Оглавление:
Как заказать SSL-сертификат для ИП?
Для Индивидуальных предпринимателей возможен заказ SSL-сертификата как бизнес-уровня OrganizationSSL, так и сертификата с расширенной проверкой ExtendedSSL (зелёная строка с названием компании).
Процесс заказа SSL-сертификат для ИП практически ничем не отличается от заказа SSL на юридическое лицо и описан в статье: Как купить SSL-сертификат.
Организация при подаче заявки на SSL-сертификат может обозначаться:
- «IP Ivanov I.I.»;
- «IE Ivanov I.I.»;
- «Sole Proprietorship Ivanov I.I.» .
Сначала можно указать первый вариант, впоследствии GlobalSign может предложить другие возможные варианты.
Какие документы необходимо предоставить
Для того, чтобы центр сертификации GlobalSign смог провести процесс верификации, вам необходимо предоставить следующие документы:
Заполненное заявление (форма заявления будет выслана вам на почту после заказа SSL-сертификата), содержащее:
- полное ФИО;
- адрес места жительства;
- дату рождения;
- вашу подпись, подтверждающую подлинность предоставляемой информации.
Регистрационный сертификат вашей предпринимательской деятельности (документ, выданный Федеральной Налоговой Службой);
Копия вашего удостоверения личности с фотографией. Подойдут: паспорт, водительские права, лицензия на оружие или др. Условие: любой документ с полным ФИО и фотографией;
Доказательство существования вашей предпринимательской деятельности. Нужно предоставить 2 разных документа (первый из пункта 1, второй из пункта 2):
Первый документ от финансовой институции (на выбор):
- Копия счета за ипотеку сроком не более полугода с момента обращения в GlobalSign;
- Копия банковского счета за последние полгода.
Второй документ (на выбор):
- Копия счета за коммунальные услуги на имя заявителя SSL-сертификата (электричество, вода, газ). Условие: счет должен быть датирован последними 6 месяцами;
- Копия счета за оплату аренды. Условие: счет должен быть датирован последними 6 месяцами;
- Копия платежного документа за уплату налогов;
- Копия свидетельства о рождении;
- Копия постановления суда (свидетельство о расторжении брака или документ об усыновлении).
Впоследствии GlobalSign проверит легитимность деятельности нотариуса. Она может быть подтверждена исключительно возможностью найти его в открытых информационных источниках (например, список нотариусов г. Москвы и т.п.). GlobalSign самостоятельно свяжется с вашим нотариусом для подтверждения аутентичности документа.
Как заверить ssl сертификат
- Главная
- Блог
- Администрирование
- Создание самоподписанного SSL-сертификата для Nginx в Ubuntu 16.04
Создание самоподписанного SSL-сертификата для Nginx в Ubuntu 16.04
Мы покажем вам как создать сертификат, а также настроить веб-сервер Nginx для поддержки SSL
SSL (Secure Socket Layers) представляет собой криптографический протокол для защиты, передаваемых в интернете между клиентом и сервером. Протокол делает невозможным перехват данных злоумышленниками. SSL также помогают пользователям проверять подлинность посещаемые ресурсов. В этой статье мы покажем вам как можно сделать для веб-сервера Nginx на Ubuntu 16.04 самоподписанный сертификат.
Имейте ввиду, что такой SSL не способен подтвердить подлинность сервера из-за отсутствия подтверждения от специального сертификационного центра. Сертификат способен лишь обеспечивать шифрование канала передачи данных. Его можно применять пользователям без доменного имени. Если домен у вас уже есть, то SSL придется заверить в центре сертификации. Вы также можете получить от сервиса Let’s Encrypt бесплатный доверенный сертификат.
- • Уже настроенный сервер Nginx;
- • Не-root пользователь, имеющий доступ к sudo.
1. Как создать сертификат?
SSL для работы применяет сочетание закрытого ключа и открытого сертификата. Ключ находится на сервере и доступа к нему нет. Сертификат же доступен всем пользователям, которые загружают контент с сервера. Для создания самоподписанного SSL и ключа нам нужно набрать в командной строке:
На экране вы увидите несколько вопросов. Из компонентов команды можно выделить:
- • Openssl – это базовый инструмент командной строки. Он нужен для создания и управления сертификатами, а также файлами OpenSSL и ключами;
- • Подкоманда req показывает, что требуется запрос для подписи сертификата X.509 (CSR). Это стандарт инфраструктуры для открытых ключей, для управления сертификатами;
- • Опция –x509 способна вносить поправки в предыдущую команду. Они сообщает о том, что нужно создать самоподписанный сертификат вместо запроса на его подпись;
- • -nodes служит для пропуска опции защиты SSL-сертификата с помощью пароля. Это необходимо для тог, чтобы Nginx при запуске считывал файл без необходимости вмешательства пользователя. Если поставить пароль – его нужно будет вводить после каждой перезагрузки;
- • Опция -days365 поможет задать срок действия сертификата;
- • Параметр -newkey rsa:2048 дает возможность сделать одновременно сертификат и ключ, ведь он не был создан ранее. Число 2048 значит, что ключ будет на 2048 бит;
- • Строка -keyout показывает, куда OpenSSL переместит полученный файл ключа;
- • Опция -out делает то же самое, но для сертификата.
