Сертификат для сайта – Проверка SSL-сертификата сайта онлайн: как установить SSL на хостинг и проверить наличие на сайте HTTPS сертификата?

SSL-сертификат для сайта бесплатно: как получить HTTPS на REG.RU

Хотите получить бесплатный SSL для защиты своего ресурса? С нами у вас есть такая возможность! Бесплатный SSL предоставляется к доменному имени для всех клиентов REG.RU!

REG.RU совместно с Global Sign активно развивают программу популяризации защищённого https-соединения. Мы рады сообщить о расширении условий выдачи бесплатных сертификатов! Мы делаем современную технологию защиты сайтов по-настоящему доступной!

Любой пользователь, который уже имеет домен или планирует зарегистрировать новый в REG.RU, может бесплатно заказать годовой SSL от GlobalSign из «Личного кабинета» регистратора.

Благодаря особенности SSL от GlobalSign при подключении SSL-защиты к адресу вида: www.имясайта.ru она автоматически распространится и на адрес вида: имясайта.ru.

Внимание!

Бесплатный сертификат можно получить только для ваших веб-адресов на латинице.

SSL-сертификат: зачем он вам?

При попытке доступа к вашему ресурсу он может быть подменён злоумышленниками. Современные SSL исключают возможности такой подмены. Кроме того, они позволяют пользователю проверить, кто является владельцем ресурса. Это значит, что убедиться в том, что подмены не было, может каждый.

Пользователи, увидев «https», который стоит перед адресом, поймут, что ваш адрес прошел проверку в удостоверяющем центре, и будут более доверительно относиться к вашему ресурсу.

Кроме того, SSL-сертификаты необходимы для шифрования интернет-соединения. Благодаря этому сокращаются риски хищения конфиденциальных данных. С помощью данной услуги можно надёжно защитить не только пароли, но и номера банковских карт.

Не стоит думать, что предлагаемые нами сертификаты (бесплатные) не справятся с поставленными задачами! Их получение убедит вас в обратном! Даже полученный в рамках акции сертификат позволит вам надёжно защитить свой бизнес и завоевать доверие посетителей.

Кто может пользоваться сертификатом?

Сертификат, удостоверяющий только доменное имя, может быть использован юридическими и физическими лицами. Использование сертификата, удостоверяющего доменное имя и организацию, может быть заказано только юридическим лицом.

Обратите внимание!

Сертификат, удостоверяющий только доменное имя, может быть использован юридическими и физическими лицами.
Использование сертификата, удостоверяющего доменное имя и организацию, может быть заказано только юридическим лицом.

Остались вопросы? Хотите воспользоваться услугой его получения? Нужен бесплатный? Обращайтесь! Использование сертификата позволит быстро решить сразу несколько задач. Платить не придётся! Сертификат по акции будет выдан на безвозмездной основе.

Процесс получения SSL

Хотите подключить бесплатный предлагаемый сертификат?

Для получения достаточно выполнить 2 простых шага:

  • Перейдите на страницу управления доменного имени (или управления хостингом / VPS).
  • В блоке «Безопасность» включите SSL.

Всё! Безопасность вашего адреса сайта обеспечена! Пользуйтесь возможностью для защиты без дополнительных затрат!

Для того чтобы воспользоваться услугой в подарок необходимо зарегистрировать веб-адрес или перенести уже существующий на обслуживание в REG.RU.

Также если вам понадобится, то вы сможете напрямую скачать сертификат из Личного кабинета!

Обеспечь вашему сайту защищённое https-соединение!

Зарегистрировать доменПеренести домен

SSL сертификат для сайта — зачем он нужен, где его взять и какой тип выбрать?

SSL сертификат для сайта

SSL сертификат для сайта Привет, друзья. Многие из вас знают, что я в последнее время занимаюсь в основном подготовкой сервиса CheckTrust.ru к запуску. Кстати, запуск должен состояться уже очень скоро и вас ждут приятные сюрпризы, но вы и сейчас можете регистрироваться и полноценно пользоваться сервисом.

Так вот на прошлой неделе случился очередной ключевой этап подготовки к запуску – получение специального SSL сертификата и переключение сервиса на защищенное соединение https://.

Что это, зачем это и почему это так важно?

Позвольте процитировать несколько строк из Википедии:

HTTPS (HyperText Transfer Protocol Secure) — расширение протокола HTTP, поддерживающее шифрование. Он обеспечивает защиту от атак, основанных на прослушивании сетевого соединения, при условии, что будут использоваться шифрующие средства, и сертификат сервера проверен и ему доверяют.
Чтобы подготовить веб-сервер для обработки https-соединений, администратор должен получить и установить в систему сертификат для этого веб-сервера.
Центр сертификации, при подписывании проверяет клиента, что позволяет ему гарантировать, что держатель сертификата является тем, за кого себя выдаёт (обычно это платная услуга).

Проще говоря, когда вы заходите на сайт с https то все данные, передаваемые в браузере, шифруются, и даже если их перехватит злоумышленник, расшифровать их никогда не сможет, не имея секретного ключа, который известен только мне (владельцу сертификата).

Пользуясь каким-либо сайтом, который хранит и использует личные данные, а тем более, которой подразумевает оплату и другие финансовые операции, вы доверяете ему свою информацию и хотите, чтобы она была в безопасности.

Сайту вы можете доверять, но если пользуетесь интернетом в общественном месте (аэропорт, кафе или любая другая бесплатная wi-fi точка доступа) уверены ли вы в том, что соединение никто не прослушивает? Кстати, прослушивать могут и домашний интернет, если есть физический доступ к роутеру. Привет халявный соседский wi-fi?!

Но даже здесь владельцы сайта могут вас спасти. Разумеется, при помощи защищенного https-соединения. Я, как один из основателей сервиса CheckTrust, забочусь о вас, друзья, и хочу, чтобы вы чувствовали себя спокойно. И мы сделаем все возможное для этого!

