Что такое SSL-сертификат для сайта и зачем он нужен? Что дает https и ssl для сайта? | REG.RU
HTTPS — что за зверь
Если вы уже сталкивались с созданием собственного сайта, то наверняка краем уха слышали про сертификат SSL и HTTPS — что это такое и зачем нужен HTTPS для сайта, мы подробно расскажем в этой статье.
Невероятно, но факт: любое действие в Интернете — это обмен данными. Когда вы открываете любимый сайт, ищете видеоролик на «YouTube» или загружаете картинку в Instagram, ваш поисковый браузер и сервер обмениваются информацией. Каждый вбитый в поисковую строку запрос проходит путь от вас (пользователя) к серверу и обратно. Такая коммуникация возможна благодаря работе протокола HTTP. Он был изобретён ещё в начале 90-х. Всем HTTP хорош, кроме одного: не шифрует данные. Следовательно, их без труда может перехватить третья сторона, личная информация (пароль, номер банковской карты, реквизиты, паспортные данные) может быть украдена злоумышленниками.
В современном мире защита данных имеет принципиальное значение. Поэтому внедрили HTTPS, который расшифровывается как протокол безопасного соединения. Принципом работы защищённого протокола HTTPS является обмен ключами шифрования. Прежде чем ответить на запрос от браузера, сервер предъявляет ключ — SSL-certificate. Браузер проверяет подлинность ключа в Центре сертификации. Если ключ «подошёл», браузер и сервер доверяют друг другу и договариваются о разовом шифре. Так происходит каждую сессию, то есть каждый раз при обмене запросами и ответами. Вот таким хитрым способом и обеспечивается сохранность данных и конфиденциальность при обмене информацией.
Зачем нужен SSL-сертификат для сайта
Чтобы сайт стал работать по протоколу безопасного соединения HТТPS, нужен SSL-сертификат. Это виртуальный документ, который содержит данные об организации, её владельце и подтверждает их существование. Позволяет узнать сервер и подтвердить безопасность сайта.
Использование сертификата безопасности для сайта гарантирует:
- Подлинность ресурса, к которому обращается пользователь. Это повышает у посетителей уровень доверия.
- Целостность передаваемой информации. При транспортировке от сервера к браузеру данные не изменятся и не потеряются.
- Конфиденциальность. 256-разрядное шифрование исключает доступ злоумышленников к информации.
Что дает SSL-сертификат для сайта кроме защиты данных? SSL-сертификат помогает в SEO-продвижении проекта — позволяет занять более высокую позицию в поисковой выдаче. Поисковые системы (Google, Яндекс и пр.) дорожат доверием аудитории и выше ранжируют сайты, которые работают через безопасное соединение.
Обеспечьте защиту передаваемых данных
Установите SSL-сертификат, и ваш сайт будет работать по безопасному соединению HTTPS
Разновидности SSL-сертификатов
По уровню проверки выделяют три типа SSL-сертификатов:
Сертификаты начального уровня с проверкой домена Domain Validation (DV)
При выпуске этого типа SSL проверяется только право собственности на домен. Физическим лицам доступен только этот тип. Юридические лица также могут его выпустить. После подключения защищенного соединения к сайту в адресной строке браузера появится характерный «замочек», что означает безопасную передачу данных.
Сертификаты бизнес-класса с проверкой организации Organization Validation (OV) или Company Validation (CV)
При выпуске такого SSL кроме проверки права собственности на домен проводится проверка организации: её юридическое и физическое существование. Этот вид доступен только юридическим лицам. При нажатии на замочек в адресной строке будет отображаться информация о компании.
Сертификаты с расширенной проверкой Extended Validation (EV)
Этот протокол SSL также доступен только юридическим лицам. Чтобы его выпустить, нужно предоставить документы в центр сертификации. Проводится проверка не только существования организации, но и её правовой деятельности. Помимо замочка в адресной строке будет отображаться печать доверия сертификационного центра и информация о компании.
Подробнее о видах читайте в статье Типы SSL-сертификатов.
HTTP или HTTPS? Вот в чём вопрос!
Защита сайта протоколом HTTPS уже давно не просто признак хорошего тона, а необходимость. Несмотря на то что некоторые сайты ещё работают по HTTP-соединению, очень скоро HTTPS станет обязательным требованием «экологии» Интернета.
С июля 2018 года Google считает небезопасным каждый веб-сайт, не использующий протокол HTTPS. Когда пользователь хочет перейти на страницу по протоколу HTTP, то он видит предупредительный знак в адресной строке:
Нет защищенного соединения. Как это повлияет на бизнес?
- Предупреждение может отпугнуть пользователей от сайта.
- Поисковые системы не доверяют сайтам без HTTPS, поэтому работать с SEO будет сложнее.
- Злоумышленники могут украсть данные с веб-сайта.
Помимо этого, WordPress и другие популярные CMS заявили, что некоторые функции теперь будут доступны только для веб-сайтов с протоколом HTTPS.
У меня до сих пор HTTP, что делать
При регистрации домена или покупке хостинга можно получить free ssl на год. Если ваш сайт уже обслуживается на хостинге REG.RU, достаточно заказать SSL-сертификат и перейти с HTTP протокола на HTTPS. Полный цикл:
Чтобы перейти на HTTPS:
- 1. Закажите SSL-сертификат при регистрации домена или при заказе услуги хостинга. Подробнее об этом в разделе: 1 этап: Заказ SSL.
- 2. Активируйте сертификат. В разделе 2 этап: Активация SSL описано, как это сделать.
- 3. Теперь установите SSL-сертификат на хостинг. Для этого выберите подходящую инструкцию: 3 этап: Установка SSL.
- 5. И наконец — настройте редирект с HTTP на HTTPS по инструкции.
Готово, теперь ваш сайт будет работать по HTTPS.
Защитите данные с помощью SSLЗащитите данные на вашем сайте от мошенников. Установите SSL-сертификат, чтобы сайт работал по HTTPS-протоколу.
Подробнее1819 раз уже помогла
Бесплатный SSL сертификат – правильный сертификат
Сейчас куча сайтов плавно переходит на SSL. И куча людей платит деньги за воздух. Поэтому, пришло время узнать о паре простых способов получить SSL сертификат бесплатно.
Зачем вообще SSL?
1. Лучше выглядит в браузере
Браузеры, с недавних пор, очень не любят сайты без SSL. И они будут пытаться помешать вашим посетителям регистрироваться и оплачивать покупки.
Вот так выглядит сайт без SSL (обычная страница) в современных браузерах:
Chrome (Хром) | Firefox | Яндекс Браузер |
Не так плохо, но веселье начинается если вы начнете вводить пароль или данные банковской карты. Будет вот так:
Chrome (Хром) | Firefox | Яндекс Браузер |
Как думаете, отпугнет ли это часть ваших посетителей? Конечно да. И это еще не все, Firefox, когда ваш посетитель будет вводить свои данные, покажет ему вот такое окошко:
С SSL сертификатом же все выглядит намного лучше:
Chrome (Хром) | Firefox | Яндекс Браузер |
2. Положительно сказывается (или будет) на позициях в поисковых системах
В Google сайты с SSL начали ранжироваться выше с 2014 года, но на очень ограниченном числе запросов. Сейчас это влияет все больше и больше.
Насчет Яндекса я не нашел информации по этому поводу, но, скорее всего, они тоже это учитывают как один из второстепенных параметров.
Почему бесплатный сертификат?
Есть несколько видов SSL сертификатов. Чем круче — тем больше компенсация вам на случай, если кто-то взломает соединение, и еще в браузере будет писаться название вашей компании.
Для малого бизнеса это совершенно не нужно. Все, что нам нужно – самый простой сертификат(Essential). Он всего лишь позволяет установить защищенное соединение с вашим сайтом и удостовериться, что посетитель на нем.
Так почему же бесплатный? Потому что покупая этот самый простой сертификат за деньги вы платите за воздух. Никаких сложных вычислений не происходит. Все делается автоматически. Даю зуб, что на сервере за 300 руб/мес. можно сгенерировать сертификаты для всего Рунета максимум за 1 месяц, если не 1 день.
А почему же тогда их продают за деньги, спросите вы? Да просто потому что это халявные деньги. На официальном сайте Комодо они просят $76 в год минимум. На другом же сайте можно найти их же сертификат за $8. Вообще, они могли бы его и бесплатно отдать, но 76 баксов то не лишние 😉
Минусы платных сертификатов:
- Платите деньги за воздух и поощряете продавцов воздуха
- Будете платить еще в 10 раз больше денег если вам нужен сертификат для субдоменов (потому что потребуется другой сертификат — Wildcard или нужно покупать по сертификату на каждый поддомен)
В любом случае не платите за них более чем $8 в год.
Минусы бесплатных сертификатов:
- Не работают в старых браузерах и операционных системах(там где не поддерживается SNI)
Эту проблему кстати можно достаточно легко решить, просто не включая SSL для этих старых браузеров/ОС. Если вам кто-то будет настраивать это или вы сами, то вот ссылка (правило для .htaccess).
Где получить бесплатный сертификат?
1. Let’s Encrypt
Это серьезная некомерческая организация, которая предоставляет бесплатные сертификаты. Возможно, вы даже слышали о компаниях, которые спонсируют ее на более $300,000 в год каждая: Facebook, Mozilla, Cisco и Chrome (Google).
На https://clickget.ru, кстати, используется их сертифкат. Можете зайти и посмотреть если хотите.
Единственная проблема, их сайт работает не так, как вы думаете. На нем нельзя получить сертификат. Вот как это сделать если у вас:
1. Виртуальный хостинг
Если у вас виртуальный хостинг, то, возможно, он уже поддерживает выпуск сертификатов через Let’s Encrypt. Лично я знаю что Timeweb, Reg.ru и многие другие это уже поддерживают.
Покажу на примере Таймвеба (которым мы пользуемся), как выглядит выпуск сертификата. Заходите в “Дополнительные услуги”, потом в “SSL сертификаты” и в поле “Сертификат” выбираете SSL Let’s Encrypt:
Все, сертификат будет выпущен в течении пары минут и будет автоматически продлеваться каждые 3 месяца. То есть это сделать проще простого.
Если ваш хостинг не поддерживает Let’s Encrypt, спросите их, возможно, скоро они добавят эту возможность.
2. Свой сервер
Если у вас свой сервер(облачный, VPS, Dedicated и т.п.), то воспользуйтесь сайтом certbot.eff.org. Выбираете там операционную систему и сервер (Apache/Nginx) и получаете пошаговую инструкцию, как все настроить. Правда сможет сделать это только человек, который в этом разбирается.
По идее, можно еще воспользоваться сайтом sslforfree.com, но имейте ввиду, что Let’s Encrypt выпускает сертификаты только на 3 месяца. И каждые 3 месяца нужно его обновлять. Поэтому устанавливать его руками проблематично. Воспользовавшись же способами выше, сертификат будет продляться автоматически, без вашего участия.
2. CloudFlare
Это бесплатный CDN провайдер, используя который, вы получаете кучу полезного, включая бесплатные SSL сертификаты.
Минимальные требования к браузерам и ОС для работы сертификата можно найти внизу этой страницы (Windows Vista+, Firefox 2+, Android 4.0+ и т.п.)
Если вкратце, вам нужно зайти туда, где покупали домены, и перенастроить DNS сервера на CloudFlare, после этого ваш сайт станет доступен через HTTPS. Если вы в этом не разбираетесь, вам стоит попросить сделать это другого человека. Процедура не должна занять более 30 минут и стоить будет недорого.
1. Сначала регистрируетесь здесь
2. Вводите ваши домены через запятую в поле:
Cloudflare автоматически просканирует и добавит DNS записи
3. После этого добавляете те, что не добавились автоматически(обязательно сравните с теми что у вас вбиты, для этого нужно зайти в DNS записи вашего домена), и жмете далее в самом низу.
4. На следующем шаге выбираете бесплатный тариф. После этого вы получите имена 2х серверов. Теперь вам нужно зайти туда, где вы покупали домен и сменить (делегировать) ваши неймсервера (nameserver или DNS сервер) на новые:
Если все DNS записи вы перенесли корректно, то ваши посетители никаких изменений не заменят(то есть сайт будет работать без перебоев).
5. Когда все перенесется, зайдите в настройки вашего домена на вкладку “Crypto” и там где SSL выберите “Flexible”. Все, теперь SSL соединение с вашим сайтом будет работать 🙂
Другие варианты:
- Еще бесплатные сертификаты выдает StartCom. Я пользовался им пока, в конце 2016 Mozilla, Apple и Google решили перестать доверять этим сертификатам в новых версиях браузеров. И, пока что, StartCom это не исправил.
На будущее:
- Перед тем как ставить переадресацию с HTTP на HTTPS проверьте все ли работает (переадресацию обычно можно настроить в панеле хостинга)
- Нужно заменить все пути к картинкам и т.п. в коде сайта с http:// на // иначе соединение не будет считаться защищенным. Для WordPress можно воспользоваться плагином типа этого.
- При переадресации с HTTP на HTTPS, используя CloudFlare, будьте аккуратны, плагин переадресации должен их поддерживать, иначе будет бесконечная переадресация. Для Вордпресса есть вот этот плагин. Дело в том, что запрос на ваш сайт идет через HTTP в любом случае, нужно читать данные, посылаемые CloudFlare, чтобы понять, открыт ли ваш сайт через HTTP или HTTPS у посетителя.
Вот и все. Даже если вы уже купили сертификат, надеюсь вы перейдете на бесплатный в следующем году 🙂
P.S. Если же ваш хостинг не поддерживает это, или, по каким-то причинам, вы хотите сертификат от известной компании, попробуйте этот сайт (там самые дешевые).
Цифровые SSL сертификаты. Разновидности, как выбрать? / Блог компании TutHost / Хабр
Существует достаточно много цифровых сертификатов, каждый из которых служит для своих целей. Самые распространенный тип сертификатов это естественно SSL сертификаты, которые также имеют несколько подвидов. Также существуют Code Signing сертификаты, Website Anti Malware Scanner сертификаты и Unified Communications сертификаты.
Поскольку мы занимаемся продажей всех видов сертификатов, то накопилось некоторое количество опыта по сертификатам и знаний как правильно подобрать нужный сертификат для конкретной ситуации. Постараюсь в нескольких постах поделиться этой информацией.
Так что если у вас стоит задача поднять защищенное https соединение для вашего сайта, то в этом посте я постараюсь раскрыть все тонкости и особенности SSL сертификатов, чтобы сделать правильный выбор было проще.
Начнем с самых распространенных SSL сертификатов.
SSL сертификаты самый распространенный на данный момент тип сертификатов в Интернет. Чаще всего они используются в интернет-магазинах, то есть на сайтах, где есть функция заказа и где клиент вводит свои персональные данные. Для того, чтобы эти данные в момент передачи из браузера на сервер невозможно было перехватить используется специальный протокол HTTPS, который шифрует все передаваемые данные.
Для того, чтобы активировать возможность работы протокола HTTPS как раз и нужны цифровые SSL сертификаты (также потребуется выделенный IP для конкретного сайта).
Что такое SSL сертификат?
SSL — это сокращение от Secure Socket Layer — это стандартная интернет технология безопасности, которая используется, чтобы обеспечить зашифрованное соединение между веб-сервером (сайтом) и браузером. SSL сертификат позволяет нам использовать https протокол. Это безопасное соединение, которое гарантирует, что информация которая передается от вашего браузера на сервер остается приватной; то есть защищенной от хакеров или любого, кто хочет украсть информацию. Один из самых распространенных примеров использования SSL — это защита клиента во время онлайн транзакции (покупки товара, оплаты).