С помощью вышеописанных опций вы сможете сгенерировать одновременно сертификат с ключом. Вам нужно лишь указать данные сервера, отображающиеся в SSL.
Строка common name очень важна. В нее нужно написать свое имя или полное доменное имя вашего сервера. Простыми словами: она нужна для связи с сервером доменного имени. Если его нет, укажите IР сервера. Поля будут выглядеть как-то так:
Обратите внимание, что файлы сертификата и ключа будут перемещены в папку /etc/nginx/ssl. Если применять OpenSSL, вам предстоит также сделать специальные ключи Диффи-Хеллмана для поддержки PFS. Чтобы это сделать, наберите в командной строке:
Подождите несколько минут пока сгенерируются ключи. Они будут размещены в каталоге /etc/ssl/certs/dhparam.pem.
2. Как настроить Nginx для поддержки SSL-сертификатов?
Созданные нами ключи хранятся в папке: /etc/ssl. Теперь нам нужно будет внести правки в настройки веб-сервера Nginx:
1) В первую очередь – создать сниппет, показывающий папку, в которой хранятся SSL и ключ. Новый сниппет для Nginx создаем в папке /etc/nginx/snippets. Мы советуем вам отразить его назначение в названии. Наберите в консоли:
В файл добавим правило ssl_sertificate, указывающее путь к нашему сертификату. Кроме того, нам потребуется директива ssl_sertificate_key для пути к ключу:
2) Теперь потребуется добавить настройки сертификата с помощью еще одного сниппета. Это позволит нам получить надежный механизм шифрования с помощью дополнительных возможностей безопасности. Заданные параметры получится применять в будущих конфигурациях веб-сервера Nginx. Дайте файлу какое-нибудь общее имя:
Настроим DNS-распознаватель для запросов с восходящего канала, а также добавим ssl_dhparam для поддержки ключей Диффи-Хеллмана. Получится вот так:
Учтите, что из-за самоподписанности сертификата, не будет использоваться SSL stapling. При этом сервер Nginx покажет предупреждение, выключит stapling для этого SSL и продолжит работать. Теперь сохраним изменения и закроем файл.
3) И последнее: настроить блоки server, чтобы они могли обслуживать запросы SSL и поддерживать новые настройки. В нашей статье рассматривается случай применения виртуального хоста default (блок server). Он хранится в папке /etc/nginx/sites-available. Если захотите пользоваться другим файлом, нужно указать его имя. Создадим резервную копию файла блока server с помощью:
Теперь этот блок откроем в редакторе:
Он будет выглядеть где-то так:
Перенаправим незашифрованные HTTP-запросы на HTTPS. Если же вам требуется поддержка двух протоколов, то мы такой случай рассмотрим позже. Делим настройки на два отдельных блока. Правило server_name будет идти после двух директив listen. В нем требуется указать IP-адрес либо доменное имя. Ну, а на второй блок server настроим переадресацию. Имейте ввиду, что для настройки мы будем использовать временный редирект 302. Когда настройки будут правильные, можете смело задавать постоянный редирект 301. В файл добавим:
После этих строк нам предстоит добавить новый блок server для оставшихся настроек. Правило listen, использующее порт 443, нужно раскомментировать. Потом напишем правило http2 поддерживающее HTTP/2. Созданные ранее сниппеты нужно теперь просто выключить в файл. Помните, что в файле может существовать только одно правило listen, для комбинаций портов и IP-адресов, включающая модификатор default_server. Его нужно оставить только в одном блоке и удалить из остальных.
Изменения нужно сохранить, а файл – закрыть. Если нужно настроить одновременную поддержку HTTP и HTTPS, то объедините два блока server в один. Редирект же нужно удалить.
Эти изменения нужно сохранить. После этого закрывайте файл.
3. Как настроить брандмауэр?