Но хватит лирики. Как вы уже поняли, чтобы сделать возможным https соединение, необходимо иметь специальный SSL сертификат и установить его на сервер, где расположен сайт. Вот именно этим мне и предстояло заняться пару дней назад. А так как я даже понятия не имел, что собой представляет SSL сертификат, где его взять, сколько это стоит и как его активировать, я стал разбираться.

Занял этот процесс целый рабочий день, а потом еще целый день на устранение неожиданных ошибок. Я решил, что это стоит того, чтобы рассказать вам.

Итак, первым делом, я решил узнать, что же это за сертификаты и с чем их едят. Никого не удивлю, если скажу, что просто ввел в Яндексе запрос «ssl сертификат». Когда я увидел слова «виды», «разновидность», «как выбрать», «сравнение», стало ясно, что все не так просто. Прочитав несколько статей на Хабре, я узнал, что бывает 3 типа сертификатов, что их выдают специальные центры сертификации и какие из них самые крупные.

Определиться с типом SSL было не так просто, т.к. помимо верификации только домена я хотел немного большего – подтверждение данных владельца (хоть компании у меня нет, зато у меня есть я, и при определенных условиях можно подтвердить личность вместо организации).

До этого, я разговаривал с Саньком (руководитель отдела разработки CheckTrust, заметили, да, у нас тут кругом одни «Саньки»!), и он сказал, что в Ярославле видел какую-то контору. И так совпало, что в выдаче был единственный сайт, продающий сертификаты и как раз из Ярославля. Судьба, видимо, подумал я, и перешел на их сайт. Походил, посмотрел, но ответа на свой вопрос, как получить SSL сертификат с проверкой данных физического лица так и не нашел, потому решил обратиться в техподдержку.

Меня интересует ssl сертификат. Прочитал, что есть разные виды сертификатов с разным уровнем проверки. Есть самые простые с проверкой только домена. А есть с проверкой организации и других данных.
Хотелось бы что-то «посильнее» чем просто проверка домена. Но организации у меня нет, но я готов подтвердить любые необходимые данные физлица, т.е. меня. Это возможно или мне подойдет только верификация домена и самый простой сертификат?

Довольно быстро я получил развернутый ответ:

Разница между этими сертификатами состоит вот в чем:
Простые (Domain Validation, DV) – в сертификате указан только домен.
С проверкой компании (Organization Validation, OV) – указан домен и название компании.
С расширенной проверкой (Extended Validation, EV) – зеленая адресная строка браузера, название компании в ней, в сертификате также домен и название компании.
При этом в силе шифрования разницы нет.

Сертификаты EV физическим лицам в принципе не выдаются. Процесс проверки даже для компаний довольно сложный.
Для сертификатов OV возможно, но процесс валидации намного сложнее, чем у юрлиц. Описание процесса, например, на сайте Comodo. По ссылке находится документ с описанием (на английском) — нужно заполнить его (форма на 3 странице), заверить у нотариуса и отправить по е-мейлу.

Кроме того, в файле есть перечень документов, которые они принимают.
1) Паспорт
2) Документ из финансового учреждения:
— международная пластиковая карта или дебетовая карта, если на них указан срок действия и он еще не истек, или
— выписка из банковского счёта не старше 6 месяцев
3) Нефинансовый документ:
— счет за коммунальные услуги или
— заверенная копия свидетельства о рождении или
— налоговая декларация за последний год или
— заверенная копия судового документа, например свидетельство о разводе, судебное постановление о признании брака недействительным или бумаги об усыновлении.

То есть если Вы решите заниматься этими документы, возникнут дополнительные траты на нотариуса. При этом центры сертификации не гарантируют, что сертификат будет выдан. Кроме того на сайте сертификат не будет отличаться от простого, разница только в названии компании внутри сертификата, а, к сожалению, не все пользователи знают, где это просмотреть.

Поэтому лучше всего заказать сертификат с проверкой только домена, а для того, чтобы посетители видели, что сайт защищен, дополнительно добавить печать защиты.

Тем не менее, среди простых сертификатов также есть разница.
Например, Thawte считается более высоким классом, так как более серьезно проверяет заказчика, чем Comodo. В то же время Comodo более популярен, так как значительно дешевле.

Решив, что волокита с документами и лишние затраты мне нафиг не нужны, я остановился на единственном доступном для физического лица варианте – простой SSL сертификат с подтверждением домена.

В процессе подготовки и покупки у меня возникали различные сложности и вопросы, к счастью, в конце письма из тех.поддержки был скайп замечательной девушки Юлии, которая согласилась мне помочь и терпеливо отвечала на все мои вопросы и помогала решать проблемы. А после покупки даже помогла проверить валидность установки сертификата, в результате чего была обнаружена серьёзная проблема, но об этом позже. Короче говоря, мне очень понравилось наше общение и я предложил Юлии поучаствовать в написании данного поста.

Поэтому не буду тянуть и передаю слово Юле, она вам расскажет о том, для чего используются SSL сертификаты, как проходит процесс проверки для разных типов SSL и в каких случаях их лучше применять.


Дорогие читатели, буду рада, если предоставленная ниже информация окажется Вам полезной и поможет определиться с SSL сертификатом, когда появится такая задача. Тем более, когда в свете последних событий (а именно после обнаружения уязвимости Heartbleed) начали ходить слухи о том, что в будущем наличие SSL сертификатов на коммерческих сайтах войдет в список факторов ранжирования и будет позитивно оцениваться в поиске Google. Официального заявления компания не делала, хотя на конференции SMX West 2014 Мэтт Каттс высказал свое пожелание видеть зашифрованное соединение частью нового алгоритма (прим. публикация об том на серче). Нам же остается пока следить за новостями.