Как получить SSL сертификат?
Самый простой и бесплатный способ — это использовать, так называемый, самоподписной сертификат (self-signed), который можно сгенерировать прямо на веб-сервере. К слову во всех самых популярных панелях управления хостингом (Cpanel, ISPmanager, Directadmin) эта возможность доступна по умолчанию, поэтому техническую сторону процесса создания сертификата мы сейчас опустим.
Плюс самоподписного сертификата — это его цена, точнее ее отсутствие, так как вы не платите ни копейки, за такой сертификат. А вот из минусов — это то, что на такой сертификат все браузеры будут выдавать ошибку, с предупреждением, что сайт не проверен.
То есть для служебных целей и для внутреннего использования такие сертификаты подходят, а вот для публичных сайтов, а тем более для сайтов, которые продают услуги, такие сертификаты противопоказаны. Посудите сами, хотели бы вы, чтобы ваш клиент при заказе услуги увидел вот такую ошибку на весь экран? Как показывает практика, большинство клиентов такая страничка вводит в ступор и отбивает желание продолжать заказ дальше.
Почему же браузеры выдают такое предупреждение для самоподписных сертификатов и как этого избежать? Чтобы ответить на этот вопрос потребуется немного рассказать про сами принципы работы SSL сертификатов.
По какому принципу работает SSL сертификат?
Итак для того, чтобы получить SSL сертификат самое первое, что нужно сделать, это сформировать специальный запрос на выпуск сертификата, так называемый (Certificate Signing Request). При формировании этого запроса вам будет задан ряд вопросов, для уточнения деталей о вашем домене и вашей компании. После завершения ваш веб сервер создаст 2 типа криптографических ключей — приватный ключ и публичный ключ.
Публичный ключ не является секретным и он помещается в запрос CSR.
Вот пример такого запроса:
——BEGIN CERTIFICATE REQUEST——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——END CERTIFICATE REQUEST——
Данные которые содержатся в этом ключе можно легко проверить с помощью сервисов CSR Decoder. Как пример: CSR Decoder 1 или CSR Decoder 2. Второй сервис выдает больше информации о CSR и проверяет ее на валидность, поле Signature в результатах проверки.
Если мы вставим такой запрос в форму для его расшифровки, то увидим, какие данные содержатся в публичном ключе.
CSR Information:
Common Name: tuthost.ua — доменное имя, которое мы защищаем таким сертификатом
Organization: TutHost — название организации, которой принадлежит домен
Organization Unit: Hosting department — подразделение организации
Locality: Kiev — город, где находится офис организации
State: Kiev — область или штат
Country: UA — двухбуквенный код, страны офиса.
Email: [email protected] — контактный email технического администратора или службы поддержки
Важный момент — обратите внимание на поле Country — формат этого поля подразумевает только двухбуквенный код по стандарту ISO 3166-1, если вы не уверены в коде вашей страны, то проверить его можно например тут: Таблица ISO-3166-1. Я обращаю внимание на это поле, потому, что самая частая ошибка у наших клиентов при генерации запроса CSR — это неправильный код страны. И как следствие с такой CSR произвести выпуск сертификата невозможно.
После того как CSR сгенерирован вы можете приступать к оформлению заявки на выпуск сертификата. Во время этого процесса центр сертификации (CA — Certification Authority) произведет проверку введенных вами данных, и после успешной проверки выпустит SSL сертификат с вашими данными и даст возможность вам использовать HTTPS. Ваш сервер автоматически сопоставит выпущенный сертификат, со сгенерированным приватным ключем. Это означает, что вы готовы предоставлять зашифрованное и безопасное соединение между вашим сайтом и браузером клиентов.
Какие данные содержит в себе SSL сертификат?
В сертификате хранится следующая информация:
- полное (уникальное) имя владельца сертификата
- открытый ключ владельца
- дата выдачи ssl сертификата
- дата окончания сертификата
- полное (уникальное) имя центра сертификации
- цифровая подпись издателя
Что такое центры сертификации (CA)?
Это организация, которая обладает правом выдачи цифровых сертификатов. Она производит проверку данных, содержащихся в CSR, перед выдачей сертификата. В самых простых сертификатах проверяется только соотвествие доменного имени, в самых дорогих производится целый ряд проверок самой организации, которая запрашивает сертификат. Об этом мы поговорим ниже.
Так вот, разница между самоподписными бесплатным и платными сертификатами, выданными центром сертификации как раз и заключается в том, что данные в сертификате проверены центром сертификации и при использовании такого сертификата на сайте ваш посетитель никогда не увидит огромную ошибку на весь экран.
Говоря в общем, SSL сертификаты содержат и отображают (как минимум одно из) ваше доменное имя, ваше название организации, ваш адрес, город и страницу. Также сертификат всегда имеет дату окончания и данные о центре сертификации, ответственного за выпуск сертификата. Браузер подключается к защищенному сайту, получает от него SSL сертификат и делает ряд проверок: он не просрочен ли сертификат, потом он проверяет, выпущен ли сертификат известным ему центром сертификации (CA) используется ли сертификат на сайте, для которого он был выпущен.
Если один из этих параметров не проходит проверку, браузер отображает предупреждение посетителю, чтобы уведомить, что этот сайт не использует безопастное соединение SSL. Он предлагает покинуть сайт или продолжить просмотр, но с большой осторожностью. Это последнее, что вы должны увидеть ваши потенциальные клиенты.
Центров сертификации существует достаточно много, вот перечень самых популярных:
Comodo — работает с 1998 штабквартира в Jersey City, New Jersey, США.
Geotrust — основан в 2001, в 2006 продан Verisign, штабквартира Mountain View, California, США
Symantec — бывший Verisign в состав которого входит и Geotrust. Купил всех в 2010 году.
Thawte — основан в 1995, продан Verisign в 1999.
Trustwave — работает с 1995, штабквартира Chicago, Illinois, США.
Как видим самый крупный игрок на рынке SSL сертификатов это Symantec, который владеет тремя крупнейшими центрами сертификации — Thawte, Verisgin и Geotrust.
Есть ли разница в каком центре сертификации заказывать сертификат?
Основное отличие между разными центрами сертификации — в цене сертификатов и в том, в каком количестве браузеров установлен их корневой сертификат. Ведь если в браузере нет корневного сертификата этого центра сертификации, то посетитель с таким браузером все равно получит ошибку при входе на сайт с сертификатом от такого центра.
Что касается перечисленных выше центров сертификации, то их корневые сертификаты установлены в, пожалуй, 99,99% всех существующих браузеров.
Чтобы проверить, корневые сертификаты каких центров сертификации установлены в вашем браузере, достаточно в настройках вашего браузера найти такую опцию. (В Chrome Настройки -> показать дополнительные настройки -> управление сертификатами -> Доверенные корневые центры сертификации). В Chrome установлено более 50 таких корневых сертификатов.
Важный момент — частенько у клиентов возникала ситуация, когда SSL сертификат на серверe установлен, но при заходе на сайт браузер все равно выдает ошибку. Такая ситуация может возникнуть или из-за отсутствия в файле ca-bundle.crt корневого сертификата центра выдавшего сертификат или из-за того, что корневой сертификат устарел. Корневые сертификаты также имеют свой срок действия (в браузерах они обновляются при обновлении браузера).
С июля 2010 года сертификационные центры перешли на использование ключей 2048bit RSA Keys, поэтому для корректной работы всех новых сертификатов необходимо устанавливать новые корневые сертификаты.
Если новые корневые сертификаты не установлены — это может вызвать проблемы с корректной установкой сертификата и распознаванием его некоторыми из браузеров.
Ссылки на странички центров сертификации, где можно скачать новые корневые сертификаты даны ниже.
RapidSSL Certificate
GeoTrust SSL Certificates
Thawte SSL Certificates
VeriSign SSL Certificates
Покупать сертификаты напрямую у центров сертификации невыгодно, так как цена для конечных пользователей у них существенно выше, чем для партнеров, к тому, же если вам нужно закрыть такую покупку в бухгалтерии, то с этим тоже будут сложности. Выгоднее всего покупать такие сертификаты через партнеров. Партнеры закупают сертификаты оптом и имеют специальные цены, что позволяет продавать сертификаты намного дешевле, чем напрямую в центре сертификации.
Итак мы вплотную подошли к видам SSL сертификатов.
Какие виды SSL сертификатов существуют?
Между собой сертификаты отличаются свойствами и уровнем валидации.
Типы сертификатов по типу валидации
- Сертификаты, которые подтверждают только доменное имя (Domain Validation — DV).
- Сертификаты, которые подтверждают домен и организацию (Organization Validation — OV).
- Сертификаты, с расширенной проверкой (Extendet Validation — EV).
Разберемся с ними по порядку:
Сертификаты, подтверждающие только домен
Это самые простые сертификаты, это ваш выбор если сертификат вам нужен срочно, так как выпускаются они автоматически и моментально.
При проверке такого сертификата отсылается письмо со специальной ссылкой, по которой нужно кликнуть, чтобы подтвердить выпуск сертификата.
Важный момент, что это письмо может быть отправлено только на так называемый approver email, который вы указываете при заказе сертификата. И к адресу approver email есть определенные требования, он должен быть либо в том же домене для которого вы заказываете сертификат, либо он должен быть указан в whois домена.
Если вы указываете email в том же домене, что и сертификат, то указывать любой emal тоже нельзя, он должен соответствовать одному из шаблонов:
admin@
administrator@
hostmaster@
postmaster@
webmaster@
Еще один Важный момент: иногда сертификаты с моментальным выпуском попадают на дополнительную ручную проверку Центром сертификации, сертификаты для проверки выбираются случайным образом. Так что всегда стоит помнить, что есть небольшой шанс, что ваш сертификат будет выпущен не моментально.
Сертификаты SSL с валидацией домена выпускаются, когда центр сертификации проверил, что заявитель имеет права на указанное доменное имя. Проверка информации об организации не проводится и никакая информация об организации в сертификате не отображается.
Сертификаты с валидацией организации.
В таком сертификате уже будет указано название организации. Такой сертификат частное лицо получить не может. Срок выдачи таких сертификатов как правило от 3 до 10 рабочих дней, зависит от центра сертификации.
Процесс выдачи сертификатов OV
После получения запроса на выпуск сертификата с проверкой организации центр сертификации производит проверку, реально ли существует такая организация, как указано в CSR и принадлежит ли ей указанный домен.
Что проверяется в таких случаях?
У разных центров сертификации проверка несколько отличается, поэтому приведу общий список пунктов, которые могут быть проверены или запрошены:
- Наличие организации в международных желтых страницах — проверяется не всеми центрами сертифации
- Наличие в whois домена названия вашей организации — а вот это уже проверят обязательно, и если такое название там не указано от вас скорей всего затребуют гарантийное письмо, в котором нужно указать, что домен действительно принадлежит организации, иногда могут затребовать подтверждение от регистратора
- Свидетельство о государственной регистрации — требуют все реже, чаще сейчас производится проверка через специальные компании, которые производят проверку существования организации по своим каналам. Например для Украины вас могут проверить по базе ЕДРПОУ
- Счет от телефонной компании, в которой содержится название вашей организации и ваш номер телефона, указанный в заказе — таким образом проверяется валидность вашего телефона. Требуют все реже.
- Проверочный звонок — все чаще правильность телефона проверяют осуществляя звонок, на номер телефона, указанный вами в заказе. При звонке спросят сотрудника, указанного в административном контакте. Не у всех центров сертификации есть русскоговорящие сотрудники, поэтому предупредите человека, который отвечает на телефон, что возможен звонок от англоязычной компании.
Сертификаты с расширенной проверкой.
Это самые дорогие сертификаты и получить их сложнее всего. В таких сертификатах есть так называемый «green bar» — то есть при входе не сайт, где установлен такой сертификат в адресной строке браузера посетителя появится зеленая строка, в которой будет указано название организации, получившей сертификат.
Вот как это выглядит на сайте у Thawte.
Такие сертификаты обладают наибольшим уровнем доверия, среди продвинутых посетителей вашего сайта, поскольку сертификат указывает, что компания реально существует, прошла полную проверку и сайт действительно принадлежит ей.
SSL cертификаты с расширенной проверкой (EV) выпускаются только когда центр сертификации (CA) выполняет две проверки, чтобы убедиться, что организация имеет право использовать определенный домен плюс центр сертификации выполняет тщательную проверку самой организации. Процесс выпуска сертификатов EV стандартизирован и должен строго соотвествовать правилам EV, которые были созданы на специализированном форуме CA/Browser Forum в 2007 году. Там указаны необходимые шаги, которые центр сертификации должен выполнить перед выпуском EV сертификата:
- Должен проверить правовую, физическую и операционную деятельности субъекта.
- Должен убедиться, что организация соответствует официальным документам.
- Необходимо убедиться, что организация имеет исключительное право на использование домена, указанного в сертификате EV.
- Необходимо убедиться, что организация полностью авторизована для выпуска EV сертификата.
Список того, что конкретно будут проверять такой же как и для сертификатов с проверкой организации.
EV сертификаты используются для всех типов бизнеса, в том числе для государственных и некоммерческих организаций. Для выпуска необходимо 10-14 дней.
Вторая часть правил актуальная для центра сертификации и описывает критерии, которым центр сертификации должен соответствовать перед тем, как получить разрешение на выпуск EV сертификата. Она называется, EV правила аудита, и каждый год происходит проверка на соответствие этим правилам.
Типы SSL сертификатов по своим свойствам.
Обычные SSL сертификаты
Тут все понятно, это сертификаты, которые выпускаются автоматически и подтверждают только домен. Подходят для всех сайтов.
Цена: от 20$ в год
SGC сертификаты
Сертификаты с поддержкой повышения уровня шифрования. Актуально для очень старых браузеров, которые поддерживали только 40 или 56 бит шифрование. При использовании этого сертификата уровень шифрования принудительно повышается до 128 бит.
За все время у нас не купили не одного такого сертификата. Мое мнение, что они уже не нужны, разве что для внутреннего использования в больших корпорациях, где сохранилось очень старое железо.
Цена: от 300 $ в год.
Wildcard сертификаты
Нужны в том случае, когда вам кроме основного домена нужно обеспечить шифрование также на всех поддоменах одного домена. Например: есть домен domain.com и вам нужно установить такой же сертификат на support.domain.com, forum.domain.com и billing.domain.com
Совет: посчитайте количество поддоменов, на которые нужен сертификат, иногда бывает выгодней купить отдельно несколько обычных сертификатов.
Цена: от 180$ в год. Как видите, если у вас меньше 9 поддоменов, то дешевле купить обычный сертификат, хотя в использовании будет удобней один wildcard.
SAN сертификаты
Пригодится, если вы хотите использовать один сертификат для нескольких разных доменов, размещенных на одном сервере. Обычно в такой сертификат входит 5 доменов и их количество можно увеличивать с шагом в 5.
Цена: от 395 $ в год
EV сертификаты
Это те самые сертификаты с расширенной проверки и зеленой строкой в браузере, о которых мы говорили выше. Получить их может только юридическое лицо, коммерческая, некоммерческая или государственная организация.
Цена: от 250 $ в год.