Мы будем настраивать брандмауэр ufw для поддержки SSL-трафика. При инсталляции Nginx проводит регистрацию нескольких профилей в ufw. Вы можете просмотреть доступные с помощью команд:
Нам также нужно будет увидеть текущие настройки брандмауэра. Наберите в консоли:
Они будут выглядеть вот так, если поддерживается только трафик с протокола HTTP:
Нам же нужна поддержка и HTTPS. Для этого мы отключим профиль Nginx HTTP и настроим Nginx Full. Наберите в командной строке:
Настройки брандмауэра изменятся и будут выглядеть вот так:
4. Как обновить настройки Nginx
После корректировки настроек веб-сервера и брандмауэра нужно перезапустить Nginx, чтобы все изменения вступили в силу. Проверьте синтаксис на наличие ошибок с помощью:
Если все правильно, на экране вы увидите:
Предупреждение появляется в первой строке, поскольку мы используем самоподписанный сертификат. Не обращайте внимания, соединение все равно будет корректно шифроваться. В случае обнаружения ошибок их необходимо исправить. После этого потребуется перезапуск веб-сервера Nginx с помощью:
5. Тестируем настройки
Нам нужно убедиться, что трафик между клиентом и сервером шифруется. Это можно сделать, открыв в браузере ссылку:
Не удивляйтесь, если браузер сообщит, что сертификат ненадежный, ведь мы его подписали самостоятельно:
Браузер не может проверить подлинность хоста, поэтому и выдает такое сообщение. Но нам нужно лишь шифрование соединения, которое сертификат нормально обеспечивает. Можно просто пропустить данное сообщение безопасности, нажав кнопку «Advanced», а также кликнув по показанной ссылке. Это даст вам доступ к вашему сайту. Нам нужно будет также проверить, работает ли переадресация трафика с HTTP на HTTPS, если ранее настраивали два блока server:
6. Как сделать постоянный редирект?
Если работа всех настроек сервера правильная, можно вместо временного редиректа ставить постоянный. Для этого откроем файл блока server:
В нем нужно найти return 302 и заменить значение на 301. Получится следующее:
Изменения в файле нужно сохранить и закрыть его. Не забудьте проверить синтаксис на предмет содержания ошибок. Для это потребуется команда:
Если все правильно, Nginx можно перезапустить с помощью:
После выполнения всех вышеописанных действий, сервер Nginx сможет выполнять шифрование данных между клиентом и сервером. Это поможет вам защититься от хакерских атак передаваемого трафика. Чтобы предупреждения не появлялись, мы настоятельно рекомендуем вам все же подписать SSL в сертификационном центре.
Создал самоподписанный сертификат, но не получил https?
Я и подумал главный сайт будет защищен сертификатом организации, а так сказать подключенные сайты, будут с само подписанным сертификатом.
Если не найду решения, то буду делать это программно.
Проксировать сайт. Кидать временное содержимое к себе и подключать уже якобы, как со своего сайта.
Поскольку установка SSL происходит ещё до указания запрашиваемого host, то для HTTPS есть правило: один IP — один домен.
А чтобы не ругался браузер на самоподписанный сертификат, нужно этот сертификат сделать доверенным. Это делается немного по-разному для разных браузеров.
Возможно, вам проще будет использовать сервис https://letsencrypt.org ?
> один IP — один домен.
Модераторы удаляют правду, я повторю. Вы лжете. Прекратите говорить о вещах о которых не знаете. SNI существует и работает 10 лет.
Для этого и придуманы сертификаты.
SSL-сертификат выдается для конкретного доменного имени Вашего сайта. И его нельзя перенести на другое доменное имя (иначе весь смысл SSl пропадет на корню. Ваш сертификат является самоподписанным — т.е. не подтвержденным. О чем вас и предупреждает браузер. Сделать с этим сертификатом ничего нельзя.
Для решения проблемы используйте сертификат с Let’s Encrypt.
Подробный мануал тут:
https://habrahabr.ru/post/270273/
И не забывайте, что эти сертификаты даются на срок до 90 дней. Либо настройте автообновление, либо сами раз в 3 месяца обновляйте сертификат.
SSL сертификат для сайта — для чего он нужен и где его взять? Защищаем данные пользователей!
Привет, друзья. Многие из вас знают, что я в последнее время занимаюсь в основном подготовкой сервиса CheckTrust.ru к запуску. Кстати, запуск должен состояться уже очень скоро и вас ждут приятные сюрпризы, но вы и сейчас можете регистрироваться и полноценно пользоваться сервисом.
Так вот на прошлой неделе случился очередной ключевой этап подготовки к запуску – получение специального SSL сертификата и переключение сервиса на защищенное соединение https://.
Что это, зачем это и почему это так важно?
Позвольте процитировать несколько строк из Википедии:
HTTPS (HyperText Transfer Protocol Secure) — расширение протокола HTTP, поддерживающее шифрование. Он обеспечивает защиту от атак, основанных на прослушивании сетевого соединения, при условии, что будут использоваться шифрующие средства, и сертификат сервера проверен и ему доверяют.
Чтобы подготовить веб-сервер для обработки https-соединений, администратор должен получить и установить в систему сертификат для этого веб-сервера.
Центр сертификации, при подписывании проверяет клиента, что позволяет ему гарантировать, что держатель сертификата является тем, за кого себя выдаёт (обычно это платная услуга).