Начать хочу с того, что SSL сертификаты используются для защиты передаваемой информации в разнообразнейших областях: при взаимодействии с клиентами (регистрация и авторизация на сайте, передача данных от клиента на сервер, оплата кредитными картами), передача конфиденциальных данных в интранете, обеспечение безопасной коммуникации между сотрудниками, работающими удаленно, защита приложений и почтовых серверов. Кроме защитной функции следует обратить внимание на то, что наличие SSL сертификата на сайте позитивно влияет на доверие посетителей и может дополнительно мотивировать посетителя совершить определенное действие на странице (например, зарегистрироваться или завершить покупку).

Как Александр заметил в начале статьи, действительно существует огромное количество сертификатов, поэтому мы их разделили на подкатегории, чтобы было проще сориентироваться.

С одной стороны мы разделяем SSL сертификаты в зависимости от количества защищаемых доменов:

  1. 1 домен – защищает соединение с одним доменным именем, например, вы можете заказать его для домена my-site.ru или для поддомена pay.my-site.ru, и защищен будет именно тот, что указан во время заказа. Используется для простых веб-сайтов или отдельных разделов веб-ресурсов.
  2. Домен и все его поддомены – SSL сертификаты типа Wildcard, которые защищают доменное имя и все поддомены уровнем ниже. Заказывая такой SSL сертификат, важно указать название сайта в формате *.my-site.ru, тогда на месте звездочки сможет оказаться любой существующий и будущий поддомен Вашего веб-сайта.
  3. Несколько доменов – мультидоменный SSL сертификат способен сэкономить Ваше время для заказа, установки и управления, так как включает все указанные во время оформления домены и/или поддомены. Чаще всего применяется на почтовых серверах или же владельцами нескольких доменов.

С другой стороны существуют разные типы валидации заказчика для получения того или иного сертификата SSL, которые впоследствии определяют уровни «престижа» сертификатов:

  1. Валидация домена – подходит для физических и юридических лиц и заключается в подтверждении заказа по административной электронной почте или с помощью http-запроса.
    Лучше всего подходит для небольших сайтов без онлайн оплаты, для внутреннего пользования, для защиты iframe приложений, то есть в тех случаях, когда важно обеспечить безопасную передачу данных, но пользователю не обязательно знать, какой компании принадлежит защищенный сайт.
  2. Проверка компании – выдается юридическим лицам без проблем, для этого нужно, кроме подтверждения по электронной почте, пройти валидацию по телефону. Особых сложностей данный процесс не представляет, когда в заказе, в данных о домене и в телефонном справочнике совпадает название и адрес компании. Физическим лицам такие SSL сертификаты теоретически также выдаются, но практически процедура достаточно сложная, так как требуется ряд документов, заверенных нотариусом.
    SSL сертификат с проверкой компании содержит название фирмы и используется в тех случаях, когда необходимо не только защитить соединение, но и указать, кто является владельцем сертификата. Например, это очень важно в случае сертификатов разработчика для подписи программного кода, а также когда SSL сертификат выдается на IP адрес, или же когда владелец веб-сайта желает дать возможность посетителям проверить принадлежность сайта своей компании (для этого нужно кликнуть на замок в адресной строке и просмотреть свойства SSL сертификата).
  3. Расширенная проверка компании, помимо вышеперечисленных методов валидации по электронной почте и телефону, подразумевает проверку юридических документов компании и требует официальное заявление и соглашение с центром сертификации о выпуске данного SSL сертификата. Выдаются SSL сертификаты EV (от Extended Validation – расширенная валидация) исключительно юридическим лицам.
    Особенностью SSL сертификатов с EV является окрашивание адресной строки браузера в зеленый цвет, кроме того в ней появляется название компании. Эти характеристики выделяют сайт среди конкурентов и привлекают внимание посетителей, поэтому такой тип SSL сертификатов идеально использовать для онлайн-магазинов, финансовых учреждений, платежных систем, то есть в тех случаях, где доверие клиентов имеет первостепенное значение.

Для SEO-блога было бы также логично затронуть вопрос о том, как переход на https:// влияет на ранжирование сайта. Первым делом хочу заметить, что еще в апреле 2013 года Джон Мюллер (Google) сообщил, что страницы, защищенные SSL сертификатом, ранжируются точно так же, как и простые страницы http://. Тем не менее, чтобы не возникло проблем с поисковыми системами, при установке SSL сертификата необходимо учесть следующие факторы:

  1. Скорость загрузки.
    Хостинг, на котором расположен Ваш сайт, должен справляться с дополнительной нагрузкой при SSL соединении, так как скорость загрузки является одним из факторов ранжирования в поисковых системах. Защищенный SSL сертификатом сайт требует больше ресурсов нежели обычный, так как соединение по протоколу https шифруется. Поэтому важно учесть это явление при установке SSL сертификата.
  2. 301 редирект.
    Поисковые системы ценят уникальный контент на веб-сайте, поэтому важно убедиться, что все содержимое сайта на http:// перенаправляется с использованием простого 301-го редиректа на эквивалентную страницу с https://. Если упустить этот момент и не настроить переадресацию, это может негативно сказаться на отношении поисковых систем к сайту, так как эти страницы распознаются как два разных веб-сайта с одинаковым контентом.
  3. Инструменты для веб-мастеров.
    По той же причине следует вносить в инструменты веб-мастеров версию сайта на https:// отдельно в качестве нового сайта.

Пожалуй, это была основная информация, которая может понадобиться при выборе и дальнейшем использовании SSL сертификата. Конечно же, бывает множество нюансов и индивидуальных требований, таких как защита версий сайта с www. и без, использование одного сертификата на нескольких физических серверах или поддержка высокого уровня шифрования устаревшими браузерами, но их лучше рассматривать в каждом индивидуальном случае, так же, как и вопросы установки и устранения ошибок. Поэтому я и мои сотрудники будем рады ответить на любые вопросы читателей этого замечательного блога.