Сертификаты c поддержкой IDN
Как правило, не у всех центров сертификации указана эта опция в описании сертификата, но не все сертификаты поддерживаются работу с IDN доменами. Поэтому я просто приведу здесь список сертификатов, у которых есть такая поддержка:
- Thawte SSL123 Certificate
- Thawte SSL Web Server
- Symantec Secure Site
- Thawte SGC SuperCerts
- Thawte SSL Web Server Wildcard
- Thawte SSL Web Server with EV
- Symantec Secure Site Pro
- Symantec Secure Site with EV
- Symantec Secure Site Pro with EV
Как выбрать самый дешевый сертификат?
У Geotrust самые дешевые SAN сертификаты. Сертификаты с валидацией только сайта, а также wildcard выгоднее всего у RapidSSL. EV сертификаты самые дешевые также у Geotrust. SGC сертификаты есть только у Thawte и Verisign, но у Thawte дешевле.
Чем еще отличаются сертификаты между собой
- Скоростью выпуска. Быстрее всего выпускаются сертификаты с валидацией только домена, дольше всего с EV валидацией, от 7 рабочих дней.
- Количество перевыпусков сертификата — у большинства центров сертификации неограниченно. Требуется, если допустили ошибку в данных об организации.
- Гарантия — для некоторых сертификатов есть гарантия от 10.000 $. Это гарантия скорее не для покупателя сертификата, а для посетителя сайта, где установлен сертификат. В случае если посетитель сайта с таким сертификатом пострадает от фрауда и потеряет деньги, то центр сертификации обязуется их ему компенсировать до суммы указанной в гарантии. То есть центр сертификации как бы дает гарантию на свои сертификаты и что их невозможно установить на «левый» домен. На практике такие случае мне не известны поэтому на этот параметр можно не обращать внимание.
- Бесплатный тестовый период — из платных сертификатов есть у symantec secure site, geotrust rapidssl, comodo positive ssl, thawte ssl web server. Также можете для тестов использовать бесплатные сертификаты: StartSSL™ Free
- Возврат средств — есть почти у всех сертификатов в течении 30 дней, хотя бывают и сертификаты без периода moneyback
Полезные утилиты:
- OpenSSL — самая распространенная утилита для генерации открытого ключа (запроса на сертификат) и закрытого ключа.
http://www.openssl.org/ - CSR Decoder — утилита для проверки CSR и данных, которые в нем содержаться, рекомендую использовать перед заказом сертификата.
CSR Decoder 1 или CSR Decoder 2 - DigiCert Certificate Tester — утилита для проверки корректно самого сертификата
http://www.digicert.com/help/?rid=011592
http://www.sslshopper.com/ssl-checker.html
В следующих частях постараюсь рассказать про остальные виды сертификатов.
P.S. с удовольствием отвечу на любые вопросы связанные с выбором SSL сертификата в комментариях.
P.P.S. Желающие получить 30% скидку на ssl сертификаты — пишите в личку.
Update: Важный момент — некоторые сертификаты умеют работать на доменах с www и без www, то есть для защиты www.domain.com и domain.com достаточно одного сертификата, но заказывать его нужно на www.domain.com
Актуально для сертификатов:
• RapidSSL
• QuickSSL Premium
• True BusinessID
• True BusinessID with EV
Клиентский SSL сертификат: для чего используется
Протокол SSL, используемый обычно для безопасной передачи данных, может применяться для авторизации клиентов на сервере – для этого используются клиентские SSL сертификаты.
За внешний интерфейс системы авторизации обычно отвечает веб-сервер Nginx, который осуществляет проверку сертификатов. Также сервер Nginx может использоваться в качестве прокси, что позволит внедрить SSL-аутентификацию в уже существующий проект, не меняя его конфигурации.
Клиентские SSL-сертификаты используются для идентификации клиента или пользователя и аутентификации клиента на сервере. Обычно в таком случае используется двухфакторная идентификация – через логин/пароль, а также через сертификат.
Как получить клиентский сертификат?
Самый лучший способ получить клиентский сертификат – это воспользоваться приложением OpenSSL.
OpenSSL – популярный инструмент, который активно используется разными компаниями для управления сертификатами: получения самоподписанных сертификатов ЦС (центра сертификации), управления сертификатами сервера, сертификатами пользователя и отозванными сертификатами.
Как происходит авторизация клиентов?
Авторизация клиентов осуществляется следующим образом. Как только клиент переходит в специализированную область сайта, сервер запрашивает у клиентского браузера сертификат. Если этот сертификат верифицирован, то в таком случае клиент может получить доступ к специальной секции ресурса.
Яркий пример такой авторизации – это платежная система WebMoney Transfer с ее клиентом WM Keeper Light. Подобная схема авторизации является очень надежной, поэтому она активно применяется в банковской сфере.
Чтобы реализовать процесс авторизации по клиентским SSL сертификатам, необходимо выполнить следующее:
- Получить свой собственный доверенный сертификат Certificate Authority, чтобы потом с его помощью подписывать и верифицировать клиентские сертификаты.
- Создать клиентские сертификаты, которые затем будут передаваться клиентам. Такие сертификаты должны быть подписаны доверенным сертификатом.
- Настроить сервер, чтобы он должным образом запрашивал и верифицировал клиентские SSL-сертификаты.
Работа с ключами обычно осуществляется при помощи утилиты OpenSSL, про которую мы писали в следующей статье.
Клиентский SSL-сертификат вы всегда можете приобрести в компании ЛидерТелеком, выбрав для себя подходящий вариант по оптимальной цене.
Переход сайта на HTTPS (подключение SSL-сертификата) – Справочный центр Vigbo
Для всех сайтов наших клиентов мы бесплатно предоставляем SSL-сертификат. HTTPS-протокол обеспечивает безопасный и конфиденциальный обмен информацией между сайтом и устройством пользователя. Благодаря HTTPS-протоколу данные, которые пользователи оставляют на сайте, будут надежно защищены и не попадут в руки мошенников. В браузере пользователя ваш сайт будет помечен как надежный.
Для того, чтобы подключить SSL-сертификат на сайт, перейдите в раздел Настройки > HTTPS системы управления сайтом. Отметьте чекбокс Включить HTTPS протокол и нажмите кнопку Сохранить.
Если ранее вы регистрировали сайт в Яндекс.Вебмастер и Google Search Console, то необходимо самостоятельно обновить информацию о сайте.
Откройте Google Search Console и нажмите на кнопку Добавить ресурс.
Укажите адрес сайта вместе с протоколом HTTPS (пример — https://site.ru) и нажмите Продолжить.
Пройдите верификацию (если это потребуется) следуя руководству Добавление сайта в Google.
Добавьте файл sitemap для версии сайта без HTTPS. Карта сайта доступна по адресу https://site.ru/sitemap.xml, где site.ru — имя вашего сайта. Получить правильную ссылку на карту сайта вы можете следуя руководству Sitemap.xml на вашем сайте
Для обновления информации о сайта в Вебмастере Яндекса, откройте панель Вебмастера. Добавьте новый адрес сайта с HTTPS и подтвердите его права, как описано в руководстве Добавление сайта в Яндекс.
Добавьте карту сайта в разделе Файлы Sitemap.
После этого перейдите к настройкам версии сайта, зарегистрированной ранее по HTTP и в разделе Индексирование > Переезд сайта активируйте чек-бокс в пункте Добавить HTTPS и сохраните настройки.
С этого момента статистику сайта необходимо отслеживать по новому адресу с https.
ВАЖНО:1. После включения https для интернет-магазинов, необходимо изменить адреса для уведомлений в ваших аккаунтах платежных систем, на адреса с https.
2. После подключения сертификата на сайт вероятно снижение его посещаемости, изменение количества страниц и позиций в поисковой выдаче.
3. Существуют различия по переходу на HTTPS для Google и Яндекса. Переход может занимать от 2 недель до 2 месяцев.
4. Все комментарии и лайки из социальных сетей Facebook и Вконтакте, которые уже привязаны к URL с HTTP будут перенесены на URL с HTTPS.
5. Комментарии от Disqus при переходе на https не будут отображаться. Вам нужно вручную заменять адреса с http на https на сайте disqus.com.
Подробные рекомендации от Disqus вы можете найти здесь:
6. Если у вас языковая версия реализована в рамках нескольких услуг, то SSL-сертификат можно подключить ко всем языковым версиям сайта.
Зачем нужен SSL-сертификат — Журнал «Код»: программирование без снобизма
Когда открываешь некоторые сайты, то браузер сообщает нам про что-то: «Не защищено». Некоторые думают, что такие страницы все в вирусах и что оставаться на них опасно. На самом деле всё не так страшно — у сайта просто нет SSL-сертификата. Рассказываем, что это за технология и почему с ней не всё так просто.
Вот так браузер сообщает нам, что у этого сайта нет сертификата безопасности.А вот так — что сертификат есть. Но не всё так просто.Минутка технического объяснения про SSL и HTTPS
Стандартный протокол передачи данных в вебе, который используется с 1992 года, — HTTP. Этот протокол задаёт правила, по которым пользователи запрашивают сайты, а серверы — отдают эти сайты. Протокола — это просто договорённости: «Заголовок страницы передавай так-то, текст — так, пароль проси так». Протокол может быть любым внутри, главное — чтобы все договорились использовать именно его.
Минус протокола HTTP в том, что он передаёт данные в открытом виде. Если на сайте с HTTP ввести данные карточки, то они полетят по каналам связи незашифрованными. Злоумышленник может их перехватить и прочитать — достаточно, например, просто «прослушивать» весь трафик в беспроводной сети.
HTTP — это быстрый, но небезопасный протокол. Его сложно в этом винить: когда его создавали, никто не думал, что на сайтах будут вводить данные кредитных карт. Думали, будут обмениваться результатами научных исследований.
Чтобы решить проблему незашифрованных данных, в 2000 году придумали HTTPS — HyperText Transfer Protocol Secure, безопасный протокол передачи гипертекста. Внутри себя он работает как обычный HTTP, но снаружи шифрует весь свой трафик. Даже если кто-то вклинится посередине, он увидит только шифр, который не получится разобрать.
За шифрование страниц в HTTPS отвечает протокол SSL — Secure Sockets Layer, уровень защищённых сокетов. Сокеты — это такие виртуальные соединения между компьютерами. Защищённый сокет означает, что данные, которые идут внутри от одного компьютера к другому, — в безопасности. Если браузер открывает страницу по такому протоколу, то он перед отправкой на сервер шифрует всё, что вы делаете или вводите на сайте. Самое то, если нужно отправить данные платёжной карты или логин с паролем от сервиса.
На самом деле примерно с 2014 года вместо протокола SSL используют TLS, который задумывался как обновление SSL 3.0. Дело в том, что в 2014 году обнаружили уязвимость в SSL-протоколе, которая позволяет расшифровывать все данные. В TLS конкретно этой уязвимости нет (но наверняка есть другие), поэтому все плавно перешли на него, но по старой памяти и привычке называют всё SSL-соединением и SSL-сертификатами.
Как работает SSL-протокол
- После ввода адреса браузер отправляется к нужному серверу и запрашивает у него страницу по протоколу HTTPS. Если страницы работают с HTTPS, то всё отлично, переходим к шагу 2. Если на сервере используется ещё старый протокол HTTP, то он отдаст браузеру страницу по этому незащищённому протоколу и никакого шифрования дальше не будет.
- Сервер отправляет браузеру копию своего SSL-сертификата, чтобы браузер убедился, что всё в порядке. В таком сертификате написано, что это за домен, кто выдал сертификат и информация о владельце.
- Браузер проверяет подлинность сертификата и, если всё хорошо, — извлекает из сертификата ключ шифрования и с его помощью безопасно договаривается с сервером о том, каким образом они будут кодировать всё дальнейшее общение.
- Сервер шифрует страницу и отправляет её браузеру.
- Браузер расшифровывает страницу, показывает её пользователю, а серверу сообщает, что всё в порядке, работаем дальше. Все данные шифруются и можно отправлять на сервер что угодно.
А как быть с обычными сайтами без сертификатов?
Если у сайта нет сертификата, это не значит, что сайт плохой. Это значит, что данные, которые вы там будете вводить, передаются в открытом виде. Значит, их проще перехватить. Если вы на сайте ничего не заполняете или оставляете комментарий без регистрации — страшного ничего не произойдёт.
Есть много сайтов, которые не используют сертификаты и ничего не просят от пользователей — сайты-визитки, корпоративные страницы и информационные порталы.
Некоторые считают, что если безопасного соединения нет, то вас сразу атакуют хакеры или заразят вирусы, но это не так. Вирус можно подцепить даже на сайте с SSL-сертификатом, если владелец домена его туда положит.
Получить SSL-сертификат — это сложно?
Нет. Это не только дело десяти минут, но и в некоторых случаях бесплатная операция. Прогресс дошёл до того, что вы можете получить сертификат на любой новый сайт в автоматическом режиме, даже если у вас мошеннический сайт. Достаточно лишь иметь админский доступ к своему сайту.
Что не так с безопасным соединением
Значок замка и надпись «Защищено» означает лишь то, что браузер установил с сервером защищённое соединение. Если кто-то попытается перехватить трафик, то он всё равно не сможет его расшифровать. Но если злоумышленник поставит себе на сайт SSL-сертификат и будет принимать информацию о платёжных картах, то они попадут к нему в руки.
Никто не может помешать преступнику получить сертификат, установить на свой сайт и сделать вид, что это безопасная страница. SSL-сертификат гарантирует безопасную передачу данных, но не отвечает за то, куда они отправляются. Поэтому перед тем как вводить на сайте секретную информацию, убедитесь в том, что сайт принадлежит нужной компании. Иногда бывает так: злоумышленники меняют в адресе сайта одну букву, получают сертификат и делают точно такой же дизайн, как в оригинале. Кто-то заходит на такой сайт за покупками, вводит реквизиты карты и… вы понимаете. Будьте внимательны.
Руководство по Настройка протокола HTTPS для личного домена в Azure CDN
- Чтение занимает 12 мин
В этой статье
В этом руководстве показано, как включить протокол HTTPS для личного домена, связанного с конечной точкой в сети доставки содержимого (CDN) Azure.
Протокол HTTPS в личном домене (например, https://www.contoso.com) гарантирует безопасную доставку конфиденциальных данных по протоколу TLS/SSL. Если веб-браузер подключается через HTTPS, он проверяет сертификат веб-сайта. А именно, выдан ли он авторизованным центром сертификации. Этот процесс обеспечивает безопасность и защиту веб-приложений от атак.
Azure CDN по умолчанию поддерживает HTTPS в имени узла конечной точки CDN. К примеру, при создании конечной точки CDN (скажем, https://contoso.azureedge.net) протокол HTTPS включен по умолчанию.
Ниже приведены некоторые ключевые характеристики настраиваемой функции HTTPS:
Отсутствие дополнительных затрат — вам не придется оплачивать приобретение или продление сертификата либо передачу трафика по HTTPS. Вы платите только за исходящий трафик из CDN.
Простое включение: на портале Azure доступна подготовка одним щелчком. Для включения этого компонента можно также использовать REST API или другие средства разработки.
Доступно полноценное управление сертификатами:
- закупка всех сертификатов и управление ими осуществляется без вашего участия.
- Сертификаты автоматически подготавливаются и продлеваются до истечения их срока действия.
В этом руководстве описано следующее:
- включение протокола HTTPS в личном домене;
- использование сертификата, управляемого CDN;
- использование собственного сертификата;
- проверка домена;
- отключение протокола HTTPS в личном домене.
Предварительные требования
Примечание
Эта статья была изменена, и теперь в ней содержатся сведения о модуле Az PowerShell для Azure. Модуль Az PowerShell является рекомендуемым модулем PowerShell для взаимодействия с Azure. Чтобы начать работу с модулем Az PowerShell, ознакомьтесь со статьей Установка Azure PowerShell. Дополнительные сведения см. в статье Перенос Azure PowerShell с AzureRM на Az.