Проще говоря, когда вы заходите на сайт с https то все данные, передаваемые в браузере, шифруются, и даже если их перехватит злоумышленник, расшифровать их никогда не сможет, не имея секретного ключа, который известен только мне (владельцу сертификата).
Пользуясь каким-либо сайтом, который хранит и использует личные данные, а тем более, которой подразумевает оплату и другие финансовые операции, вы доверяете ему свою информацию и хотите, чтобы она была в безопасности.
Сайту вы можете доверять, но если пользуетесь интернетом в общественном месте (аэропорт, кафе или любая другая бесплатная wi-fi точка доступа) уверены ли вы в том, что соединение никто не прослушивает? Кстати, прослушивать могут и домашний интернет, если есть физический доступ к роутеру. Привет халявный соседский wi-fi?!
Но даже здесь владельцы сайта могут вас спасти. Разумеется, при помощи защищенного https-соединения. Я, как один из основателей сервиса CheckTrust, забочусь о вас, друзья, и хочу, чтобы вы чувствовали себя спокойно. И мы сделаем все возможное для этого!
Но хватит лирики. Как вы уже поняли, чтобы сделать возможным https соединение, необходимо иметь специальный SSL сертификат и установить его на сервер, где расположен сайт. Вот именно этим мне и предстояло заняться пару дней назад. А так как я даже понятия не имел, что собой представляет SSL сертификат, где его взять, сколько это стоит и как его активировать, я стал разбираться.
Занял этот процесс целый рабочий день, а потом еще целый день на устранение неожиданных ошибок. Я решил, что это стоит того, чтобы рассказать вам.
Итак, первым делом, я решил узнать, что же это за сертификаты и с чем их едят. Никого не удивлю, если скажу, что просто ввел в Яндексе запрос «ssl сертификат». Когда я увидел слова «виды», «разновидность», «как выбрать», «сравнение», стало ясно, что все не так просто. Прочитав несколько статей на Хабре, я узнал, что бывает 3 типа сертификатов, что их выдают специальные центры сертификации и какие из них самые крупные.
Определиться с типом SSL было не так просто, т.к. помимо верификации только домена я хотел немного большего – подтверждение данных владельца (хоть компании у меня нет, зато у меня есть я, и при определенных условиях можно подтвердить личность вместо организации).
До этого, я разговаривал с Саньком (руководитель отдела разработки CheckTrust, заметили, да, у нас тут кругом одни «Саньки»!), и он сказал, что в Ярославле видел какую-то контору. И так совпало, что в выдаче был единственный сайт, продающий сертификаты и как раз из Ярославля. Судьба, видимо, подумал я, и перешел на их сайт. Походил, посмотрел, но ответа на свой вопрос, как получить SSL сертификат с проверкой данных физического лица так и не нашел, потому решил обратиться в техподдержку.
Меня интересует ssl сертификат. Прочитал, что есть разные виды сертификатов с разным уровнем проверки. Есть самые простые с проверкой только домена. А есть с проверкой организации и других данных.
Хотелось бы что-то «посильнее» чем просто проверка домена. Но организации у меня нет, но я готов подтвердить любые необходимые данные физлица, т.е. меня. Это возможно или мне подойдет только верификация домена и самый простой сертификат?
Довольно быстро я получил развернутый ответ:
Разница между этими сертификатами состоит вот в чем:
Простые (Domain Validation, DV) – в сертификате указан только домен.
С проверкой компании (Organization Validation, OV) – указан домен и название компании.
С расширенной проверкой (Extended Validation, EV) – зеленая адресная строка браузера, название компании в ней, в сертификате также домен и название компании.
При этом в силе шифрования разницы нет.
Сертификаты EV физическим лицам в принципе не выдаются. Процесс проверки даже для компаний довольно сложный.
Для сертификатов OV возможно, но процесс валидации намного сложнее, чем у юрлиц. Описание процесса, например, на сайте Comodo. По ссылке находится документ с описанием (на английском) — нужно заполнить его (форма на 3 странице), заверить у нотариуса и отправить по е-мейлу.
Кроме того, в файле есть перечень документов, которые они принимают.
1) Паспорт
2) Документ из финансового учреждения:
— международная пластиковая карта или дебетовая карта, если на них указан срок действия и он еще не истек, или
— выписка из банковского счёта не старше 6 месяцев
3) Нефинансовый документ:
— счет за коммунальные услуги или
— заверенная копия свидетельства о рождении или
— налоговая декларация за последний год или
— заверенная копия судового документа, например свидетельство о разводе, судебное постановление о признании брака недействительным или бумаги об усыновлении.