Спасибо большое Юле за подробное описание видов сертификатов и полезную информацию. Надеюсь, это вам пригодится, когда вопрос с защитой вашего сайта станет актуальным. Можете задавать свои вопросы прямо в комментариях. Напомню, что Юля является представителем компании «Эмаро», где я и покупал свой сертификат, так что рекомендую. Но мне хотелось бы добавить еще важную вещь.

Юля сказала, что в Google хотят видеть наличие https в качестве одного из факторов ранжирования, но и Яндекс не исключение. После отмены ссылок для коммерческих запросов в Москве (или не отмены, пока не понятно до сих пор) стало популярным говорить про, так называемые, коммерческие факторы. Впервые про них заговорили пару лет назад (еще в 2011), но как-то особо активно стали вспоминать не так давно. Так вот помимо таких очевидных моментов, как контакты, ассортимент, подробная карточка товара, доставка, онлайн-консультант, отсутствие рекламы и т.д. где-то я слышал про https протокол для корзины покупателя или даже для всего сайта магазина. Подтверждения этому нет, но знать и помнить об этом по любому надо!

Только после того как я сам лично столкнулся с SSL сертификатами и защитой данных я понял, насколько это действительно важно. И, если раньше я мог бы сказать, что наличие https соединения там, где оно уместно, это бонус, то теперь я скажу иначе – отсутствие https соединения там, где хранятся личные данные и происходят транзакции, это недостаток! Из всех бирж только Сапа использует https соединение (пусть и SSL сертификат у них самоподписанный и доверия не имеет, но, тем не менее), а из агрегаторов только seopult. Это провал…

А у нас вот такая вот красота в данный момент!

Защищенный SSL сертификат для CheckTrust.ruЗащищенный SSL сертификат для CheckTrust.ru

Кстати, информация на скриншоте про 500 бесплатных проверок на сервисе еще актуальна! Так что регистрируйтесь и пользуйтесь 🙂

Пожалуй, на сегодня все. Спасибо за внимание, друзья.

До связи!

Какой выбрать и как получить / 1cloud.ru corporate blog / Habr

20 июля компания Google объявила о том, что браузер Chrome перестает считать доверенными SSL-сертификаты, выданные центром сертификации (CA) WoSign и его дочерним предприятием StartCom. Как пояснили в компании, решение связано с рядом инцидентов, не соответствующим высоким стандартам CA, — в частности, выдаче сертификатов без авторизации со стороны ИТ-гиганта.

Чуть ранее в этом году также стало известно, что организации, ответственные за выдачу сертификатов, должны будут начать учитывать специальные DNS-записи. Эти записи позволят владельцам доменов определять «круг лиц», которым будет дозволено выдавать SSL/TLS-сертификаты для их домена.

Все эти решения в какой-то степени связаны с увеличением числа хакерских атак и фишинговых сайтов. Зашифрованные соединения с веб-сайтами по HTTPS приобретают всё большее распространение в интернете. Сертификаты не только позволяют зашифровать данные, пересылаемые между браузером и веб-сервером, но и удостоверить организацию, которой принадлежит сайт. В сегодняшнем материале мы посмотрим, какие виды сертификатов бывают и коснемся вопросов их получения.

/ Flickr / montillon.a / CC

Все SSL-сертификаты используют одинаковые методы защиты данных. Для аутентификации применяются асимметричные алгоритмы шифрования (пара открытый — закрытый ключ), а для сохранения конфиденциальности — симметричные (секретный ключ). Однако при этом они различаются по методу проверки: любой сертификат должен быть верифицирован центром сертификации, дабы удостовериться, что он принадлежит корректному и авторизованному сайту. Выделяют несколько видов сертификатов.

Первый тип сертификатов — это сертификаты с проверкой домена (Domain Validated). Они подходят для некоммерческих сайтов, поскольку подтверждают только обслуживающий сайт веб-сервер, на который осуществлён переход. DV-сертификат не содержит идентифицирующей информации в поле имени организации. Обычно там числится значение «Persona Not Validated» или «Unknown».

Для проверки лица запросившего сертификат центр сертификации высылает письмо на электронный адрес, связанный с доменным именем (например, [email protected]). Это делается для того, чтобы удостовериться, что лицо, запросившее сертификат, действительно является владельцем доменного имени. Компании Google не нужно доказывать общественности, что www.google.com принадлежит ей, поэтому она вполне может использовать простые сертификаты с проверкой домена (однако ИТ-гигант все равно использует OV-сертификаты, о которых далее).

Другие варианты верификации — добавление TXT-записи в DNS или размещение на сервере специального файла, который может быть прочитан CA. Этот вид сертификата самый дешевый и популярный, но не считается полностью безопасным, поскольку содержит информацию лишь о зарегистрированном доменном имени. Поэтому они часто используются для защиты во внутренних сетях или на небольших веб-сайтах.

Второй тип сертификатов носит название Organization Validated, или сертификаты с проверкой организации. Они более надежны, по сравнению с DV, поскольку дополнительно подтверждают регистрационные данные компании-владельца онлайн-ресурса. Всю необходимую информацию компания предоставляет при покупке сертификата, а CA затем напрямую связывается с представителями организации для её подтверждения.

Третий тип — это Extended Validation, или сертификат с расширенной проверкой, который считается самым надежным. Впервые появился в 2007 году и нужен веб-сайтам, которые проводят финансовые транзакции с высоким уровнем конфиденциальности. В этом случае целая адресная строка браузера будет выделяться зеленым цветом (поэтому их и называют «с зеленой строкой»). Плюс в зеленой области будет указано название компании.

О том, как разные браузеры информируют пользователей о наличии того или иного сертификата можно почитать тут.

Отметим, что если для совершения платежей и обработки транзакций пользователь перенаправляется на сторонний сайт, подтверждённый сертификатом с расширенной проверкой, то в этом случае хватит обычных сертификатов OV.

