAs diferentes podem ter políticas diferentes sobre a emissão de certificados para subdomínios de no-ip.org e outros provedores de DNS dinâmico.
Uma pequena lista de potenciais CAs que você pode investigar é:
Opção 2: Obtenha um certificado SSL de um provedor web-of-trust
O único provedor de web de confiança que conheço éCAcert.org. Esta é uma autoridade de certificação que fornece certificados SSL gratuitos. No entanto, os certificados não verificam nada sobre o seu domínio até que outros usuários do CAcert.org tenham verificado sua identidade. Depois de ganhar "pontos de garantia" suficientes, você poderá adicionar um nome ao seu certificado e ter datas de validade mais longas.
Porém, não acreditoCertificado raiz do CAcert.orgestá incluído na maioria dos navegadores por padrão. Seus visitantes precisarão instalar este certificado raiz ou receberão o aviso de certificado assustador:
Opção 3: gerar um certificado autoassinado
Se você realmente não puder comprar um certificado, poderá criar um certificado autoassinado. Isso não requer nenhuma CA, mas outros computadores não confiarão automaticamente no seu certificado. Os visitantes que visitarem um site protegido por um certificado autoassinado receberão o Aviso de Certificado Assustador.
Dependendo do seu sistema, existem diferentes maneiras de fazer isso. Se você estiver usando OpenSSL, você pode usar oinstruções fornecidas por Akadia.com:
# Generate a private key
openssl genrsa -des3 -out server.key 1024
# Generate a certificate signing request (CSR)
openssl req -new -key server.key -out server.csr
# Generate the self-signed certificate
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
Você então instalaria server.cstno servidor web de sua escolha.
Responder2
Você pode obter um certificado gratuito para subdomínios por 90 dias no Comodo SSL. Este é o único que descobri fornecido por uma autoridade de certificação onipresente, gratuita e válida para subdomínios. Eu usei-o pessoalmente com meu domínio gratuito fornecido pela no-ip. Infelizmente, é válido apenas por 90 dias, depois disso custa US$ 100/ano (ou menos para um compromisso plurianual).