То есть если Вы решите заниматься этими документы, возникнут дополнительные траты на нотариуса. При этом центры сертификации не гарантируют, что сертификат будет выдан. Кроме того на сайте сертификат не будет отличаться от простого, разница только в названии компании внутри сертификата, а, к сожалению, не все пользователи знают, где это просмотреть.
Поэтому лучше всего заказать сертификат с проверкой только домена, а для того, чтобы посетители видели, что сайт защищен, дополнительно добавить печать защиты.
Тем не менее, среди простых сертификатов также есть разница.
Например, Thawte считается более высоким классом, так как более серьезно проверяет заказчика, чем Comodo. В то же время Comodo более популярен, так как значительно дешевле.
Решив, что волокита с документами и лишние затраты мне нафиг не нужны, я остановился на единственном доступном для физического лица варианте – простой SSL сертификат с подтверждением домена.
В процессе подготовки и покупки у меня возникали различные сложности и вопросы, к счастью, в конце письма из тех.поддержки был скайп замечательной девушки Юлии, которая согласилась мне помочь и терпеливо отвечала на все мои вопросы и помогала решать проблемы. А после покупки даже помогла проверить валидность установки сертификата, в результате чего была обнаружена серьёзная проблема, но об этом позже. Короче говоря, мне очень понравилось наше общение и я предложил Юлии поучаствовать в написании данного поста.
Поэтому не буду тянуть и передаю слово Юле, она вам расскажет о том, для чего используются SSL сертификаты, как проходит процесс проверки для разных типов SSL и в каких случаях их лучше применять.
Дорогие читатели, буду рада, если предоставленная ниже информация окажется Вам полезной и поможет определиться с SSL сертификатом, когда появится такая задача. Тем более, когда в свете последних событий (а именно после обнаружения уязвимости Heartbleed) начали ходить слухи о том, что в будущем наличие SSL сертификатов на коммерческих сайтах войдет в список факторов ранжирования и будет позитивно оцениваться в поиске Google. Официального заявления компания не делала, хотя на конференции SMX West 2014 Мэтт Каттс высказал свое пожелание видеть зашифрованное соединение частью нового алгоритма (прим. публикация об том на серче). Нам же остается пока следить за новостями.
Начать хочу с того, что SSL сертификаты используются для защиты передаваемой информации в разнообразнейших областях: при взаимодействии с клиентами (регистрация и авторизация на сайте, передача данных от клиента на сервер, оплата кредитными картами), передача конфиденциальных данных в интранете, обеспечение безопасной коммуникации между сотрудниками, работающими удаленно, защита приложений и почтовых серверов. Кроме защитной функции следует обратить внимание на то, что наличие SSL сертификата на сайте позитивно влияет на доверие посетителей и может дополнительно мотивировать посетителя совершить определенное действие на странице (например, зарегистрироваться или завершить покупку).
Как Александр заметил в начале статьи, действительно существует огромное количество сертификатов, поэтому мы их разделили на подкатегории, чтобы было проще сориентироваться.
С одной стороны мы разделяем SSL сертификаты в зависимости от количества защищаемых доменов:
- 1 домен – защищает соединение с одним доменным именем, например, вы можете заказать его для домена my-site.ru или для поддомена pay.my-site.ru, и защищен будет именно тот, что указан во время заказа. Используется для простых веб-сайтов или отдельных разделов веб-ресурсов.
- Домен и все его поддомены – SSL сертификаты типа Wildcard, которые защищают доменное имя и все поддомены уровнем ниже. Заказывая такой SSL сертификат, важно указать название сайта в формате *.my-site.ru, тогда на месте звездочки сможет оказаться любой существующий и будущий поддомен Вашего веб-сайта.
- Несколько доменов – мультидоменный SSL сертификат способен сэкономить Ваше время для заказа, установки и управления, так как включает все указанные во время оформления домены и/или поддомены. Чаще всего применяется на почтовых серверах или же владельцами нескольких доменов.
С другой стороны существуют разные типы валидации заказчика для получения того или иного сертификата SSL, которые впоследствии определяют уровни «престижа» сертификатов:
- Валидация домена – подходит для физических и юридических лиц и заключается в подтверждении заказа по административной электронной почте или с помощью http-запроса.
Лучше всего подходит для небольших сайтов без онлайн оплаты, для внутреннего пользования, для защиты iframe приложений, то есть в тех случаях, когда важно обеспечить безопасную передачу данных, но пользователю не обязательно знать, какой компании принадлежит защищенный сайт. - Проверка компании – выдается юридическим лицам без проблем, для этого нужно, кроме подтверждения по электронной почте, пройти валидацию по телефону. Особых сложностей данный процесс не представляет, когда в заказе, в данных о домене и в телефонном справочнике совпадает название и адрес компании. Физическим лицам такие SSL сертификаты теоретически также выдаются, но практически процедура достаточно сложная, так как требуется ряд документов, заверенных нотариусом.