EV-сертификаты полезны, если необходимо «жестко» связать домен с физической организацией. Например, Bank of America и домен bankofamerica.com. В этом случае сертификат с проверкой организации гарантирует, что ресурс действительно принадлежит банку, куда пользователь может физически занести свои деньги — это как минимум удобно для пользователей.

Более того, EV-сертификаты защищают от атак с использованием фишинговых сайтов, как это было в случае с Mountain America Credit Union. Злоумышленники сумели получить легальный SSL-сертификат для копии сайта кредитной организации. Дело в том, что банк использовал доменное имя macu.com, а атакующие использовали имя mountain-america.net и при подаче заявки «вывесили» невинно выглядящий сайт. После получения сертификата сайт был заменен на фишинговый ресурс. EV-сертификаты серьезно затрудняют выполнение подобного «фокуса» — как минимум адрес виновника становится сразу известен.

Выдавая сертификаты типа OV или EV, сертификационный центр должен убедиться, что компания, получающая сертификат, действительно существует, официально зарегистрирована, имеет офис, а все указанные контакты — рабочие. Оценка организации начинается с проверки её официальной государственной регистрации. На территории России это выполняется с помощью реестра юридических лиц, представленного на сайте ФНС.

После получения заявки на сертификат, CA присылает бланки с вопросами об организации, которые нужно заполнить и подписать. Свои подписи и печати ставят руководитель компании и главный бухгалтер. После чего отсканированные документы отправляются обратно в центр сертификации, где их проверяют по идентификаторам ЕГРЮЛ и ИНН.

Если предоставленные данные полностью удовлетворяют сотрудников сертификационного центра, то выдается сертификат. Если же потребуется провести легализацию документов, то придется отправить по электронной почте в центр сертификации отсканированные изображения запрошенных документов.

Предварительно стоит уточнить, требуется ли перевод этих документов и нотариальное удостоверение перевода, а также требуется ли удостоверение нотариуса апостилем. Вместо апостиля для подтверждения полномочий нотариуса, можно сообщить центру сертификации соответствующую ссылку на сайте Федеральной нотариальной палаты. И перевод, и нотариальные услуги, и апостиль потребуют некоторых дополнительных расходов и организационных усилий, поэтому до подтверждения необходимости этих действий центром сертификации заниматься ими не стоит.

CA могут выдавать EV-сертификаты и государственным учреждениям, однако последние должны удовлетворять ряду требований. Во-первых, существование организации должно подтверждаться административно-территориальным образованием, в котором она оперирует. Во-вторых, организация не должна находиться в стране, где запрещена деятельность CA, выдающего сертификат. Также сама государственная структура не должна быть представлена в каком-либо из перечней запрещенных организаций.

При этом отметим, что также существуют международные агентства, которые могут проверять официальные документы компании и выступать удостоверителем её законного существования. Наиболее известным из таких агентств является Dun & Bradstreet. После проверки организации D&B выдаёт цифровой идентификатор — DUNS (Digital Universal Numbering System) — на который можно ссылаться для подтверждения легальности организации.

Оформление SSL-сертификата типа OV или EV потребует от организации, желающей его получить, некоторых расходов. Однако результатом всех затраченных усилий станет повышение репутации и уровня доверия клиентов к организации в интернете.

Цепочки сертификатов

Вообще, чтобы зашифровать данные, пересылаемые между веб-сервером и браузером пользователя, достаточно одного сертификата. Однако, если посмотреть на путь сертификации ресурса google.ru, можно увидеть, что их целых три.
При посещении многих сайтов, например, банков или железнодорожных касс, пользователи хотят уверенными не только в том, что соединение защищено, но и в том, что открывшийся сайт — правильный. Для удостоверения этого факта одного сертификата недостаточно. Нужно, чтобы третья сторона (центр сертификации) подтвердила, что для защиты соединения используется сертификат, выпущенный именно для этого сайта.

Если некто «Б» удостоверил личность «А», и вы доверяете «Б», то проблема решена.

Если же вы не знаете «Б», то он может сообщить, что его знает «В».
Длина цепочки удостоверений не ограничена. Главное, чтобы в ней оказался тот, кому доверяет пользователь. Более того, исторически и технологически сложилось так, что ряд центров сертификации получили наибольшее признание в ИТ-области. Поэтому было принято согласованное решение назвать их криптографические сертификаты корневыми и всегда доверять таким подписям.

Перечень корневых центров сертификации и их публичных ключей хранится на компьютере пользователя. Если цепочку последовательно подписанных сертификатов завершает корневой сертификат, все сертификаты, входящие в эту цепочку, считаются подтверждёнными.

Другие виды сертификатов

Напоследок хотелось бы сказать, что помимо обозначенной градации сертификатов — DV, OV, EV — существуют и другие типы сертификатов. Например, сертификаты могут отличаться по количеству доменов, на которые они выдаются. Однодоменные сертификаты (Single Certificate) привязываются к одному домену, указываемому при покупке. Мультидоменные сертификаты (типа Subject Alternative Name, Unified Communications Certificate, Multi Domain Certificate) будут действовать уже для большего числа доменных имен и серверов, но за каждое наименование, включаемое в список сверх обозначенного количества, придется доплачивать отдельно.

Еще существуют поддоменные сертификаты (типа WildCard), которые охватывают все поддомены указанного при регистрации доменного имени. Иногда могут потребоваться сертификаты, которые будут одновременно включать помимо доменов несколько поддоменов. В таких случаях стоит приобретать сертификаты типа Comodo PositiveSSL Multi-Domain Wildcard и Comodo Multi-Domain Wildcard SSL. Отметим, что в этом случае можно также приобрести обычный мультидоменный сертификат, в котором просто указать необходимые поддомены.

Получить SSL-сертификат можно и самостоятельно: пара ключей для этого получается через любой генератор, например, бесплатный OpenSSL. Такие защищенные каналы связи можно с легкостью использовать для внутренних нужд компании: для обмена между устройствами сети или приложениями. Однако для использования на внешнем веб-сайте необходимо покупать официальный сертификат. В этом случае браузеры не будут показывать сообщения о небезопасном соединении, а будут спокойны за пересылаемые данные.