Прежде чем перейти к выполнению шагов из этого учебника, создайте профиль и как минимум одну конечную точку CDN. Дополнительные сведения см. в кратком руководстве по созданию профиля и конечной точки Azure CDN.
Свяжите личный домен Azure CDN с конечной точкой CDN. Дополнительные сведения см. в статье Учебник. Добавление личного домена к конечной точке CDN Azure.
Важно!
Управляемые сертификаты CDN недоступны для корневых или вершинных доменов. Если личный домен Azure CDN является корневым или вершинным, необходимо использовать возможность применения собственного сертификата.
TLS/SSL-сертификаты
Чтобы включить протокол HTTPS в личном домене Azure CDN, используйте TLS/SSL-сертификат. Вы можете использовать сертификат под управлением Azure CDN или собственный сертификат.
Azure CDN управляет задачами управления сертификатами, такими как приобретение и продление. Как только функция будет включена, процесс сразу же запустится.
Если личный домен уже сопоставлен с конечной точкой CDN, дальнейших действий не требуется. Azure CDN предпримет нужные действия и автоматически выполнит запрос.
Если личный домен сопоставлен в другом месте, используйте электронную почту, чтобы подтвердить принадлежность домена.
Ниже описана процедура включения протокола HTTPS для личного домена.
Перейдите на портал Azure и найдите сертификат, управляемый Azure CDN. Выполните поиск по запросу Профили CDN и выберите этот пункт.
Выберите свой профиль:
- Azure CDN уровня «Стандартный» от Майкрософт;
- Azure CDN уровня «Стандартный» от Akamai;
- Azure CDN уровня «Стандартный» от Verizon;
- Azure CDN уровня «Премиум» от Verizon
В списке конечных точек CDN выберите ту из них, которая содержит личный домен.
Откроется страница Конечная точка.
В списке личных доменов выберите домен, для которого нужно включить протокол HTTPS.
Откроется страница Личный домен.
В разделе с типом управления сертификатом выберите Управляемые CDN.
Выберите Вкл. , чтобы включить HTTPS.
Выберите Подтвердить домен.
Важно!
Эта возможность доступна только в профилях Azure CDN от Майкрософт и Verizon.
Для включения функции HTTPS можно использовать собственный сертификат. Этот процесс выполняется путем интеграции с Azure Key Vault, что позволяет безопасно хранить сертификаты. Azure Front Door использует этот механизм безопасности, чтобы получить сертификат. При этом вам потребуется выполнить ряд дополнительных действий. При создании сертификата TLS/SSL необходимо создать всю цепочку сертификатов с разрешенным центром сертификации (ЦС), который входит в список доверенных ЦС Майкрософт. При использовании недопустимого ЦС ваш запрос будет отклонен. Если сертификат не включает всю цепочку, запросы, связанные с этим сертификатом, не будут работать должным образом. Для Azure CDN от Verizon принимается любой допустимый ЦС.
Подготовка учетной записи Azure Key Vault и сертификата
Azure Key Vault. Вам требуется активная учетная запись Azure Key Vault в той же подписке, что и профиль Azure CDN и конечные точки CDN, для которых нужно включить настраиваемый HTTPS. Если у вас ее еще нет, создайте учетную запись Azure Key Vault.
Сертификаты Azure Key Vault. Если у вас есть сертификат, отправьте его непосредственно в учетную запись Azure Key Vault. Если у вас нет сертификата, создайте сертификат напрямую через Azure Key Vault.
Примечание
Сертификат должен включать всю цепочку сертификатов, включая конечные и промежуточные, а корневой ЦС должен входить в список доверенных ЦС Майкрософт.
Регистрация Azure CDN
Зарегистрируйте Azure CDN как приложение в Azure Active Directory с помощью PowerShell.
При необходимости установите Azure PowerShell на локальном компьютере.
Выполните следующую команду в PowerShell:
New-AzADServicePrincipal -ApplicationId "205478c0-bd83-4e1b-a9d6-db63a3e1e1c8"
Примечание
205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 — это субъект-служба для Microsoft.AzureFrontDoor-Cdn.
New-AzADServicePrincipal -ApplicationId "205478c0-bd83-4e1b-a9d6-db63a3e1e1c8" Secret : ServicePrincipalNames : {205478c0-bd83-4e1b-a9d6-db63a3e1e1c8, https://microsoft.onmicrosoft.com/033ce1c9-f832-4658-b024-ef1cbea108b8} ApplicationId : 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 ObjectType : ServicePrincipal DisplayName : Microsoft.AzureFrontDoor-Cdn Id : c87be08f-686a-4d9f-8ef8-64707dbd413e Type :
Предоставление Azure CDN доступа к хранилищу ключей
Предоставьте Azure CDN разрешение на доступ к сертификатам (секретам) в учетной записи Azure Key Vault.
В хранилище ключей в разделе Параметры выберите Политики доступа. В правой области щелкните + Добавить политику доступа:
На странице Добавление политики доступа выберите Нет выбранных рядом с полем Выбрать субъект. На странице Субъект введите 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8. Выберите Microsoft.AzureFrontdoor-Cdn. Щелкните Выбрать:
На странице Выбор субъекта найдите строку 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8 и выберите Microsoft.AzureFrontDoor-Cdn. Щелкните Выбрать.
Выберите Разрешения сертификата. Установите флажки Получить и Вывод, чтобы разрешить CDN использовать разрешения на получение и вывод списка сертификатов.
Выберите Разрешения секрета. Установите флажки Получить и Вывод, чтобы разрешить CDN использовать разрешения на получение и вывод списка секретов:
Выберите Добавить.
Примечание
Теперь у Azure CDN будет доступ к этому хранилищу ключей и сертификатам (секретам), которые в нем хранятся. Любой экземпляр CDN, созданный в этой подписке, будет иметь доступ к сертификатам в этом хранилище ключей.
Выбор сертификата для развертывания в Azure CDN
Вернитесь на портал Azure CDN и выберите профиль и конечную точку CDN, где необходимо включить настраиваемый HTTPS.
В списке личных доменов выберите домен, для которого нужно включить протокол HTTPS.
Откроется страница Личный домен.
В разделе с типом управления сертификатом выберите Использовать собственный сертификат.
Выберите хранилище ключей, сертификат (секрет) и версию сертификата (секрета).
Azure CDN выведет следующие сведения:
- учетные записи хранилища ключей для идентификатора подписки;
- сертификаты (секреты) в выбранном хранилище ключей;
- доступные версии сертификатов (секретов).
Примечание
Чтобы автоматически обновлять сертификат до новой версии при ее наличии в Key Vault, задайте для версии сертификата (секрета) значение «Последняя». Если выбрана определенная версия, вам придется повторно вручную выбрать последнюю версию для смены сертификата. На развертывание новой версии сертификата (секрета) требуется до 24 часов.
Выберите Вкл. , чтобы включить HTTPS.
При использовании собственного сертификата подтверждение домена не является обязательным. Перейдите к разделу Ожидание распространения.
проверка домена;
Если вы используете личный домен, сопоставленный с пользовательской конечной точкой с помощью записи CNAME, или используете собственный сертификат, перейдите к разделу Личный домен, сопоставленный с конечной точкой CDN.
Если же запись CNAME для конечной точки больше не существует или содержит поддомен cdnverify, перейдите к разделу Личный домен не сопоставлен с конечной точкой CDN.
Пользовательский домен сопоставлен с конечной точкой CDN с помощью записи CNAME
Добавив личный домен для конечной точки, вы создали в таблице DNS вашего регистратора домена запись CNAME, которая сопоставляет домен с именем узла конечной точки CDN.
Если запись CNAME еще существует и не содержит поддомен cdnverify, центр сертификации DigiCert использует ее для автоматического подтверждения прав владения доменом.
При использовании собственного сертификата подтверждение домена не является обязательным.
Запись CNAME должна иметь следующий формат:
- Name — имя личного домена.
- Value — имя узла конечной точки CDN.
Название | Type | Значение |
---|---|---|
<www.contoso.com> | CNAME | contoso.azureedge.net |
Дополнительные сведения о записи CNAME см. в разделе о создании записи CNAME в DNS.
Если запись CNAME имеет правильный формат, DigiCert автоматически подтвердит имя личного домена и создаст сертификат для вашего домена. DigitCert не будет отправлять писем для подтверждения и вам не нужно подтверждать этот запрос. Сертификат будет действителен в течение одного года, а перед истечением срока действия — автоматически продлеваться. Перейдите к разделу Ожидание распространения.
Автоматическая проверка обычно занимает несколько часов. Если после проверки домен не отображается в течение 24 часов, отправьте запрос в службу поддержки.
Примечание
Если у поставщика DNS имеется запись авторизации центра сертификации, то она должна включать DigiCert как допустимый ЦС. Запись авторизации ЦС позволяет владельцам доменов указывать своим поставщикам DNS, какие ЦС уполномочены выдавать сертификаты безопасности для их домена. Если ЦС получает заказ на сертификат для домена, который имеет запись авторизации ЦС, и этот ЦС не указан как уполномоченный издатель, тогда этому домену или поддомену запрещается выдавать сертификат безопасности. Сведения об управлении записями авторизации ЦС см. в этой статье. Средство для работы с записями авторизации ЦС доступно здесь.
Личный домен не сопоставлен с конечной точкой CDN
Примечание
Если вы используете Azure CDN от Akamai, необходимо настроить следующую запись CNAME для включения автоматической проверки домена. «_acme-challenge.<имя узла личного домена> -> CNAME -> <имя узла личного домена>.ak-acme-challenge.azureedge.net»
Если запись CNAME содержит поддомен cdnverify, следуйте остальным инструкциям в этом шаге.
DigiCert отправляет письмо для подтверждения на следующие адреса электронной почты. Убедитесь, что возможно утверждение непосредственно с одного из таких адресов:
Через несколько минут должно появиться электронное сообщение с просьбой подтвердить запрос. Если вы используете фильтр нежелательной почты, добавьте [email protected] в список разрешений. Если вы не получите электронное сообщение в течение 24 часов, обратитесь в службу поддержки Майкрософт.
При щелчке ссылки для подтверждения запроса откроется следующая онлайн-форма:
Следуйте инструкциям в форме. Есть два варианта проверки:
Можно утвердить все будущие заказы, оформленные с использованием одной и той же учетной записи для одного корневого домена, например contoso.com. Этот подход рекомендуется, если вы планируете добавлять дополнительные личные домены для одного корневого домена.
Можно просто утвердить конкретное имя узла, которое используется в данном запросе. Для последующих запросов потребуется дополнительное утверждение.
После утверждения DigiCert завершает создание сертификата для имени личного домена. Сертификат будет действителен в течение одного года, а перед истечением срока действия — автоматически продлеваться.
Ожидание распространения
Активация компонента HTTPS для личного домена после проверки доменного имени может занять до 6–8 часов. По завершении процесса для состояния пользовательского HTTPS на портале Azure будет установлено значение Включено. Четыре шага операции в диалоговом окне личного домена будут помечены как завершенные. Личный домен готов для использования протокола HTTPS.
Ход выполнения операции
В следующей таблице показан ход операции, возникающей при включении HTTPS. После включения HTTPS в диалоговом окне личного домена отобразятся четыре шага операции. По мере активации этих шагов в них появляются другие вложенные шаги со сведениями о ходе выполнения. Не все из вложенных шагов будут выполняться. После успешного завершения шага рядом с ним появится зеленый флажок.
Шаг операции | Сведения о вложенном шаге операции |
---|---|
1. Отправка запроса | Отправка запроса |
Отправляется HTTP-запрос. | |
HTTPS-запрос успешно отправлен. | |
2. Проверка домена | Домен автоматически подтверждается, если он сопоставлен с конечной точкой CDN с помощью записи CNAME. В противном случае запрос на проверку будет отправляться на адрес электронной почты, указанный в записи регистрации вашего домена (регистрант WHOIS). |
Владение доменом успешно подтверждено. | |
Истек срок действия запроса на подтверждение прав владения доменом (клиент, скорее всего, не ответил в течение 6 дней). HTTPS не будет включен в вашем домене. * | |
Клиент отклонил запрос на подтверждение прав собственности на домен. HTTPS не будет включен в вашем домене. * | |
3. Подготовка сертификата | В настоящее время центр сертификации выдает сертификат, необходимый для включения HTTPS в вашем домене. |
Сертификат был выдан и в настоящее время развертывается в сеть доставки содержимого. Это может занять до 6 часов. | |
Сертификат успешно развернут в сети доставки содержимого. | |
4. Завершение | HTTPS успешно включен для вашего домена. |
* Это сообщение отображается, только если произошла ошибка.
Если перед отправкой запроса возникает ошибка, появится следующее сообщение об ошибке:
We encountered an unexpected error while processing your HTTPS request. Please try again and contact support if the issue persists.
Очистка ресурсов и отключение HTTPS
Из этого раздела вы узнаете, как отключить протокол HTTPS для личного домена.
Отключение компонента HTTPS
Войдите на портал Azure. Выполните поиск по запросу Профили CDN и выберите этот пункт.
Выберите профиль Azure CDN уровня «Стандартный» от Майкрософт, Azure CDN уровня «Стандартный» от Verizon или Azure CDN уровня «Премиум» от Verizon.
В списке конечных точек выберите ту из них, которая содержит личный домен.
Щелкните личный домен, для которого требуется отключить HTTPS.
Щелкните Выкл. , чтобы отключить HTTPS, а затем нажмите кнопку Применить.
Ожидание распространения
После отключения компонента HTTPS личного домена для вступления изменений в силу может потребоваться до 6–8 часов. По завершении процесса для состояния пользовательского HTTPS на портале Azure будет установлено значение Отключено. Три шага операции в диалоговом окне личного домена помечены как завершенные. Личный домен больше не сможет использовать HTTPS.
Ход выполнения операции
В следующей таблице показан ход операции, возникающей при отключении HTTPS. После отключения HTTPS в диалоговом окне личного домена отобразятся три шага. По мере того, как каждый шаг становится активным, под ним появляются сведения. После успешного завершения шага рядом с ним появится зеленый флажок.
Ход выполнения операции | Сведения об операции |
---|---|
1. Отправка запроса | Отправка запроса |
2. Отзыв сертификата | Удаление сертификата |
3. Завершение | Сертификат удален |
Часто задаваемые вопросы
Кто является поставщиком сертификата и какой тип сертификата используется?
Для личного домена используется выделенный сертификат, предоставленный Digicert:
- Azure CDN от Verizon
- Azure CDN от Майкрософт
Какое подключение TLS/SSL используется: на основе IP-адреса или SNI?
Для Azure CDN от Verizon и Azure CDN уровня «Стандартный» от Майкрософт используется подключение TLS/SSL на основе SNI.
Что делать, если я не получу сообщение электронной почты для проверки домена от DigiCert?
Если вы не используете поддомен cdnverify и существует запись CNAME, которая указывает на ваше имени узла конечной точки, вы не получите электронное сообщение о подтверждении домена.
Проверка в этом случае проходит автоматически. Если запись CNAME отсутствует и вы не получили сообщение электронной почты в течение 24 часов, обратитесь в службу поддержки Майкрософт.
Не окажется ли сертификат SAN менее безопасным, чем выделенный сертификат?
Для сертификата SAN используются те же стандарты безопасности и шифрования, что и для выделенного сертификата. Чтобы дополнительно обезопасить сервер, для всех выданных TLS/SSL-сертификатов используется алгоритм SHA-256.