SSL сертификат с проверкой компании содержит название фирмы и используется в тех случаях, когда необходимо не только защитить соединение, но и указать, кто является владельцем сертификата. Например, это очень важно в случае сертификатов разработчика для подписи программного кода, а также когда SSL сертификат выдается на IP адрес, или же когда владелец веб-сайта желает дать возможность посетителям проверить принадлежность сайта своей компании (для этого нужно кликнуть на замок в адресной строке и просмотреть свойства SSL сертификата). - Расширенная проверка компании, помимо вышеперечисленных методов валидации по электронной почте и телефону, подразумевает проверку юридических документов компании и требует официальное заявление и соглашение с центром сертификации о выпуске данного SSL сертификата. Выдаются SSL сертификаты EV (от Extended Validation – расширенная валидация) исключительно юридическим лицам.
Особенностью SSL сертификатов с EV является окрашивание адресной строки браузера в зеленый цвет, кроме того в ней появляется название компании. Эти характеристики выделяют сайт среди конкурентов и привлекают внимание посетителей, поэтому такой тип SSL сертификатов идеально использовать для онлайн-магазинов, финансовых учреждений, платежных систем, то есть в тех случаях, где доверие клиентов имеет первостепенное значение.
Для SEO-блога было бы также логично затронуть вопрос о том, как переход на https:// влияет на ранжирование сайта. Первым делом хочу заметить, что еще в апреле 2013 года Джон Мюллер (Google) сообщил, что страницы, защищенные SSL сертификатом, ранжируются точно так же, как и простые страницы http://. Тем не менее, чтобы не возникло проблем с поисковыми системами, при установке SSL сертификата необходимо учесть следующие факторы:
- Скорость загрузки.
Хостинг, на котором расположен Ваш сайт, должен справляться с дополнительной нагрузкой при SSL соединении, так как скорость загрузки является одним из факторов ранжирования в поисковых системах. Защищенный SSL сертификатом сайт требует больше ресурсов нежели обычный, так как соединение по протоколу https шифруется. Поэтому важно учесть это явление при установке SSL сертификата. - 301 редирект.
Поисковые системы ценят уникальный контент на веб-сайте, поэтому важно убедиться, что все содержимое сайта на http:// перенаправляется с использованием простого 301-го редиректа на эквивалентную страницу с https://. Если упустить этот момент и не настроить переадресацию, это может негативно сказаться на отношении поисковых систем к сайту, так как эти страницы распознаются как два разных веб-сайта с одинаковым контентом. - Инструменты для веб-мастеров.
По той же причине следует вносить в инструменты веб-мастеров версию сайта на https:// отдельно в качестве нового сайта.
Пожалуй, это была основная информация, которая может понадобиться при выборе и дальнейшем использовании SSL сертификата. Конечно же, бывает множество нюансов и индивидуальных требований, таких как защита версий сайта с www. и без, использование одного сертификата на нескольких физических серверах или поддержка высокого уровня шифрования устаревшими браузерами, но их лучше рассматривать в каждом индивидуальном случае, так же, как и вопросы установки и устранения ошибок. Поэтому я и мои сотрудники будем рады ответить на любые вопросы читателей этого замечательного блога.
Спасибо большое Юле за подробное описание видов сертификатов и полезную информацию. Надеюсь, это вам пригодится, когда вопрос с защитой вашего сайта станет актуальным. Можете задавать свои вопросы прямо в комментариях. Напомню, что Юля является представителем компании «Эмаро», где я и покупал свой сертификат, так что рекомендую. Но мне хотелось бы добавить еще важную вещь.
Юля сказала, что в Google хотят видеть наличие https в качестве одного из факторов ранжирования, но и Яндекс не исключение. После отмены ссылок для коммерческих запросов в Москве (или не отмены, пока не понятно до сих пор) стало популярным говорить про, так называемые, коммерческие факторы. Впервые про них заговорили пару лет назад (еще в 2011), но как-то особо активно стали вспоминать не так давно. Так вот помимо таких очевидных моментов, как контакты, ассортимент, подробная карточка товара, доставка, онлайн-консультант, отсутствие рекламы и т.д. где-то я слышал про https протокол для корзины покупателя или даже для всего сайта магазина. Подтверждения этому нет, но знать и помнить об этом по любому надо!
Только после того как я сам лично столкнулся с SSL сертификатами и защитой данных я понял, насколько это действительно важно. И, если раньше я мог бы сказать, что наличие https соединения там, где оно уместно, это бонус, то теперь я скажу иначе – отсутствие https соединения там, где хранятся личные данные и происходят транзакции, это недостаток! Из всех бирж только Сапа использует https соединение (пусть и SSL сертификат у них самоподписанный и доверия не имеет, но, тем не менее), а из агрегаторов только seopult. Это провал…
А у нас вот такая вот красота в данный момент!