P.S. Несколько материалов по теме из нашего блога:

CENTER — Часто задаваемые вопросы о SSL-сертификатах

Сертификат может подтверждать наличие прав управления доменом, то есть удостоверять только домен. Такие сертификаты относятся к категории DV (Domain Validation). Просмотрев сертификат DV, пользователь может убедиться, что он действительно находится на том сайте, адрес которого введен в строке браузера, то есть что при доступе к сайту пользователь не был перенаправлен злоумышленниками на подложный веб-ресурс. Однако сертификат не содержит информации о том, кому принадлежит сайт — в сертификате не будут указаны сведения о его владельце. Это обусловлено тем, что для получения сертификата его заказчику не требуется предоставлять документальное подтверждение своих идентификационных данных. Следовательно, они могут быть вымышленными (например, заказчик сертификата может выдать себя за другое лицо).

Сертификат может подтверждать наличие прав управления доменным именем и существование организации, у которой есть эти права, то есть удостоверять домен и его владельца. Такие сертификаты относятся к категории OV (Organization Validation). Просмотрев сертификат OV, пользователь может убедиться, что он действительно находится на том сайте, адрес которого введен в строке браузера, а также определить, кому принадлежит этот сайт. Для выпуска данного сертификата его заказчик должен документально подтвердить свои идентификационные данные.

Отдельные виды сертификатов, удостоверяющих и домен, и его владельца, выпускаются после расширенной проверки их заказчиков — тем самым исключается возможность предоставления заказчиками подложных данных для получения сертификатов. Такие сертификаты относятся к категории EV (Extended Validation). При доступе к сайтам, на которых установлены сертификаты EV, строка браузера окрашивается в зеленый цвет, что служит однозначным индикатором надежности ресурса для пользователя.

Особый вид сертификатов — Сертификаты для разработчиков (Code Signing). Сертификат подтверждает подлинность программ при их загрузке, целостность их содержимого и надежность источника продукта. Технология цифровой подписи подтверждает уникальность программ, которые вы скачиваете в сети и гарантирует, что файлы не были модифицированы.

«Зачем мне нужен SSL-сертификат? можно без него?» – Яндекс.Знатоки

Да вы можете обойтись без ssl сертификата для своего сайта. Сайты работающие по http протоколу продолжат работать и в будущем.

Однако, если вы не будете устанавливать на свой сай ssl сертификат, у вашего сайта могут возникнуть проблемы!

Во первых: работа сайта по протоколу https ( а именно для этого и необходим ssl сертификат ) позволяет снизить риск перехвата персональных данных пользователей и передачи этой информации третьим лицам (логины, пароли, номера банковских карт и т. д.), а также подмены информации на самом сайте (например, подмены вашей рекламы на рекламу злоумышленника.

Во вторых: Работа по безопасному протоколу https уже сейчас является одним из факторов ранжирования сайтов. А в ближайшем будущем например Гугл, вообще, заявляет, что сайтам работающим, даже, и по протоколу https, но отдающем «смешанное» содержание — не место в поисковой выдаче! То есть ВООБЩЕ!

Вот цитата: «»Сегодня мы объявляем, что Chrome постепенно начнет гарантировать, что https:// pages может загружать только безопасные https:// subresources. В серии шагов, описанных ниже, мы начнем блокировать смешанный контент (небезопасные http:// subresources на https:// pages) по умолчанию. «»

Так что то не то что»топовых» позиций, а и вообще присутствия вашего сайта! в будущем, в выдаче некоторых поисковиков вам не видать! Особенно это касается новых сайтов.

В выдаче Яндекса, пока что, присутствуют сайты которые не работают по протоколу https, однако как будут в дальнейшем ранжироваться такие сайты известно только Яндексу!

Ну и в третьих в браузерах Моззила и Хром, в адресной строке, сайты работающие по «старинке» маркируются как небезопасные!

Согласитесь — доверия пользователей это не прибавит.

В связи с вышеизложенным я считаю, что вопрос даже так и не стоит: Надо ли переходить на работу по протоколу https и, соответственно, зачем мне нужен ssl сертификат?

А стоит вопрос как и где выбрать ssl сертификат и каким образом перевести свой сай на работу по https протоколу.

А вот тут возможны варианты : )

Ведь сертификат можно приобрести не только за деньги, но и получить безплатно! И установить его на сайт можно своими силами. Хотя повозится придётся, конечно!

Для тех кто уже морально готов к переводу своего сайта на работу по безопасному протоколу будет полезна серия статей — уроков на тему: Безопасный протокол https

В статьях подробно освещается весь процес перевода сайта на работу по безопасному протоколу:

Взаимодействие по SSL — Технологии Яндекса

SSL-сертификат может понадобиться в двух случаях: для защиты данных пользователей (при работе с Яндекс.Кассой) и для аутентификации соединений с серверами Яндекс.Денег.

1. Сертификат для защиты персональных данных пользователей

Такой сертификат требуется при подключении к Яндекс.Кассе любого магазина с уведомлениями о платежах по HTTP (способы подключения — Модуль в CMS или HTTP-протокол). Его задача — обеспечить передачу данных пользователей в зашифрованном виде. В этом случае подойдет любой готовый сертификат для домена. Его можно получить бесплатно при подключении к Кассе или купить в любом официальном удостоверяющем центре. Самоподписной сертификат тоже подойдет.

Tip.

Не следует использовать SSL с поддержкой SNI (Server Name Identification).

2. Для аутентификации соединений с серверами Яндекс.Денег

Такой сертификат нужен для работы по протоколам Яндекс.Денег с проведением финансовых операций в рамках управления заказами (MWS): возвратов, отложенных платежей и других. А также для работы по протоколу массовых выплат и зачислений на кошельки. Для этих целей годится только специальный SSL-сертификат, выданный удостоверяющим центром ООО НКО «Яндекс.Деньги» (NBCO YM Root).