Нужно ли иметь запись авторизации центра сертификации у моего поставщика DNS?
В настоящее время запись авторизации центра сертификации не требуется. Однако если у вас она есть, она должна включать DigiCert в качестве действительного центра сертификации.
С 20 июня 2018 г. в Azure CDN от Verizon начато использование выделенного сертификата с подключением TLS/SSL на основе SNI по умолчанию. Что произойдет с моими существующими личными доменами, использующими сертификат SAN и подключение TLS/SSL на основе IP-адресов?
В ближайшие месяцы ваши существующие домены будут постепенно переведены на использование одного сертификата, если корпорация Майкрософт сделает вывод, что к приложению выполнялись только клиентские запросы SNI.
Если обнаруживаются клиенты без SNI, домены продолжат использовать сертификат SAN с протоколом TLS/SSL на основе IP-адресации. Это не повлияет на запросы к службе или клиентам, которые не используют SNI.
Как работает продление сертификатов с помощью собственного сертификата?
Чтобы обеспечить развертывание более нового сертификата в инфраструктуре PoP, отправьте новый сертификат в Azure KeyVault. В параметрах TLS в Azure CDN выберите самую новую версию сертификата и нажмите кнопку «Сохранить». Затем Azure CDN распространит ваш обновленный сертификат.
Нужно ли повторно включать HTTPS после перезапуска конечной точки?
Да. Если вы используете Azure CDN от Akamai, при остановке и перезапуске конечной точки необходимо повторно включить HTTPS, если этот параметр был ранее включен.
Дальнейшие действия
В этом руководстве вы узнали, как выполнять следующие задачи:
- включение протокола HTTPS в личном домене;
- использование сертификата, управляемого CDN;
- использование собственного сертификата;
- проверка домена;
- отключение протокола HTTPS в личном домене.
Перейдите к следующему руководству, чтобы научиться настраивать кэширование в конечной точке CDN.
Что такое SSL, TLS и HTTPS?
#
256-битное шифрование Процесс шифрования электронного документа с использованием алгоритма, длина ключа которого составляет 256 бит. Чем длиннее ключ, тем он прочнее.
А
Асимметричная криптография. Это шифры, которые подразумевают пару из 2 ключей во время процессов шифрования и дешифрования. В мире SSL и TLS мы называем их открытыми и закрытыми ключами.
С
Запрос на подпись сертификата (CSR) Машиночитаемая форма приложения сертификата DigiCert.CSR обычно содержит открытый ключ и отличительное имя запрашивающей стороны.
Центр сертификации (CA) Организация, уполномоченная выдавать, приостанавливать, обновлять или отзывать сертификаты в соответствии с CPS (Заявление о практике сертификации). Центры сертификации идентифицируются по отличительному имени во всех выпускаемых ими сертификатах и списках отзыва сертификатов. Центр сертификации должен опубликовать свой открытый ключ или предоставить сертификат от ЦС более высокого уровня, подтверждающий действительность его открытого ключа, если он подчиняется первичному центру сертификации.DigiCert — это первичный центр сертификации (PCA).
Набор шифров. Это набор протоколов обмена ключами, который включает в себя алгоритмы аутентификации, шифрования и аутентификации сообщений, используемые в протоколах SSL.
Общее имя (CN) Значение атрибута в отличительном имени сертификата. Для сертификатов SSL общее имя — это имя хоста DNS сайта, который необходимо защитить. Для сертификатов издателя программного обеспечения общим названием является название организации.
Ошибка подключения Когда проблемы безопасности, препятствующие запуску безопасного сеанса, отмечаются при попытке доступа к сайту.
D
Проверка домена (DV) SSL-сертификаты Самый базовый уровень SSL-сертификата, только право собственности на доменное имя проверяется перед выдачей сертификата.
E
Elliptic Curve Cryptography (ECC) Создает ключи шифрования на основе идеи использования точек на кривой для определения пары открытого / закрытого ключей. Чрезвычайно сложно взломать методы грубой силы, часто используемые хакерами, и предлагает более быстрое решение с меньшей вычислительной мощностью, чем чистое шифрование цепочки RSA.
Шифрование Процесс преобразования читаемых (открытый текст) данных в неразборчивую форму (зашифрованный текст), так что исходные данные либо не могут быть восстановлены (одностороннее шифрование), либо не могут быть восстановлены без использования процесса обратного дешифрования (двустороннее шифрование).
SSL-сертификаты с расширенной проверкой (EV) Наиболее полная форма безопасного сертификата, который проверяет домен, требует очень строгой аутентификации компании и выделяет его в адресной строке.
К
Обмен ключами Таким образом пользователи и сервер безопасно устанавливают предварительный секрет для сеанса.
м
Главный секрет Материал ключа, используемый для генерации ключей шифрования, секретов MAC и векторов инициализации.
Код аутентификации сообщения (MAC) Односторонняя хэш-функция, организованная для сообщения и секрета.
O
Проверка организации (OV) SSL-сертификаты Тип SSL-сертификата, который подтверждает право собственности на домен и существование организации, стоящей за ним.
-П
Предварительный главный секрет Материал ключа, используемый для деривации основного секрета.
Инфраструктура открытых ключей (PKI) Архитектура, организация, методы, практики и процедуры, которые в совокупности поддерживают реализацию и работу криптографической системы с открытым ключом на основе сертификатов. PKI состоит из систем, которые взаимодействуют друг с другом для предоставления и реализации криптографической системы с открытым ключом и, возможно, других связанных служб.
S
Secure server Сервер, который защищает веб-страницы хоста с помощью SSL или TLS. Когда используется защищенный сервер, он аутентифицируется для пользователя.Кроме того, информация о пользователе перед отправкой через Интернет шифруется протоколом SSL веб-браузера пользователя. Информация может быть расшифрована только тем хост-сайтом, который ее запросил.
SAN (альтернативное имя субъекта) SSL-сертификаты Тип сертификата, который позволяет защитить несколько доменов с помощью одного SSL-сертификата.
SSL Обозначает уровень защищенных сокетов. Протокол для веб-браузеров и серверов, который позволяет выполнять аутентификацию, шифрование и дешифрование данных, отправляемых через Интернет.
SSL-сертификат Сертификат сервера, который позволяет аутентифицировать сервер для пользователя, а также разрешает шифрование данных, передаваемых между сервером и пользователем. Сертификаты SSL продаются и выдаются непосредственно DigiCert, а также через платформу DigiCert PKI для SSL Center.
SSL Handshake Протокол, используемый в SSL для согласования безопасности.
Симметричное шифрование Метод шифрования, подразумевающий использование одного и того же ключа, используется как в процессе шифрования, так и в процессе дешифрования.
т
TCP Протокол управления передачей данных, один из основных протоколов в любой сети.
Вт
Wildcard SSL-сертификаты Тип сертификата, используемого для защиты нескольких поддоменов.
Добро пожаловать в службу поддержки сообщества Let’s Encrypt | 1 | 50884 | 7 августа 2015 г. | |
Certbot возобновляет выдачу ошибки | 14 | 136 | 27 июля 2021 г. | |
Ошибка Java в Windows 10: сертификат.pem не существует | 7 | 92 | 27 июля 2021 г. | |
Media Temple: истекло время ожидания DNS для получения записи A | 18 | 373 | 27 июля 2021 г. | |
Renew :: Доменное имя содержит недопустимый символ | 7 | 205 | 26 июля 2021 г. | |
Сертификат выпуска, подписанный только ISRG для тестирования | 12 | 110 | 26 июля 2021 г. | |
Никакого «чавка» как acmeuser | 8 | 245 | 26 июля 2021 г. | |
Не удается пройти проверку DNS-01, несмотря на правильность записи TXT. | 3 | 74 | 26 июля 2021 г. | |
Нужна помощь в обновлении acme | 6 | 132 | 26 июля 2021 г. | |
Вводящая в заблуждение ошибка? «Проблема DNS NXDOMAIN ищет A» | 12 | 291 | 26 июля 2021 г. | |
SSL-сертификат для регистрации | 31 год | 129 | 26 июля 2021 г. | |
Затвердеть.com сообщает: неверная цепочка сертификатов | 4 | 86 | 26 июля 2021 г. | |
Обновите SAN или добавьте домин в существующем SAN | 1 | 64 | 26 июля 2021 г. | |
Невозможно добавить сертификат | 24 | 393 | 26 июля 2021 г. | |
Проблема с продлением сертификата | 5 | 345 | 26 июля 2021 г. | |
Невозможно обновить сертификат с помощью расширения Plesk | 2 | 87 | 26 июля 2021 г. | |
Я потерял свой SSL после того, как несколько раз удалил свой сайт, чтобы исправить загрузку на wordpress | 2 | 101 | 26 июля 2021 г. | |
Проблема с пожертвованием через донорбокс из Европы | 3 | 244 | 26 июля 2021 г. | |
Не удается получить сертификат ssl, ошибка тайм-аута | 1 | 83 | 26 июля 2021 г. | |
Posh-ACME 4.Версия 6.0 | 0 | 71 | 26 июля 2021 г. | |
Сервер не будет выдавать сертификаты для идентификатора :: Запрос NewOrder не включает SAN, достаточно короткий, чтобы поместиться в CN | 12 | 285 | 26 июля 2021 г. | |
Как выполнить автономную привязку certbot к определенному IP-адресу в многодомной системе? | 1 | 91 | 25 июля 2021 г. | |
Позволяет зашифровать в Mac OS Ошибка Big Sur | 6 | 263 | 25 июля 2021 г. | |
Разделение машин IPv4 и IPv6 с одним доменом (прокси-сервер на разных машинах) | 6 | 214 | 25 июля 2021 г. | |
Не удалось выдать сертификат: код ошибки 400 «urn: ietf: params: acme: error: connection Невозможно выполнить перенаправления HTTP 303. | 2 | 97 | 25 июля 2021 г. | |
Проблема с продлением сертификата | 23 | 700 | 24 июля 2021 г. | |
SSL установлен, но домены по-прежнему показывают незащищенные | 5 | 160 | 24 июля 2021 г. | |
Один сертификат, несколько доменов для отдельных сертификатов для каждого домена | 5 | 195 | 24 июля 2021 г. | |
Media Temple: невозможно обновить сертификаты — как wildcard / dns, так и subdomain / http из-за проблемы с DNS | 12 | 238 | 24 июля 2021 г. | |
Где мне скачать файлы? | 5 | 172 | 24 июля 2021 г. |
О Let’s Encrypt — Let’s Encrypt
Auf Deutsch ansehen
Ver en español
Voir en Français
לעבור לעברית
Лихат далам Бахаса Индонезия
日本語 で 表示 す る
한국어 로 보기
Ver em Português (do brasil)
Просмотреть на русском
Прочитай на Сербском
Visa på svenska
Xem bng tiếng Việt
使用 简体 中文 阅读 本 网页。
使用 正 體 中文 閲讀 本 網頁。
Let’s Encrypt — это бесплатный, автоматизированный и открытый центр сертификации (ЦС), работающий на благо общества.Это услуга, предоставляемая исследовательской группой Internet Security Research Group (ISRG).
Мы даем людям цифровые сертификаты, которые им нужны, чтобы включить HTTPS (SSL / TLS) для веб-сайтов, бесплатно и наиболее удобным для пользователя способом. Мы делаем это, потому что хотим сделать Интернет более безопасным и уважающим конфиденциальность.
Вы можете прочитать обзор нашего последнего года, загрузив наш годовой отчет.
Ключевые принципы, лежащие в основе Let’s Encrypt:
- Бесплатно: Любой владелец доменного имени может использовать Let’s Encrypt для получения доверенного сертификата. по нулевой стоимости.
- Автоматически: Программное обеспечение, работающее на веб-сервере, может взаимодействовать с Let’s Encrypt, чтобы безболезненно получить сертификат, безопасно настроить его для использования и автоматически позаботиться о продлении.
- Secure: Let’s Encrypt будет служить платформой для продвижения передовых методов безопасности TLS как на стороне CA, так и помогая операторам сайтов должным образом защищать свои серверы.
- Прозрачный: Все выданные или отозванные сертификаты будут публично зарегистрированы и доступны для проверки.
- Открыт: Протокол автоматической выдачи и продления опубликован как открытый стандарт, который могут принять другие.
- Cooperative: Как и сами базовые Интернет-протоколы, Let’s Encrypt — это совместная попытка принести пользу сообществу, неподконтрольная какой-либо одной организации.
У нас есть страница с более подробной информацией о том, как работает Let’s Encrypt CA.
Что такое сертификат SSL и почему он важен?
Что такое сертификат SSL?
Сертификат SSL — это цифровой сертификат, удостоверяющий личность веб-сайта и обеспечивающий шифрованное соединение.SSL означает Secure Sockets Layer, протокол безопасности, который создает зашифрованную связь между веб-сервером и веб-браузером.
Компаниям и организациям необходимо добавлять сертификаты SSL на свои веб-сайты для защиты онлайн-транзакций и обеспечения конфиденциальности и безопасности информации о клиентах.
Вкратце: SSL обеспечивает безопасность интернет-соединений и не позволяет злоумышленникам читать или изменять информацию, передаваемую между двумя системами. Когда вы видите значок замка рядом с URL-адресом в адресной строке, это означает, что SSL защищает веб-сайт, который вы посещаете.
С момента своего появления около 25 лет назад существовало несколько версий протокола SSL, каждая из которых в какой-то момент сталкивалась с проблемами безопасности. Затем последовала обновленная и переименованная версия — TLS (Transport Layer Security), которая используется до сих пор. Однако инициалы SSL прижились, поэтому новая версия протокола по-прежнему обычно называется старым именем.
Как работают сертификаты SSL?
SSL работает, гарантируя, что любые данные, передаваемые между пользователями и веб-сайтами или между двумя системами, остаются невозможными для чтения.Он использует алгоритмы шифрования для шифрования данных при передаче, что не позволяет хакерам прочитать их, когда они отправляются через соединение. Эти данные включают потенциально конфиденциальную информацию, такую как имена, адреса, номера кредитных карт или другие финансовые данные.
Процесс работает следующим образом:
- Браузер или сервер пытается подключиться к веб-сайту (т. Е. Веб-серверу), защищенному с помощью SSL.
- Браузер или сервер запрашивает, чтобы веб-сервер идентифицировал себя.
- Веб-сервер отправляет браузеру или серверу копию своего сертификата SSL в ответ.
- Браузер или сервер проверяет, доверяет ли он сертификату SSL. Если это так, он сообщает об этом веб-серверу.
- Затем веб-сервер возвращает подтверждение с цифровой подписью, чтобы начать сеанс с шифрованием SSL.
- Зашифрованные данные совместно используются браузером или сервером и веб-сервером.
Этот процесс иногда называют «рукопожатием SSL». Хотя это звучит как длительный процесс, он занимает миллисекунды.
Когда веб-сайт защищен сертификатом SSL, в URL-адресе появляется аббревиатура HTTPS (что означает «Безопасный протокол передачи гипертекста»).Без SSL-сертификата будут отображаться только буквы HTTP, то есть без S для Secure. Значок замка также будет отображаться в адресной строке URL-адреса. Это свидетельствует о доверии и дает уверенность тем, кто посещает веб-сайт.