Кстати, информация на скриншоте про 500 бесплатных проверок на сервисе еще актуальна! Так что регистрируйтесь и пользуйтесь 🙂
Пожалуй, на сегодня все. Спасибо за внимание, друзья.
Кто выдает SSL-сертификаты?
Кто выдает SSL-сертификаты?
SSL-сертификаты выпускают доверенные центры сертификации — Certification authority, CA.
Они проверяют право владельца сайта на использование домена и изучают документы компании. Это необходимо, чтобы заверить пользователей в подлинности ресурса и организации. Глубина проверки зависит от уровня защиты. Если все в порядке, CA выдают сертификат и обслуживают его — подтверждают подлинность ключей шифрования весь срок действия сертификата.
Вы можете сгенерировать бесплатный SSL-сертификат самостоятельно. Данные будут передаваться в зашифрованном виде, но пользователи не узнают, мошенник вы или реальный владелец домена и представитель компании. Доверие к сайту основывается на доверии к сертификационному центру, а в случае с самоподписанным сертификатом нет удостоверяющей стороны.
Чтобы пользователи не сомневались в безопасности сайта, нужно установить SSL-сертификат от доверенного центра. Мы сотрудничаем с компаниями, проверенными временем: Comodo (1998), Thawte (1995), Symantec (1982), GeoTrust и RapidSSL (принадлежат Symantec). Сертификаты этих центров действительны и отличаются только ценой.
Вы можете сами убедиться, что центр доверенный. Зайдите в настройки браузера, выберите соответствующий раздел.
В Chrome: Настройки → Показать дополнительные настройки → Настроить сертификаты → Доверенные корневые центры сертификации.
В Яндекс.Браузере: Настройки → Показать дополнительные настройки → Управление сертификатами → Доверенные корневые центры сертификации.
Найдите файл с именем CA в списке – это корневой сертификат. Он имеет цифровую подпись центра, как и другие выданные им сертификаты.
Когда браузер доверяет центру, он добавляет его корневой сертификат в свои списки. Обозначает ресурсы как безопасные, и пользователи тоже им доверяют.
Отказ от SSL сертификатов для локальных доменов и IP адресов
Достаточно часто к нам поступают запросы о том, как получить SSL сертификат для локального домена (.local) или для IP адреса. Если раньше отдельные типы SSL сертификатов можно было получить для IP адреса или внутреннего домена, то теперь это, к сожалению, уже невозможно. Заказ внутренних сертификатов, как Comodo IntranetSSL более невозможен, а мультидоменные сертификаты с поддержкой локальных доменов .local будут действительны только до 31-го октября 2015 года. Что касается ранее выпущенных SSL сертификатов для внутренних доменов и IP адресов, то 1 октября 2016 года они будут отозваны или заблокированы браузерами.
Почему отменили SSL сертификаты для IP и локальных доменов?
Решение о прекращении выпуска SSL сертификатов для доменов типа .local и для IP адресов было принято на Форуме центров сертификации и браузеров (CA/B Forum).
Самая главная цель центров сертификации при выдаче SSL сертификатов — обеспечить надежность и доверие путем привязывания данных криптографического публичного ключа к проверенной личности или компании. SSL сертификаты идентифицируют компьютеры в качестве серверов, предлагающих один или несколько протоколов (обычно HTTP для веб траффика, но также и SMTP, POP, IMAP, FTP, XMPP, RDP и другие) через SSL/TLS.
Сервер может быть доступен по ряду имен или адресов. Сервер, подключенный к сети Интернет, как правило, имеет собственное имя в системе доменных имен DNS (от Domain Name System), что позволяет любой другой системе в Интернете преобразовать это имя в IP адрес и получить доступ к серверу. Для примера возьмем сервер с доменным именем «server1234.emaro-ssl.ru». Эта система имеет маршрутизируемый IP адрес в сети Интернет — IPv4 или IPv6, или же оба.
Тем не менее серверы могут иметь дополнительные имена и адреса, которые действуют только в контексте локальной сети , а не во всем Интернете. Таким образом, тот же сервер из примера выше может быть доступен другим компьютерам в локальной сети по именам «mail» или «mail.local».
Локальное имя домена может преобразовываться в маршрутизируемый IP адрес в сети Интернет или в Ip адрес, доступный только по локальной сети. Пространство IP адресов «192.168.*.*», которые используют многие домашние интернет-шлюзы, возможно, является наиболее известной серией личных сетевых адресов. Но также существует множество пространств IP адресов IPv4 и IPv6, зарезервированных для частного или другого использования.