Если вы сомневаетесь, нужно ли вам получать сертификат, и какой именно, спросите у своего менеджера в Яндекс.Деньгах

Чтобы получить сертификат, нужно создать запрос на сертификат (в формате *.csr), заполнить заявку на получение сертификата и отправить запрос и заявку на сертификат по электронной почте своему менеджеру в Яндекс.Деньгах.

Tip.

Для генерации запроса на сертификат в формате *.csr используйте утилиту OpenSSL.

1. Создание приватного ключа

Выполните команду:

openssl genrsa -aes256 -out private.key 2048

Введите пароль и подтвердите. Например:

Enter pass phrase for private.key: 12345
Verifying - Enter pass phrase for private.key: 12345

В директории выполнения команды будет создан файл с приватным ключом: private.key.

Tip.

Это секретная информация. Сохраняйте конфиденциальность приватного ключа. Файл с приватным ключом зашифрован и защищен паролем.

2. Создание CSR-запроса на сертификат

Выполните команду:

openssl req -new -key private.key -out request.csr

Введите необходимые параметры для запроса на сертификат. Используйте только латинские символы.

Tip.

При создании CSR-запроса в Windows укажите в команде путь к конфигурационному файлу OpenSSL. Для этого добавьте к команде ключ -config «{path}» -out. Пример команды:

req -new -key private.key -config «C:\openssl-WIN32\openssl.cnf» -out request.csr

Пример заполнения параметров запроса на сертификат

Параметр

Значение

Примечание
Country Name (2 letter code) [AU]: RU Обязательное
State or Province Name (full name): Russia Обязательное
Locality Name (eg, city): []: Moscow Не обязательное
Organization Name (eg, company) [Internet Widgits Pty Ltd]: OOO Predpriyatie Введите необходимые параметры для запроса на сертификат. Используйте только латинские символы.
Organizational Unit Name (eg, section) []: Не обязательное
Common Name (eg, YOUR name) []: /business/predpriyatie

Обязательное поле.

/business/ — обязательная часть этого параметра, ее менять не нужно. После нее могут следовать любые латинские буквы без пробелов. Например, название вашей компании латиницей.

Email Address: [email protected]

Обязательное

В директории, в которой была выполнена команда, будет создан файл request.csr.

3. Получение электронной подписи для заявки на сертификат

Электронная подпись нужна для заполнения заявки на сертификат, она содержится в файле сертификата.

Чтобы получить электронную подпись, выполните команду:

openssl req -in request.csr -noout -text

Текстовым представлением электронной подписи является часть ответа после строки Signature Algorithm: sha1WithRSAEncryption. Например:

Signature Algorithm: sha1WithRSAEncryption
5b:67:42:8c:5a:a7:bc:bf:05:99:77:39:2e:e7:e7:5d:8e:47:
09:e9:5a:46:62:3c:b1:63:2a:de:06:26:54:a4:12:b4:17:b2:
ca:ff:f4:3f:c0:09:ee:7a:88:5b:b9:f5:04:cb:24:bd:5f:bd:
3b:f7:38:54:71:1c:fe:98:17:66:ae:72:2d:8a:31:34:94:30:
58:ad:79:60:e5:ca:24:83:8b:c7:96:11:c6:d9:c9:6e:7a:b0:
83:20:96:96:08:72:38:3e:24:dc:30:35:f7:85:f4:d3:21:62:
13:44:1f:49:2a:d3:c2:73:2d:3b:fc:07:3f:20:8e:d3:c1:c8:
4c:3b:69:a3:24:56:1e:5c:9c:2f:eb:83:97:80:8b:25:5d:6a:
63:80:59:24:c0:1a:b5:ed:9f:fa:b9:6d:38:dc:6b:ff:29:9e:
24:b7:95:07:37:a9:71:90:ad:b7:51:d6:0e:62:82:5d:39:8a:
f2:4a:06:db:5e:2c:ae:4f:c8:76:2b:ee:e9:13:04:e3:72:c8:
6b:26:61:6c:aa:07:c1:3f:3c:b0:92:b0:29:5f:74:14:7c:34:
77:c8:c6:7a:2f:33:55:c5:0f:1d:e0:b7:8a:d9:84:d7:78:fb:
59:22:e0:58:49:97:16:f2:77:58:8b:8a:af:f2:af:43:b1:fa:
27:58:e1:c2
4. Заполнение заявки на сертификат

Скачайте заявку на сертификат, заполните и распечатайте. Подставьте подпись и печать. Отсканируйте.

Параметр Описание
CN Должно соответствовать значению параметра Common Name (eg, YOUR name). Например, /business/predpriyatie.
Электронная подпись запроса на сертификат Текстовое представление, полученное на предыдущем шаге.
Наименование организации латинскими буквами Должно соответствовать значению параметра Organization Name (eg, company) [Internet Widgits Pty Ltd].
Причина запроса

Возможные варианты:

  • первоначальный — для получения первого сертификата;

  • плановая замена — для замены сертификата, у которого закончился срок действия;

  • замена скомпрометированного — для замены ранее выпущенного сертификата при нарушении безопасности;

  • добавление сервера — для использования нового сертификата на дополнительных серверах или сервисах.

Контактное лицо Контакты специалиста для связи при возникновении вопросов по выданному сертификату.
Адрес электронной почты Адрес для отправки выпущенного сертификата.
5. Отправка запроса и заявки на сертификат в Яндекс.Деньги

Отправьте файл запроса на сертификат (request.csr) и скан заявки по электронной почте своему менеджеру в Яндекс.Деньгах.

Выпуск сертификата занимает не больше 2 рабочих дней.

6. Установка сертификата

В ответ на заявку менеджер в Яндекс.Деньгах пришлет файл с сертификатом. Срок действия сертификата 1 год.