Чтобы просмотреть сведения о сертификате SSL, вы можете щелкнуть значок замка, расположенный на панели браузера. Детали, обычно включаемые в сертификаты SSL, включают:
- Доменное имя, для которого был выдан сертификат
- Какому лицу, организации или устройству он был выдан
- Какой центр сертификации выдал его
- Цифровая подпись центра сертификации
- Связано поддомены
- Дата выдачи сертификата
- Дата истечения срока действия сертификата
- Открытый ключ (закрытый ключ не раскрывается)
Зачем вам нужен сертификат SSL
Сайтам нужны сертификаты SSL для обеспечения безопасности данных пользователя, подтвердить право собственности на сайт, предотвратить создание злоумышленниками поддельной версии сайта и продемонстрировать доверие пользователям.
Если веб-сайт просит пользователей войти в систему, ввести личные данные, такие как номера кредитных карт, или просмотреть конфиденциальную информацию, такую как медицинские льготы или финансовую информацию, то важно сохранить конфиденциальность данных. SSL-сертификаты помогают сохранить конфиденциальность онлайн-взаимодействия и уверяют пользователей, что веб-сайт является подлинным и безопасным для обмена личной информацией.
Более важным для бизнеса является тот факт, что для веб-адреса HTTPS требуется сертификат SSL.HTTPS — это безопасная форма HTTP, что означает, что трафик веб-сайтов HTTPS зашифрован с помощью SSL. Большинство браузеров помечают сайты HTTP — без сертификатов SSL — как «небезопасные». Это дает пользователям четкий сигнал о том, что сайт может быть ненадежным, и побуждает компании, которые еще не сделали этого, перейти на HTTPS.
Сертификат SSL помогает защитить такую информацию, как:
- Учетные данные для входа
- Операции по кредитной карте или информация о банковском счете
- Личная информация, такая как полное имя, адрес, дата рождения или номер телефона
- Юридические документы и контракты
- Медицинские карты
- Собственная информация
Типы сертификатов SSL
Существуют разные типы сертификатов SSL с разными уровнями проверки.Шесть основных типов:
- Сертификаты расширенной проверки (EV SSL)
- Сертификаты с проверкой организации (OV SSL)
- Сертификаты с проверкой домена (DV SSL)
- Подстановочные SSL-сертификаты
- Многодоменные SSL-сертификаты (MDC)
- Сертификаты унифицированных коммуникаций (UCC)
Сертификаты расширенной проверки (EV SSL)
Это самый высокорейтинговый и самый дорогой тип сертификата SSL. Как правило, он используется для популярных веб-сайтов, которые собирают данные и предполагают онлайн-платежи.После установки этот сертификат SSL отображает замок, HTTPS, название компании и страну в адресной строке браузера. Отображение информации о владельце веб-сайта в адресной строке помогает отличить сайт от вредоносных. Чтобы настроить сертификат EV SSL, владелец веб-сайта должен пройти стандартизированный процесс проверки личности, чтобы подтвердить, что он на законных основаниях имеет исключительные права на домен.
Сертификаты, подтвержденные организацией (OV SSL)
Эта версия сертификата SSL имеет такой же уровень гарантии, как и сертификат EV SSL, поскольку для его получения; владелец веб-сайта должен пройти существенный процесс проверки.Этот тип сертификата также отображает информацию о владельце веб-сайта в адресной строке, чтобы отличить его от вредоносных сайтов. SSL-сертификаты OV, как правило, являются вторыми по стоимости (после EV SSL), и их основная цель — зашифровать конфиденциальную информацию пользователя во время транзакций. Коммерческие или общедоступные веб-сайты должны установить сертификат OV SSL, чтобы гарантировать конфиденциальность любой информации о клиентах.
Сертификаты с подтверждением домена (DV SSL)
Процесс проверки для получения сертификата SSL этого типа минимален, и в результате сертификаты SSL с проверкой домена обеспечивают меньшую надежность и минимальное шифрование.Они, как правило, используются для блогов или информационных веб-сайтов, т. Е. Не связаны со сбором данных или онлайн-платежами. Этот тип сертификата SSL является одним из самых дешевых и самых быстрых для получения. Процесс проверки требует от владельцев веб-сайтов только подтверждения права собственности на домен, ответив на электронное письмо или телефонный звонок. В адресной строке браузера отображается только HTTPS и замок без названия компании.
Wildcard SSL-сертификаты
Wildcard SSL-сертификаты позволяют защитить базовый домен и неограниченное количество поддоменов с помощью одного сертификата.Если у вас есть несколько субдоменов, которые нужно защитить, покупка SSL-сертификата Wildcard обойдется на намного дешевле, чем покупка отдельных SSL-сертификатов для каждого из них. SSL-сертификаты с подстановочными знаками имеют звездочку * как часть общего имени, где звездочка представляет любые допустимые поддомены, которые имеют один и тот же базовый домен. Например, один подстановочный сертификат для * веб-сайта может использоваться для защиты:
- payments.yourdomain.com
- login.yourdomain.com
- почты.yourdomain.com
- download.yourdomain.com
- something.yourdomain.com
Многодоменный сертификат SSL (MDC)
Многодоменный сертификат может использоваться для защиты многих доменов и / или имен субдоменов. Это включает в себя сочетание полностью уникальных доменов и субдоменов с разными TLD (доменами верхнего уровня), за исключением локальных / внутренних.
Например:
- www.example.com
- example.org
- mail.this-domain.net
- example.anything.com.au
- checkout.example.com
- secure.example.org
Многодоменные сертификаты по умолчанию не поддерживают поддомены. Если вам необходимо защитить и www.example.com, и example.com с помощью одного многодоменного сертификата, тогда при получении сертификата следует указать оба имени хоста.
Сертификат унифицированных коммуникаций (UCC)
Сертификаты унифицированных коммуникаций (UCC) также считаются многодоменными SSL-сертификатами.UCC изначально были разработаны для защиты серверов Microsoft Exchange и Live Communications. Сегодня любой владелец веб-сайта может использовать эти сертификаты, чтобы обеспечить защиту нескольких доменных имен с помощью одного сертификата. Сертификаты UCC проверены на организационной основе и отображают значок замка в браузере. UCC можно использовать в качестве сертификатов EV SSL, чтобы дать посетителям веб-сайта максимальную уверенность через зеленую адресную строку.
Важно знать различные типы сертификатов SSL, чтобы получить правильный тип сертификата для вашего веб-сайта.
Как получить сертификат SSL
Сертификаты SSL можно получить непосредственно в центре сертификации (ЦС). Центры сертификации — иногда также называемые центрами сертификации — ежегодно выпускают миллионы сертификатов SSL. Они играют решающую роль в том, как работает Интернет и насколько прозрачное и надежное взаимодействие может происходить в сети.
Стоимость сертификата SSL может варьироваться от бесплатного до сотен долларов, в зависимости от требуемого уровня безопасности.После того, как вы определитесь с типом сертификата, который вам нужен, вы можете найти эмитентов сертификатов, которые предлагают SSL на нужном вам уровне.
Получение SSL-сертификата включает следующие шаги:
- Подготовьтесь, настроив сервер и убедившись, что ваша запись WHOIS обновлена и соответствует тому, что вы отправляете в центр сертификации (она должна отображать правильное название и адрес компании и т. Д. .)
- Создание запроса на подпись сертификата (CSR) на вашем сервере.Это действие, в котором может помочь ваша хостинговая компания.
- Отправка этого сертификата в центр сертификации для проверки вашего домена и сведений о компании
- Установка сертификата, который они предоставят после завершения процесса.
После получения вам необходимо настроить сертификат на своем веб-хосте или на своих серверах, если вы размещаете веб-сайт самостоятельно.
Как быстро вы получите сертификат, зависит от того, какой тип сертификата вы получите и у какого поставщика сертификатов вы его получите.Для завершения каждого уровня проверки требуется разное время. Простой SSL-сертификат для проверки домена может быть выпущен в течение нескольких минут после заказа, тогда как расширенная проверка может занять целую неделю.
Можно ли использовать сертификат SSL на нескольких серверах?
Можно использовать один сертификат SSL для нескольких доменов на одном сервере. В зависимости от поставщика вы также можете использовать один сертификат SSL на нескольких серверах. Это из-за многодоменных SSL-сертификатов, о которых мы говорили выше.
Как следует из названия, многодоменные сертификаты SSL работают с несколькими доменами. Номер оставляется на усмотрение конкретного центра сертификации, выдавшего сертификат. Многодоменный SSL-сертификат отличается от однодоменного SSL-сертификата, который — опять же, как следует из названия — предназначен для защиты одного домена.
Чтобы сбить с толку, вы можете услышать многодоменные сертификаты SSL, также называемые сертификатами SAN. SAN означает альтернативное имя субъекта. Каждый мультидоменный сертификат имеет дополнительные поля (т.е., SAN), который можно использовать для перечисления дополнительных доменов, которые вы хотите охватить одним сертификатом.
Сертификаты унифицированных коммуникаций (UCC) и SSL-сертификаты с подстановочными знаками также позволяют использовать несколько доменов, а в последнем случае — неограниченное количество поддоменов.
Что произойдет, когда истечет срок действия сертификата SSL?
SSL-сертификаты действительно устарели; они не длятся вечно. Центр сертификации / Форум браузеров, который де-факто выступает в качестве регулирующего органа для индустрии SSL, заявляет, что срок службы SSL-сертификатов не должен превышать 27 месяцев.По сути, это означает, что два года плюс вы можете перенести до трех месяцев, если вы продлеваете время, оставшееся до вашего предыдущего сертификата SSL. Срок действия сертификатов SSL
истекает, поскольку, как и при любой другой форме аутентификации, информацию необходимо периодически повторно проверять, чтобы проверять ее точность. В Интернете все меняется, поскольку компании, а также веб-сайты покупаются и продаются. Когда они переходят из рук в руки, информация, относящаяся к сертификатам SSL, также изменяется. Целью истечения срока является обеспечение того, чтобы информация, используемая для аутентификации серверов и организаций, была как можно более актуальной и точной.
Ранее сертификаты SSL могли выдаваться на срок до пяти лет, который впоследствии был сокращен до трех, а в последнее время до двух лет плюс потенциально дополнительные три месяца. В 2020 году Google, Apple и Mozilla объявили, что будут применять годовые SSL-сертификаты, несмотря на то, что это предложение было отклонено Форумом браузеров центра сертификации. Это вступило в силу с сентября 2020 года. Не исключено, что в будущем срок действия еще больше сократится.
Когда срок действия сертификата SSL истекает, соответствующий сайт становится недоступным.Когда браузер пользователя заходит на веб-сайт, он проверяет действительность SSL-сертификата в течение миллисекунд (как часть подтверждения SSL). Если срок действия SSL-сертификата истек, посетители получат сообщение: «Этот сайт небезопасен. Возможный риск впереди».
Хотя у пользователей есть возможность продолжить, делать это не рекомендуется, учитывая связанные с этим риски кибербезопасности, включая возможность вредоносного ПО. Это существенно повлияет на показатель отказов для владельцев веб-сайтов, поскольку пользователи быстро переходят с главной страницы в другое место.
Быть в курсе, когда истекает срок действия SSL-сертификатов, представляет собой сложную задачу для крупных предприятий. В то время как малые и средние предприятия (МСП) могут иметь один или несколько сертификатов для управления, организации уровня предприятия, которые потенциально могут осуществлять операции на разных рынках — с многочисленными веб-сайтами и сетями — будут иметь намного больше. На этом уровне истечение срока действия сертификата SSL обычно является результатом надзора, а не некомпетентности. Лучший способ для крупных предприятий оставаться в курсе, когда истекает срок их сертификатов SSL, — это использовать платформу управления сертификатами.На рынке представлены различные продукты, которые вы можете найти с помощью онлайн-поиска. Это позволяет предприятиям видеть цифровые сертификаты и управлять ими по всей своей инфраструктуре. Если вы все же используете одну из этих платформ, важно регулярно входить в систему, чтобы вы могли знать, когда должны быть продлены обновления.
Если вы разрешите срок действия сертификата, он станет недействительным, и вы больше не сможете выполнять безопасные транзакции на своем веб-сайте. Центр сертификации (ЦС) предложит вам обновить сертификат SSL до истечения срока его действия.
Какой бы центр сертификации или службу SSL вы ни использовали для получения сертификатов SSL, они будут отправлять вам уведомления об истечении срока действия через установленные интервалы, обычно начиная с 90 дней. Постарайтесь, чтобы эти напоминания отправлялись в список рассылки электронной почты, а не на одного человека, который мог покинуть компанию или перейти к другой роли к моменту отправки напоминания. Подумайте, какие заинтересованные стороны в вашей компании включены в этот список рассылки, чтобы нужные люди видели напоминания в нужное время.
Как узнать, есть ли у сайта сертификат SSL
Самый простой способ узнать, есть ли у сайта сертификат SSL, — это посмотреть в адресной строке браузера:
- Если URL начинается с HTTPS вместо HTTP, это означает, что сайт защищен сертификатом SSL.
- Защищенные сайты имеют значок закрытого замка, который можно щелкнуть, чтобы просмотреть сведения о безопасности. На наиболее надежных сайтах будут зеленые замки или адресные строки.
- Браузеры также показывают предупреждающие знаки, когда соединение небезопасно, например красный замок, незакрытый замок, линия, проходящая через адрес веб-сайта, или предупреждающий треугольник над эмблемой замка.
Как обеспечить безопасность вашего онлайн-сеанса
Отправляйте свои личные данные и реквизиты онлайн-платежей только на веб-сайты с сертификатами EV или OV . Сертификаты DV не подходят для веб-сайтов электронной коммерции. Вы можете определить, есть ли у сайта сертификат EV или OV, посмотрев на адресную строку. Для EV SSL название организации будет видно в самой адресной строке. Для OV SSL вы можете просмотреть сведения о названии организации, щелкнув значок замка.Для DV SSL отображается только значок замка.
Ознакомьтесь с политикой конфиденциальности веб-сайта . Это позволяет увидеть, как будут использоваться ваши данные. Законные компании будут прозрачны в отношении того, как они собирают ваши данные и что они с ними делают.
Ищите сигналы или индикаторы доверия на веб-сайтах .
Помимо сертификатов SSL, они включают логотипы или значки с хорошей репутацией, которые показывают, что веб-сайт соответствует определенным стандартам безопасности. Другие признаки, которые могут помочь вам определить, является ли сайт реальным или нет, включают проверку физического адреса и номера телефона, проверку их политики возврата или возврата денег и проверку того, что цены правдоподобны и не слишком хороши, чтобы быть правдой.
Будьте внимательны к фишинговым атакам .
Иногда кибератаки создают веб-сайты, имитирующие существующие веб-сайты, чтобы обманом заставить людей что-то купить или войти на свой фишинговый сайт. Фишинговый сайт может получить сертификат SSL и, следовательно, зашифровать весь трафик, который проходит между вами и ним. Растущая доля фишинговых атак происходит на сайтах HTTPS, обманывая пользователей, которых успокаивает присутствие значка замка.
Чтобы избежать подобных атак:
- Всегда проверяйте домен сайта, на котором вы находитесь, и убедитесь, что он написан правильно.URL-адрес поддельного сайта может отличаться только одним символом — например, amaz0n.com вместо amazon.com. В случае сомнений введите домен прямо в браузере, чтобы убедиться, что вы подключаетесь к веб-сайту, который собираетесь посетить.
- Никогда не вводите логины, пароли, банковские реквизиты или любую другую личную информацию на сайте, если вы не уверены в ее подлинности.
- Всегда учитывайте, что предлагает тот или иной сайт, выглядит ли он подозрительным и действительно ли вам нужно на нем регистрироваться.