Ключевым различием между этими двумя типами доменных имен и IP адресов является их уникальность. П олностью определённое имя домена (FQDN), как, например, «www.emaro-ssl.ru» представляет собой уникальную и легко отличимую от других единицу в Интернете (даже если несколько серверов ответят на это доменное имя, управлять им может только одно лицо). В то же время, на неопределенное имя домена «mail» могут отвечать тысячи систем в публичных и приватных (локальных) сетях. В сети Интернет только один узел связи имеет IP адрес “5.63.155.56”, в то время как десятки тысяч домашних интернет-шлюзов имеют адрес “192.168.0.1”.
SSL сертификаты от доверенных центров сертификации выдаются с той целью, чтобы обеспечить безопасность и доверие для доменных имен по всей сети Интернет. Неуникальные доменные имена по самой своей природе не могут быть идентифицированы вне своего локального контекста, поэтому SSL сертификаты, выданные для локальных доменов, являются потенциально опасными, так как могут быть использованы в мошеннических целях.
Именно по этой причине центры сертификации отказываются от выпуска SSL сертификатов для неуникальных доменов и IP адресов, как “mail”, “mail.local” или “192.168.0.1”.
Почему опасно использовать SSL сертификаты для локальных доменов и IP адресов?
Для примера возьмем компанию, которая развернула систему электронной почты по адресу “https://mail/”. Система недоступна через всемирную сеть Интернет, а только по локальной корпоративной сети или через VPN. Является ли она безопасной?
Не обязательно, если имеется SSL сертификат для доменного имени “mail” от доверенного центра сертификации. Имя домена “mail” — неуникально, поэтому практически кто угодно может может получить SSL сертификат для “https://mail/”. Если злоумышленник использует такой сертификат в корпоративной локальной сети вместе со спуфингом локального имени, он сможет без проблем подменить настоящий сервер корпоративной электронной почты и заполучить данные пользователя для входа в систему и другую конфиденциальную информацию. При этом мошеннику даже не обязательно находиться в корпоративной сети, чтобы успешно провести атаку. Если пользователь подключит свой корпоративный ноутбук к публичной сети WiFi, почтовый клиент может автоматически попытаться подключиться к “https://mail/” прежде, чем будет установлено соединение через VPN. В этот момент злоумышленник может произвести подмену и украсть данные пользователя.
Здесь следует заметить, что не имеет значения, использовался ли SSL сертификат от известного доверенного центра сертификации (как Comdo, Thawte, Symantec и другие), или же самоподписанный SSL сертификат от частного корпоративного центра сертификации. Если между SSL сертификатом, используемым мошенником, будет установлена цепочка с центром сертификации в хранилище браузера или операционной системы, сертификат будет принят всеми клиентами, создавая уязвимость даже на стороне пользователей частной инфраструктуры приватных ключей (PKI).
Из-за того, что невозможно провести полноценную проверку локальных доменов и IP адресов, а также из-за высокой возможности использования таких SSL сертификатов в мошеннических целях, Форум ЦС и Браузеров принял решении о прекращении их выдачи.
Какие есть альтернативы?
1. Использовать полностью определенные доменные имена (FQDN) и поиск DNS суффикса домена.
Многие сайты, доступные по локальному имени домена, могут также быть доступными и правильно определяться по FQDN, так как программное обеспечение DNS-клиента использует процесс называемый поиском суффикса, при котором настроенные суффиксы добавляются к локальному имени и в результате имеется полностью определенный домен FQDN. Как правило, это происходит автоматически для доменов, частью которых является система. Например, система с именем “client.example.com” использует “example.com” в качестве суффикса для поиска. Пытаясь установить связь с именем ”server”, эта система будет автоматически пробовать найти “server.example.com” через DNS поиск. Поиск DNS суффикса домена можно настроить самостоятельно.
Если Вы используете домен .local для внутренней сети, этот способ Вам не подойдет, рекомендуем рассмотреть следующий.
2. Использовать приватные или корпоративные центры сертификации для подписи сертификатов для IP адресов и локальных доменов.
Вторым возможным способом решения проблемы с выпуском SSL сертификатов для локальных доменов является создание собственной системы PKI с локальным центром сертификации. Создать его можно, например, с помощью OpenSSL, для которого существует множество инструкций в Интернете.
В сети Microsoft Windows Active Directory Network можно сконфигурировать сервер Windows Server как корпоративный центр сертификации и настроить автоматическое принятие сертификатов клиентами.
3. Вручную подтверждать доверие к самоподписанным сертификатам.
В небольших неуправляемых сетях можно принимать самоподписанные сертификаты вручную. Тот же OpenSSL позволяет сгенерировать SSL сертификат самому. Если Вы пользуетесь сервером Microsoft IIS, Вы можете воспользоваться нашей инструкцией по созданию SSL сертификата. Если количество пользователей сервиса с самоподписанным сертификатом невелико, они могут вручную принимать эти сертификаты, предварительно проверив содержащуюся в них информацию.
Поделиться «Отказ от SSL сертификатов для локальных доменов и IP адресов»