Что дальше:

  1. Разместите сертификат на своем сервере.

  2. Пропишите путь к нему в настройках скриптов, которые взаимодействуют с Яндекс.Деньгами.

  3. Если вы проверяете сертификат конечного сервера, загрузите цепочку сертификации (сертификаты удостоверяющих центров NBCO YM Root и NBCO YM Int) и добавьте их в списки доверенных корневых и промежуточных центров сертификации своего ПО.

Tip.

При необходимости можно хранить пару «приватный ключ»—«сертификат» в едином зашифрованном файле-ключнице формата PKCS#12. Изготовить такую ключницу можно командой:

openssl pkcs12 -export -in username.crt -inkey private.key -out username.p12

За подробной информацией по установке сертификата обращайтесь к менеджеру по подключению.

Необходимо:
  • Проверять подлинность серверов Яндекс.Денег с помощью цепочки сертификации и не устанавливать соединение, если проверка не пройдет успешно.

  • Использовать свой приватный ключ и сертификат при установлении подключений к серверам Яндекс.Денег.

  • Сохранять конфиденциальность приватного ключа.

  • Самостоятельно следить за сроком действия сертификата.

Tip.

  • Дополнительно рекомендуется проверять сертификаты серверов Яндекс.Денег по списку отозванных сертификатов (Certificate Revocation List, CRL)
  • На каждый сервис, которому нужен доступ к серверам Яндекс.Денег, рекомендуется получить свой сертификат. Но можно использовать один сертификат на все сервисы.

В случае компрометации приватного ключа обязательно сообщите менеджеру в Яндекс.Деньгах.

Если срок действия сертификата закончится или он будет скомпрометирован, можно получить новый по данному регламенту.

Делаем бесплатный SSL сертификат в 2017 году / Habr

Предисловие

Недавно я искал ssl сертификат для своего сайта но на Хабре было только инструкция для StartSSl который уже не поддерживают Google Chrome и MozillaFirefox. И здесь я бы хотел показать как сделать сертификат пошагово на собственном сервере.

Итак начнем

Создадим папку для ssl в корне.

mkdir /ssl

Далее зайдем в конфиги Apache

cd /etc/apache2/sites-available

Скачаем пример конфига.

sudo wget https://linode.com/docs/assets/apache2-roundcube.sample.conf

Поменяем владельца на root и права.

sudo chown root:root apache2-roundcube.sample.conf
sudo chmod 644 apache2-roundcube.sample.conf

И редактируем.

nano apache2-roundcube.sample.conf


В теге и
ServerAdmin меняем на [email protected]названиесайта.
ServerName меняем на название сайта.
DocumentRoot меняем на директорию где лежит сайт, у меня это:

/var/www/html/

Все теги Directory удаляем кроме:

<Directory /var/www/roundcube>...</Directory>

здесь меняем путь вместо /var/www/roundcube /var/www/html. И меняем путь к SSL сертификатам:

  SSLCertificateFile /etc/apache2/ssl/webmail.example.com/apache.crt
  SSLCertificateKeyFile /etc/apache2/ssl/webmail.example.com/apache.key

на

  SSLCertificateFile /ssl/crt.crt
  SSLCertificateKeyFile /ssl/key.key

Пример конфига:


# Apache2 vhost configuration sample for Roundcube
# https://linode.com/docs/email/clients/installing-roundcube-on-ubuntu-14-04/
<VirtualHost *:80>
  # Virtual host configuration + information (replicate changes to *:443 below)
  ServerAdmin [email protected]
  ServerName uranius.pp.ua
  DocumentRoot /var/www/html/
  # ErrorLog /var/log/apache2/webmail.example.com/error.log
  # CustomLog /var/log/apache2/webmail.example.com/access.log combined
  # Permanently redirect all HTTP requests to HTTPS
  RewriteEngine on
  RewriteCond %{SERVER_PORT} !^443$
  RewriteRule ^/(.*) https://%{HTTP_HOST}/$1 [NC,R=301,L]
</VirtualHost>
<IfModule mod_ssl.c>
<VirtualHost *:443>
  # Virtual host configuration + information (replicate changes to *:80 above)
  ServerAdmin [email protected]
  ServerName uranius.pp.ua
  DocumentRoot /var/www/html
  # ErrorLog /var/log/apache2/webmail.example.com/error.log
  # CustomLog /var/log/apache2/webmail.example.com/access.log combined
  # SSL certificate + engine configuration
  SSLEngine on
  SSLCertificateFile /ssl/crt.crt
  SSLCertificateKeyFile /ssl/key.key
  # Roundcube directory permissions + restrictions
  <Directory /var/www/html/>
    Options -Indexes
    AllowOverride All
  </Directory>
</VirtualHost>
</IfModule>

Переименуем файл

sudo mv apache2-roundcube.sample.conf uranius.pp.ua.conf

Отключем не нужные конфиги

sudo a2dissite 000-default.conf default-ssl.conf

Включаем необходимые модули.

sudo a2enmod deflate expires headers rewrite ssl

Включаем конфиг сайта.

a2ensite uranius.pp.ua.conf

А теперь самое интересное, получим сертификат. Идем на www.sslforfree.com. Вводим доменное имя и нажимаем получить. Далее скачиваем файл и загружаем его на сервер. Идем в папку, где лежит сайт и создаем директорию:

cd /var/www/html/
mkdir .wellknown
cd .wellknown
mkdir acme-challenge
cd acme-challenge

Ставим туда файл и нажимаем Download SSl Certificate. Скачиваем zip с сертификатами и загружаем на сервер в папку ssl в корне. Зайдем в папку и переименуем:

cd /ssl
mv certificate.crt crt.crt
mv private.key key.key

И сохраняем. Проверяем конфиги:

apachectl configtest

Осталось только перезапустить сервер и сайт готов.

/etc/init.d/apache2 restart

Author: admin

Отправить ответ

avatar
  Подписаться  
Уведомление о