- Убедитесь, что ваши устройства хорошо защищены: Kaspersky Internet Security проверяет URL-адреса по обширной базе фишинговых сайтов и обнаруживает мошенничество независимо от того, насколько «безопасным» выглядит ресурс.
Риски кибербезопасности продолжают развиваться, но понимание типов SSL-сертификатов, на которые следует обратить внимание, и того, как отличить безопасный сайт от потенциально опасного, поможет интернет-пользователям избежать мошенничества и защитить свои личные данные от киберпреступников.
Статьи по теме:
Обзор SSL-сертификатов | Балансировка нагрузки | Google Cloud
Transport Layer Security (TLS) — это протокол шифрования, используемый в SSL. сертификаты для защиты сетевых коммуникаций.
Google Cloud использует сертификаты SSL для обеспечения конфиденциальности и безопасности клиента. к балансировщику нагрузки. Для этого балансировщик нагрузки должен иметь SSL. сертификат и соответствующий закрытый ключ сертификата. Коммуникация между клиентом и балансировщиком нагрузки остается закрытым — неразборчиво для любого третья сторона, у которой нет этого закрытого ключа.
Балансировщики нагрузки
В следующей таблице приведены типы балансировщиков нагрузки Google Cloud. которые требуют сертификатов SSL.
Тип балансировщика нагрузки | Протокол от клиента к балансировщику нагрузки |
---|---|
Внутренние балансировщики нагрузки HTTPS | HTTPS или HTTP / 2 |
Внешние балансировщики нагрузки HTTPS | HTTPS или HTTP / 2 |
Балансировщики нагрузки прокси SSL | SSL (TLS) |
Самоуправляемые и управляемые Google сертификаты SSL
Вы можете получить свои собственные самоуправляемые сертификаты или использовать Сертификаты, управляемые Google , которые Google получает и обрабатывает для вас.
Самоуправляемые SSL-сертификаты — это сертификаты, которые вы получаете, предоставляете и обновите себя. Этот тип может быть любым из:
- Проверка домена (DV)
- Проверка организации (OV)
- Сертификаты расширенной проверки (EV)
Дополнительные сведения см. В разделе Открытый ключ. сертификат.
SSL-сертификаты, управляемые Google, — это сертификаты, которые Google Cloud получает и управляет вашими доменами, автоматически продлевая их.Сертификаты, управляемые Google, — это сертификаты проверки домена (DV). Они не демонстрируют идентичность организации или лица, связанного с с сертификатом, и они не поддерживают общие имена с подстановочными знаками.
Для внешнего балансировщика нагрузки HTTP (S) и балансировщика нагрузки прокси-сервера SSL можно указать либо Управляемые Google, самоуправляемые или комбинация обоих типов SSL-сертификатов. на одном целевом прокси. На сертификаты можно ссылаться в любом порядке. Для внутренний балансировщик нагрузки HTTP (S), необходимо использовать самоуправляемые сертификаты.
Для получения информации о настройке SSL-сертификатов для балансировщиков нагрузки см. следующие руководства:
Несколько сертификатов SSL
Вы можете настроить максимальное количество сертификатов SSL для каждого целевого HTTPS. или целевой SSL-прокси. Используйте несколько сертификатов SSL, когда вы обслуживаете несколько доменов, используя тот же IP-адрес и порт балансировщика нагрузки, и вы хотите использовать другой SSL сертификат для каждого домена.
Если вы укажете более одного сертификата SSL, первый сертификат в список SSL-сертификатов считается основным связанным SSL-сертификатом с целевым прокси.
Когда клиент отправляет запрос, балансировщик нагрузки использует указанное имя хоста SNI. клиентом, чтобы выбрать сертификат для использования при согласовании SSL связь.
По возможности балансировщик нагрузки выбирает сертификат, общее имя которого (CN) или альтернативное имя субъекта (SAN) совпадает с именем хоста SNI, которое уточняется заказчиком. RSA и ECDSA — это типы цифровых подписей, а клиентское программное обеспечение должно уметь их использовать.
Если ни один из доступных сертификатов не может быть выбран или клиент не может укажите имя хоста SNI, балансировщик нагрузки согласовывает SSL, используя основной сертификат (первый сертификат в списке).
Несколько сертификатов SSL (щелкните, чтобы увеличить)Шифрование от балансировщика нагрузки до серверных модулей
Для получения информации по этой теме см. Шифрование бэкэнды.
Балансировщики нагрузки, сертификаты SSL и целевые прокси-серверы
Сертификат Google Cloud SSL ресурс содержит как закрытый ключ и сам сертификат SSL.
Целевые прокси-серверы представляют собой логическое соединение между балансировщиком нагрузки. интерфейс и его внутренняя служба (для балансировщиков нагрузки прокси SSL) или сопоставление URL-адресов (для HTTPS балансировщики нагрузки).
На следующей схеме показано, как целевой прокси и связанный с ним SSL сертификаты вписываются в архитектуру балансировки нагрузки.
Целевой прокси-сервер, сертификат SSL и другие компоненты балансировщика нагрузки (щелкните, чтобы увеличить)Область действия сертификата SSL
Google Cloud имеет две области для ресурсов сертификатов SSL: региональную и Глобальный.
Примечание: Для внешних балансировщиков нагрузки HTTP (S) и балансировщиков нагрузки прокси SSL, глобальный сертификат SSL ресурсы требуются как на уровне Standard, так и на уровне Premium.Это означает, что в Стандартный уровень, региональное правило переадресации указывает на глобальный целевой прокси.Целевые прокси
Сертификаты SSLсвязаны со следующими типами целевых прокси:
Ограничения
Для каждого целевого прокси-сервера поддерживается ограниченное количество сертификатов SSL. Для получения дополнительной информации см. Ограничение для сертификатов SSL на целевой HTTPS или целевой SSL-прокси.
Для каждого сертификата, управляемого Google, поддерживается ограниченное количество доменов.Для получения дополнительной информации см. Ограничение на количество доменов на SSL, управляемый Google. сертификат.
При использовании сертификатов, управляемых Google, с балансировкой нагрузки прокси-сервера SSL, правило пересылки балансировщика нагрузки должно использовать TCP-порт 443 для управляемой Google сертификат будет обновляться автоматически.
Балансировщики нагрузки Google Cloud не поддерживают клиентские сертификаты аутентификация (взаимный TLS, mTLS).
SSL-сертификаты, управляемые Google, не поддерживают использование подстановочных знаков.
Что дальше
Попробуйте сами
Если вы новичок в Google Cloud, создайте учетную запись, чтобы оценить, насколько продукты работают в реальных сценариях. Новые клиенты также получают 300 долларов бесплатные кредиты для запуска, тестирования и развертывания рабочих нагрузок.
Начни бесплатноСтандарт только для HTTPS — Сертификаты
Часто задаваемые вопросы и ответы о сертификатах HTTPS и центрах сертификации.
Что такое сертификаты и центры сертификации?
Веб-сайты используют сертификаты для создания HTTPS-соединения. Когда сертификаты подписаны доверенным центром сертификации (CA), они дают браузерам уверенность в том, что они посещают «настоящий» веб-сайт.
Технически сертификат — это файл, содержащий:
- Домены, которые он уполномочен представлять.
- Числовой «открытый ключ», математически соответствующий «закрытому ключу», принадлежащему владельцу веб-сайта.
- Криптографическая подпись центра сертификации (ЦС), подтверждающая связь между парой ключей и авторизованным доменом (доменами).
- Другая техническая информация, например, когда истекает срок действия сертификата, какой алгоритм ЦС использовал для его подписания и насколько тщательно проверялся домен.
- Необязательно, информация о человеке или организации, владеющей доменом (доменами).
Веб-браузеры обычно настроены на доверие к заранее выбранному списку центров сертификации (ЦС), и браузер может проверять, что любая подпись, которую он видит, исходит от ЦС в этом списке.Список доверенных центров сертификации устанавливается либо базовой операционной системой, либо самим браузером.
Когда веб-сайт представляет сертификат браузеру во время HTTPS-соединения, браузер использует информацию и подпись в сертификате, чтобы подтвердить, что центр сертификации, которому он доверяет, решил доверять информации в сертификате.
Какой сертификат я должен получить для своего домена?
Сегодня в федеральном правительстве используется много видов сертификатов, и правильный выбор может зависеть от технической архитектуры системы или деловой политики агентства.
Всего:
Сертификаты «Проверка домена» (DV) обычно дешевле и лучше поддаются автоматизации, чем сертификаты «Расширенная проверка» (EV). Обычные сертификаты DV полностью приемлемы для государственного использования.
Сертификаты могут быть действительны от нескольких лет до нескольких дней. В целом, сертификаты с более коротким сроком действия обеспечивают лучшую защиту , поскольку компрометация ключей менее серьезна.Автоматизация выдачи и продления сертификатов — это общая передовая практика, которая может сделать принятие краткосрочных сертификатов более практичным.
Агентства должны немедленно заменить сертификаты, подписанные с помощью SHA-1 , поскольку браузеры быстро прекращают поддержку алгоритма SHA-1. Коммерческим центрам сертификации запрещено выдавать их полностью с 1 января 2016 года.
Как правило, сертификаты от любого коммерческого центра сертификации будут соответствовать нескольким техническим требованиям NIST, которые относятся к сертификатам.
Каким правилам и надзору подчиняются центры сертификации?
С 2012 года все основные браузеры и центры сертификации участвуют в CA / Browser Forum . Хотя саморегулируемый, CA / Browser Forum фактически является руководящим органом для публично доверенных центров сертификации.
CA / B Forum разрабатывает базовые требования (BR), набор технических и процедурных политик, которых должны придерживаться все центры сертификации. Эти политики определяются посредством формального процесса голосования браузеров и центров сертификации.BR обеспечивается за счет комбинации технических мер, стандартных сторонних аудитов и внимания всего сообщества к публично видимым сертификатам.
Базовые требования ограничивают только центры сертификации — они не ограничивают поведение браузера. Поскольку производители браузеров в конечном итоге решают, каким сертификатам будет доверять их браузер, они являются исполнителями и судьями нарушений BR. Если установлено, что ЦС нарушает Базовые требования, браузер может наказать или ограничить возможность ЦС выдавать сертификаты, которым этот браузер будет доверять, вплоть до исключения из хранилища доверенных сертификатов этого браузера.
CA / Ресурсы браузера
Имеет ли правительство США общедоступный центр сертификации?
Нет, не в начале 2016 года, и вряд ли это изменится в ближайшем будущем.
Корень Federal PKI является доверенным для некоторых браузеров и операционных систем, но не входит в программу Mozilla Trusted Root Program. Программа Mozilla Trusted Root Program используется Firefox, многими устройствами Android и множеством других устройств и операционных систем. Это означает, что федеральная PKI не может выдавать сертификаты для использования в TLS / HTTPS, которым доверяют достаточно широко, чтобы защитить веб-службу, используемую широкой публикой.
Федеральная PKI имеет перекрестную сертификацию других коммерческих центров сертификации, что означает, что их сертификаты будут доверять клиентам, которые доверяют Федеральной PKI. Однако даже если публично доверенный коммерческий центр сертификации проходит перекрестную сертификацию с федеральной PKI, ожидается, что они будут поддерживать полное разделение между своими общедоступными сертификатами и их перекрестными сертификатами федеральной PKI.
В результате в настоящее время не существует жизнеспособного способа получить сертификат для использования в TLS / HTTPS, который выдается или которому доверяет федеральная PKI, а также которому доверяет широкая публика.
Существуют ли федеральные ограничения на использование допустимых центров сертификации?
Не существует общегосударственных правил, ограничивающих использование федеральных доменов ЦС.
Важно понимать, что, хотя у агентства могут быть технические или бизнес-причины для ограничения используемых ЦС, нет преимущества безопасности для ограничения ЦС с помощью только внутренних политик. Браузеры будут доверять сертификатам, полученным от любого публично доверенного ЦС, поэтому ограничение использования ЦС внутри не ограничивает ЦС, из которых злоумышленник может получить поддельный сертификат.
На практике федеральные агентства используют широкий спектр коммерческих центров сертификации, пользующихся всеобщим доверием, и корпоративных центров сертификации, которым доверяют частные лица, для защиты своих веб-сервисов.
Тогда как я могу ограничить центры сертификации, которые могут выдавать сертификаты для домена?
Не существует простого и 100% эффективного способа заставить все браузеры доверять только сертификатам для вашего домена, которые были выпущены определенным центром сертификации. В целом, эффективность HTTPS в современном Интернете зависит от общих стандартов, компетентности и подотчетности всей системы CA.
Однако владельцы доменов могут использовать DNS Certification Authorization Authorization для публикации списка утвержденных центров сертификации.
Кроме того, владельцы доменов могут использовать Certificate Transparency (см. Вопрос ниже) для отслеживания и обнаружения сертификатов, выданных любым центром сертификации.
DNS Certification Authority Authorization (CAA) позволяет владельцам доменов публиковать записи DNS, содержащие список центров сертификации, которым разрешено выдавать сертификаты для их домена.
Все основные центры сертификации участвуют в CAA и обещают проверять записи DNS CAA перед выдачей сертификатов. Каждый ЦС должен отказать в выдаче сертификатов для доменного имени, которое публикует запись CAA, исключающую ЦС.
Это всего лишь обещание, поэтому несоответствующий или скомпрометированный центр сертификации все равно может выдавать сертификаты для любого доменного имени даже в нарушение CAA. Но такая неправильная выдача с большей вероятностью будет обнаружена при наличии CAA.
Стандартный DNS не является безопасным, поэтому записи CAA могут быть подавлены или подделаны злоумышленником в привилегированной сетевой позиции, если DNSSEC не используется владельцем домена и не проверяется каждым издателем CA.
CAA может быть объединен с мониторингом журнала прозрачности сертификатов для обнаружения случаев неправильной выдачи.
Ресурсы CAA
Как узнать, выдан ли какой-либо сертификат для домена?
Владельцы доменов могут использовать Certificate Transparency для быстрого обнаружения любых сертификатов, выданных для домена, законных или поддельных.
Прозрачность сертификатов (CT) позволяет владельцам доменов обнаруживать неправильную выдачу сертификатов после факта .
CT позволяет центрам сертификации публиковать некоторые или все публично доверенные сертификаты, которые они выдают, в один или несколько общедоступных журналов. Несколько организаций запускают журналы CT, и можно автоматически отслеживать журналы на предмет любых сертификатов, выпущенных для любых интересующих доменов.
Comodo выпустила программу просмотра журнала прозрачности сертификатов с открытым исходным кодом, которую они используют на crt.sh. Например, можно увидеть все недавние сертификаты для whitehouse.gov и подробную информацию о конкретных сертификатах.
Сила прозрачности сертификатов возрастает по мере того, как все больше центров сертификации публикуют больше сертификатов в общедоступных журналах CT. Google Chrome требует прозрачности сертификата для всех новых сертификатов, выпущенных после 30 апреля 2018 года. Платформы Apple, включая Safari, требуют прозрачности сертификата для всех новых сертификатов, выпущенных после 15 октября 2018 года. В результате большинство центров сертификации теперь по умолчанию отправляют новые сертификаты в журналы CT.
Однако центр сертификации может по-прежнему выдавать новые сертификаты, не раскрывая их в журнале CT.Эти сертификаты не будут доверять Chrome или Safari, но им могут доверять другие браузеры.
Chrome также освобождает частные ЦС от этих правил прозрачности, поэтому частные ЦС, которые не связаны с каким-либо общедоступным корнем, могут по-прежнему выдавать сертификаты, не отправляя их в журналы CT.
Ресурсы для прозрачности сертификатов
Автоматический HTTPS — Документация Caddy
Caddy — первый и единственный веб-сервер, который автоматически использует HTTPS и по умолчанию .
Автоматический HTTPS предоставляет сертификаты TLS для всех ваших сайтов и обновляет их. Он также перенаправляет HTTP на HTTPS за вас! Caddy использует безопасные и современные настройки по умолчанию — никаких простоев, дополнительных настроек или отдельных инструментов не требуется.
Caddy разработала новую автоматическую технологию HTTPS; мы делаем это с первого дня, когда это стало возможным в 2015 году. Логика автоматизации HTTPS Caddy является самой продуманной и надежной в мире.Вот 28-секундное видео, показывающее, как это работает:
Меню:
Обзор
По умолчанию Caddy обслуживает все сайты через HTTPS.
- Caddy обслуживает IP-адреса и локальные / внутренние имена хостов через HTTPS, используя самозаверяющие сертификаты, которым автоматически доверяют локально (если это разрешено).
- Примеры:
localhost
,127.0.0.1
- Примеры:
- Caddy обслуживает общедоступные DNS-имена по протоколу HTTPS, используя сертификаты общедоступного центра сертификации ACME, например Let’s Encrypt или ZeroSSL.
- Примеры:
example.com
,sub.example.com
,* .example.com
- Примеры:
Caddy сохраняет все управляемые сертификаты обновленными и автоматически перенаправляет HTTP (порт по умолчанию 80) на HTTPS (порт по умолчанию 443).
Для локального HTTPS:
- Caddy может запросить пароль для установки своего уникального корневого сертификата в ваше хранилище доверенных сертификатов. Это происходит только один раз для каждого корня; и вы можете удалить его в любой момент.
- Любой клиент, обращающийся к сайту, не доверяя корню Caddy, покажет ошибки безопасности.
Для публичных доменных имен:
Это общие требования для любого базового производственного веб-сайта, а не только для Caddy. Основное отличие состоит в том, чтобы правильно настроить записи DNS с до с Caddy, чтобы он мог предоставлять сертификаты.- Если записи A / AAAA вашего домена указывают на ваш сервер,
- портов 80 и 443 открыты снаружи,
- Caddy может связываться с этими портами ( или эти порты перенаправляются на Caddy),
- ваш каталог данных доступен для записи и является постоянным,
- , и ваше доменное имя появится где-нибудь в конфигурации,
, то сайты будут обслуживаться через HTTPS автоматически. Больше ничего с этим делать не нужно. Просто работает!
Поскольку HTTPS использует общую общедоступную инфраструктуру, вы, как администратор сервера, должны понимать остальную информацию на этой странице, чтобы можно было избежать ненужных проблем, устранять их, когда они возникают, и правильно настраивать расширенные развертывания.
Активация
Caddy неявно активирует автоматический HTTPS, если ему известно доменное имя (то есть имя хоста) или IP-адрес, который он обслуживает. Есть несколько способов сообщить Caddy свой домен / IP-адрес, в зависимости от того, как вы запускаете или настраиваете Caddy:
Любое из следующих действий предотвратит автоматическую активацию HTTPS, полностью или частично:
Эффекты
При активации автоматического HTTPS происходит следующее:
Автоматический HTTPS никогда не отменяет явную конфигурацию.
При необходимости вы можете настроить или отключить автоматический HTTPS; например, вы можете пропустить определенные доменные имена или отключить перенаправления (для Caddyfile, сделайте это с глобальными параметрами).
Требования к имени хоста
Все имена хостов (доменные имена) подходят для полностью управляемых сертификатов, если они:
- непустые
- состоит только из букв, цифр, дефисов, точек и подстановочных знаков (
*
) - не начинаются и не заканчиваются точкой (RFC 1034)
Кроме того, имена хостов соответствуют требованиям для получения общедоступных сертификатов, если они:
- не являются локальным хостом (включая
.localhost
и.local
TLD) - не является IP-адресом
- имеет только один подстановочный знак
*
в качестве крайней левой метки
Локальный HTTPS
Для обслуживания закрытых сайтов по протоколу HTTPS Caddy создает собственный центр сертификации (ЦС) и использует его для подписи сертификатов. Цепочка доверия состоит из корневого и промежуточного сертификатов. Листовые сертификаты подписываются промежуточным звеном. Они хранятся в каталоге данных Caddy по адресу pki / sizes / local
.
Caddy работает на базе библиотек Smallstep.
Local HTTPS не использует ACME и не выполняет проверку DNS. Он работает только на локальном компьютере и считается доверенным только там, где установлен корневой сертификат ЦС.
CA Корень
Закрытый ключ root уникальным образом генерируется с использованием криптографически безопасного псевдослучайного источника и сохраняется в хранилище с ограниченными разрешениями. Он загружается в память только для выполнения задач подписи, после чего оставляет область для сбора мусора.
Хотя Caddy может быть настроен на прямую подписку с корневым пользователем (для поддержки несовместимых клиентов), по умолчанию это отключено, и корневой ключ используется только для подписи промежуточных звеньев.
При первом использовании корневого ключа Caddy попытается установить его в локальное хранилище доверенных сертификатов системы. Если у него нет разрешения на это, он запросит пароль. Это поведение можно отключить в конфигурации, если оно не желательно.
Доверять корневому сертификату Caddy на своем компьютере безопасно, если ваш компьютер не скомпрометирован и ваш уникальный корневой ключ не просочился. После установки корневого центра сертификации Caddy вы увидите его в локальном хранилище доверенных сертификатов как «Caddy Local Authority» (если вы не настроили другое имя). Вы можете удалить его в любое время, если хотите (команда caddy untrust
упрощает это).
CA Промежуточные продукты
Также будут сгенерированы промежуточный сертификат и ключ, которые будут использоваться для подписи листовых сертификатов (отдельных сайтов).
В отличие от корневого сертификата, промежуточные сертификаты имеют гораздо более короткий срок службы и автоматически обновляются по мере необходимости.
Тестирование
Чтобы протестировать или поэкспериментировать с конфигурацией Caddy, убедитесь, что вы изменили конечную точку ACME на промежуточный или разрабатываемый URL-адрес, в противном случае вы, вероятно, достигнете ограничений скорости, которые могут заблокировать ваш доступ к HTTPS на срок до недели, в зависимости от того, какой предел скорости ты попал.
Один из центров сертификации Caddy по умолчанию — Let’s Encrypt, у которого есть промежуточная конечная точка, на которую не распространяются те же ограничения скорости:
https://acme-staging-v02.api.letsencrypt.org/directory
Проблемы ACME
Для получения общедоступного сертификата TLS требуется проверка сторонним центром, пользующимся всеобщим доверием.В наши дни этот процесс проверки автоматизирован с помощью протокола ACME и может выполняться одним из трех способов («типы запросов»), описанных ниже.
Первые два типа вызовов включены по умолчанию. Если разрешено несколько задач, Кэдди выбирает одну случайным образом, чтобы избежать случайной зависимости от конкретной задачи. Со временем он узнает, какой тип задачи является наиболее успешным, и начнет отдавать предпочтение ему первым, но при необходимости вернется к другим доступным типам задач.
HTTP-вызов
Запрос HTTP выполняет авторитетный поиск в DNS для записи A / AAAA имени хоста кандидата, затем запрашивает временный криптографический ресурс через порт 80 с помощью HTTP. Если центр сертификации видит ожидаемый ресурс, выдается сертификат.
Эта проблема требует, чтобы порт 80 был доступен извне. Если Caddy не может прослушивать порт 80, пакеты с порта 80 должны быть перенаправлены на порт HTTP Caddy.
Этот вызов включен по умолчанию и не требует явной настройки.
TLS-ALPN вызов
Запрос TLS-ALPN выполняет авторитетный поиск в DNS для записи A / AAAA кандидата имени хоста, затем запрашивает временный криптографический ресурс через порт 443, используя рукопожатие TLS, содержащее специальные значения ServerName и ALPN. Если центр сертификации видит ожидаемый ресурс, выдается сертификат.
Эта проблема требует, чтобы порт 443 был доступен извне. Если Caddy не может прослушивать порт 443, пакеты с порта 443 должны быть перенаправлены на порт HTTPS Caddy.
Этот вызов включен по умолчанию и не требует явной настройки.
Запрос DNS
Запрос DNS выполняет авторитетный поиск в DNS записей TXT имени хоста кандидата и ищет специальную запись TXT с определенным значением. Если ЦС видит ожидаемое значение, выдается сертификат.
Эта задача не требует открытых портов, и сервер, запрашивающий сертификат, не должен быть доступен извне. Однако проблема DNS требует настройки.Caddy необходимо знать учетные данные для доступа к провайдеру DNS вашего домена, чтобы он мог устанавливать (и очищать) специальные записи TXT. Если запрос DNS включен, другие запросы по умолчанию отключены.
Поддержка провайдераDNS — это работа сообщества. Узнайте, как включить вызов DNS для вашего провайдера, на нашей вики.
TLS по запросу
Caddy разработала новую технологию, которую мы называем On-Demand TLS . Многие компании полагаются на эту функцию для масштабирования своих TLS-развертываний с меньшими затратами и без операционных проблем при обслуживании десятков тысяч сайтов.
Эта уникальная функция получает сертификат для имени во время первого подтверждения TLS, которое требует этого, а не при загрузке конфигурации. Это полезно, если:
- вы не знаете заранее все доменные имена, Доменные имена
- могут быть неправильно настроены сразу (например, записи DNS еще не установлены),
- , или вы не контролируете доменные имена (например, это домены клиентов).
Когда включен TLS по запросу, подтверждение TLS может инициировать обслуживание соответствующего сертификата.Если существующий сертификат недоступен, этот процесс замедляет только начальное подтверждение TLS, пока сертификат получается на переднем плане; все остальные рукопожатия не будут затронуты (кроме тех, которые ожидают того же сертификата). Если можно использовать существующий сертификат, рукопожатие завершится немедленно, а обслуживание (то есть обновление) будет происходить в фоновом режиме.
Вы можете включить его, используя свойство on_demand в конфигурации автоматизации TLS или подкаталог on_demand Caddyfile.Обратите внимание, что включение TLS по требованию отличается от настройки того, как он работает. Важно: Чтобы предотвратить злоупотребления, вы должны указать ограничения скорости и / или конечную точку, которую Caddy может запрашивать, чтобы узнать, разрешено ли получение сертификата для имени хоста.
Помните, как быстро ваш центр сертификации может выдавать сертификаты. Если это займет более нескольких секунд, это отрицательно повлияет на работу пользователя (только для первого клиента).
Из-за отложенного характера и возможности злоупотреблений (если не смягчить их путем правильной настройки), мы рекомендуем включать TLS по запросу только тогда, когда ваш фактический вариант использования описан выше.
Ошибки
Caddy делает все возможное, чтобы продолжить, если возникают ошибки при управлении сертификатами.
По умолчанию управление сертификатами выполняется в фоновом режиме. Это означает, что он не будет блокировать запуск или замедлять работу ваших сайтов. Однако это также означает, что сервер будет работать даже до того, как будут доступны все сертификаты. Работа в фоновом режиме позволяет Caddy повторять попытку с экспоненциальной отсрочкой в течение длительного периода времени.
Вот что происходит, если возникает ошибка при получении или обновлении сертификата:
- Кэдди повторяет попытку после короткой паузы на случай, если это была случайность
- Кэдди ненадолго делает паузу, затем переключается на следующий активированный тип запроса
- После того, как все включенные типы вызовов были опробованы, он пробует следующий настроенный поставщик
- После того, как все эмитенты были опробованы, он экспоненциально отступает
- Максимум 1 день между попытками
- На срок до 30 дней
Во время повторных попыток с Let’s Encrypt Caddy переключается в свою промежуточную среду, чтобы избежать проблем с ограничением скорости.Это не идеальная стратегия, но в целом она полезна.
ACME-вызовы занимают не менее нескольких секунд, а внутреннее ограничение скорости помогает предотвратить случайное злоупотребление. Caddy использует внутреннее ограничение скорости в дополнение к тому, что вы или CA настраиваете, так что вы можете передать Caddy тарелку с миллионом доменных имен, и она будет постепенно — но с максимальной скоростью — получать сертификаты для всех из них. Внутренний предел скорости Caddy в настоящее время составляет 10 попыток на одну учетную запись ACME в минуту.
Во избежание утечки ресурсов Caddy прерывает выполнение задач (включая транзакции ACME) при изменении конфигурации.Несмотря на то, что Caddy может обрабатывать частые перезагрузки конфигурации, помните о таких эксплуатационных соображениях, как это, и подумайте о пакетных изменениях конфигурации, чтобы уменьшить количество перезагрузок и дать Caddy возможность фактически завершить получение сертификатов в фоновом режиме.
Резервный вариант эмитента
Caddy — первый (и пока единственный) сервер, поддерживающий полностью избыточное автоматическое переключение на другие центры сертификации в случае, если он не может успешно получить сертификат.
По умолчанию Caddy включает два ACME-совместимых центра сертификации: Let’s Encrypt и ZeroSSL .Если Caddy не может получить сертификат от Let’s Encrypt, он попытается использовать ZeroSSL; если оба потерпят неудачу, он вернется и попытается снова позже. В вашей конфигурации вы можете настроить, каких эмитентов Caddy использует для получения сертификатов, универсальных или для определенных имен.
Хранилище
Caddy будет хранить открытые сертификаты, частные ключи и другие активы в своем настроенном хранилище (или в хранилище по умолчанию, если оно не настроено — подробности см. По ссылке).
Главное, что вам нужно знать при использовании конфигурации по умолчанию, это то, что папка $ HOME
должна быть постоянной и доступной для записи. Чтобы помочь вам в устранении неполадок, Caddy распечатывает свои переменные среды при запуске, если указан флаг --environ
.
Любые экземпляры Caddy, настроенные для использования одного и того же хранилища, будут автоматически совместно использовать эти ресурсы и координировать управление сертификатами как кластер.
Прежде чем пытаться выполнить какие-либо транзакции ACME, Caddy проверит сконфигурированное хранилище, чтобы убедиться, что оно доступно для записи и имеет достаточную емкость. Это помогает уменьшить ненужную конкуренцию за блокировку.
Подстановочные сертификаты
Caddy может получать сертификаты с подстановочными знаками и управлять ими, если он настроен для обслуживания сайта с подходящим именем с подстановочными знаками.Имя сайта подходит для подстановочного знака, если подстановочным знаком является только его крайняя левая метка домена. Например, * .example.com
подходит, но не подходит: sub. *. Example.com
, foo * .example.com
, * bar.example.com
и *. * .example.com
.
При использовании файла Caddyfile Caddy воспринимает имена сайтов буквально по отношению к именам субъектов сертификатов. Другими словами, сайт, определенный как sub.example.com
, заставит Caddy управлять сертификатом для sub.example.com
и сайт, определенный как * .example.com
, заставит Caddy управлять сертификатом с подстановочными знаками для * .example.com
. Если вам нужно другое поведение, конфигурация JSON дает вам точный контроль над темами сертификатов и именами сайтов («сопоставители хостов»).
представляют собой широкую степень полномочий и должны использоваться только в том случае, если у вас так много поддоменов, что управление отдельными сертификатами для них вызовет нагрузку на PKI или приведет к превышению установленных CA ограничений скорости.
Примечание. Let’s Encrypt требует запроса DNS для получения подстановочных сертификатов.
.